Sujet Précédent Sujet Suivant

Fichier log site piraté

Résolu/Fermé
astuces72 Messages postés 7723 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 22 avril 2024 - 10 sept. 2016 à 08:24
astuces72 Messages postés 7723 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 22 avril 2024 - 10 sept. 2016 à 09:18
Bonjour,

Un site a été piraté et j'essaye de comprendre le fichier log et de voir le dernier accès, mais je ne vois rien ?

Sur la page hacké, le pirate n'a juste mit qu'une page index.html et un fichier x.txt

Et dans le fichier x.txt:
hacked by Exploiter-Albania

Maintenant je cherche à savoir quelle faille il a pu utilisé en décortiquant les fichiers log, mais je n'ai pas trouvé.
Je vous donnes les conclusions, et si vous pouviez me dire ou voir ailleur cette faille.

le site en ce moment affiche ça:
Forbidden
You don't have permission to access / on this server.
C'est OVH qui à bloqué le site.

Les derniers stats date du 11/07

OVH aurait bloqué le site le 11/07. Pour le 10/07 dans le fichier log erreur j'ai: 
[Sun Jul 10 04:35:22 2016] [error] [client 40.77.167.3] [host www.****.fr] FastCGI: command: Error connecting socket Connection refused
[Sun Jul 10 04:35:22 2016] [error] [client 40.77.167.3] [host www.****.fr] FastCGI: An error happend on Fastcgi processing, fallback to CGI
[Sun Jul 10 14:44:09 2016] [error] [client 207.46.13.104] [host www.****.fr] Directory index forbidden by Options directive: /homez.2089/****/www/****/cptrendus_doc/


et dans le fichier log du 11/07 j'ai plein de: 
[Mon Jul 11 13:38:01 2016] [crit] [client 193.252.118.174] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Jul 11 13:36:29 2016] [crit] [client 193.252.149.15] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Jul 11 13:15:27 2016] [crit] [client 80.12.63.131] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: https://www.google.fr/search?


les dernier accès de noté dans le fichier log "web" avant les scan uniquement des moteurs de recherche sont: 
204.79.180.48 www.****.fr - [11/Jul/2016:10:38:37 +0200] "GET /actualite/backoffice/assets/plugins/ckeditor/config.js?t=F62B HTTP/1.1" 200 683 "http://www.****.fr/actualite/1/1183/HONORAIRE" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
204.79.180.53 www.****.fr - [11/Jul/2016:10:38:37 +0200] "GET /actualite/assets/js/owl-carousel/owl.carousel.min.js HTTP/1.1" 200 6461 "http://www.****.fr/actualite/1/1183/HONORAIRE" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"

Et en dessous, uniquement les robot

157.55.39.217 www.****.fr - [11/Jul/2016:10:38:52 +0200] "GET /actualite/1/1995/index.html HTTP/1.1" 200 10662 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
157.55.39.217 www.****.fr - [11/Jul/2016:10:38:53 +0200] "GET /actualite/1/1666/FONDS-DEPARTEMENTAL-D-AIDE-AUX-JEUNES HTTP/1.1" 200 9194 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
217.108.147.69 www.****.fr - [11/Jul/2016:10:35:05 +0200] "GET / HTTP/1.1" 200 1268 "https://www.google.fr/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.99 Safari/537.36"



Donc, si je comprend bien, le dernier fichier accédé par le navigateur d'un utilisateur est "/actualite/assets/js/owl-carousel/owl.carousel.min.js"
et juste avant un log d'un admin a du ce connecter au Backoffice parce que il y a eu accès au fichier ckeditor/config.js

Ma question est de savoir quel fichier à été utilisé pour hacké le site, vu que le fichier log ne me donne rien ?
Le site à été fait par un pro qui est décédé, et il aurait développé lui même un cms, il a fait plusieurs sites qui on été aussi piraté...

le site à été vendu entre 4000€ et 6000€ il y a environ 10 mois, le propriétaire, qui m'a demander de voir ce que je pouvais faire, fait la tronche, et je le comprend.
Mais moi je suis loin d'être un pro dans la programmation :)

Je vais laisser le bébé à une autre boite qui saura quoi faire, mais j'aurai, peut être, avec de la chance, voulu détecté le problème. :)

Est ce qu'il faut que je réactive le site et que je le fasse scanner par des outils web ?
avez-vous une idée, un pro dans le coin ?
Merci
Long....

A voir également:

2 réponses

Réponse 1 / 2
astuces72 Messages postés 7723 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 22 avril 2024 1 637
10 sept. 2016 à 09:09
pour info, j'ai trouvé ça:
91.200.12.49 www.****.fr - [11/Jul/2016:01:02:57 +0200] "GET /xmlrpc.php HTTP/1.1" 404 18205 "http://www.****.fr/xmlrpc.php" "\"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0\""

et ça serait un brutforce pour rechercher un mot de passe !
0
Réponse 2 / 2
astuces72 Messages postés 7723 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 22 avril 2024 1 637
10 sept. 2016 à 09:18
j'ai ajouté ça dans .htaccess 

# ErrorDocument 403 "Error 403: Forbidden Access"
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
0

Discussions similaires

compte facebook piraté et adresse email changé
keseh -
Lapourax -

2 réponses
Chemin Logo du site de la Cité de l'espace
Keiios -
blux -

11 réponses
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
'Votre colis est dans le site de livraison qui dessert votre adresse' que faire
relakztek82 -
Unemeuf -

25 réponses