Bonsoir,
J'ai été victime d'un HacK sur mon espace d'hébergement
J'ai récupéré l'essentiel, pas trop de dégats, juste un défi probablement.
Le souci c'est que le plaisantin a posé des fichiers dans un nouveau répertoire créé... dans le répertoire skin de MySpeach ! ET impossible de le supprimé
Je me souviens avoir changé les droits de ces dossiers pour l'install. Doit-on les remettre comme au départ dès l'install terminée ou pas?
Merci

Moi aussi je viens de voir en dessous de myspeach un gars qui a écrit "hacked by ultraturk"... J'ai un peu peur.

_______________________

Ca c'est rien.
Connecte toi en FTP et vas voir dans le répertoire saves/skins.
Ya un nouveau dossier .default créé, chez moi ils ont posé 2 big ZIP de 13Mo, impossible à supprimer et la en lançant le chat par un autre moyen je suis tomber sur leur interface russe où ils listent tout sur le serveur avec un back up FTP...
La j'essaie de faire le ménage mais pas simple.
Je crois que MySpeach est victime d'uen big faille de sécurité

_______________________
Aucun

Je vois pas de dossier .default pourtant. Y a un dossier default mais il contient que des images presque et rien n'a l'air bizarre...

_______________________

Moi c'est ce que j'avais. Regarde bien les dossiers et fichiers qui ont été modifiés à un moment différent des autres, ils ont aussi du poser un truc chez toi, mais où...

J'ai viré le dossier en question, mais mon site est désormais indisponible, aie :/

_______________________
Aucun

J'ai beau chercher je trouve pas... je sais juste que si dans chat.php si j'enleve à la fin

<?php if(!ereg('ifrance',$my_ms['root'])){
 include($my_ms['root'].'/jscript.php');
 } ?>

Le message n'apparait plus, mais bon ce n'est que la partie emmergée de l'iceberg.

_______________________

Et bien t'as surement eu plus de chance que moi mais je te conseillerais de tout ratisser.
Moi ce qui m'a mis sur le cul c'est la page en russe (du perl ou ej sais pas quoi) qui faisait apparaitre une sorte de FTP sur lequel ils semblaient remonter des trucs.

Enfin el souci c'est que la mon site est HS, mm pas une page d'erreur de l'hébergeur

_______________________
Aucun

lol, moi aussi je me fait attaqué depuis 17h00 par plein de mecs different, il tente tous le même truc, mais pour l'instant ça tient bon!
si ils visent le repertoire /skin/, vous pouvez enlever les droits en ecriture de ce repertoire, il faut juste les remettre au moment ou vous voulez changer de skin.
le seul repertoire qui doit rester en 0777 est /saves/ mais celui là normalement ne risque rien.
je suis en train de faire des tests en local pour trouver la faille, si vous avez des info (logs) postez les ça peut aider.

_______________________
_ww.gabian-herault.com

Moi le truc qu'ils ont posé sur skin ils auraient trés bien pu le poser sur saves, ça aurait eu le même effet je pense...

Enfin moi le souci c'est désormais de savoir pourquoi mon ndd est dans les choux, alors que le ping du serveur répond et le fichier index y est bien...

_______________________
Aucun

bon apparament ils essais de passer un fichier texte qui est un script connus sous le nom de "C99Shell v. 1.0" quand ils y arrivent ils obtiennent carément une interface leur permettant d'eplucher differentes failles du serveur.
si vous voulez voir a quoi ça ressemble:
~ttp://www.xfocus.net/tools/200603/c99.php
en 10mn dans google j'ai trouvé les sources de ce fichier!

_______________________
_ww.gabian-herault.com

C'est le fichier dont je parlais...
Et rapport au nom de domaine qui se paume, ya un lien ?

_______________________
Aucun

ben aprés je pense que c'est en fonction des failles qu'il trouve sur le serveur...
je fait comme toi je cherche à savoir, mais j'essaye de reproduire le hack d'aprés les logs des attaques que je reccupère sur mon site mais ça marche pas, je comprends pas comment les mecs font pour passer! par contre il y a du monde! la faille à du être publiée sur un forum.

_______________________
_ww.gabian-herault.com

bon j'ai enlevé momentanément le chat de mon site, c'est la cour de récréation là, j'ai jamais eu autant de monde en une seule journée!

_______________________
_ww.gabian-herault.com

Internet, un moyen de communication rapide
Moi pas de problème, mon site est HS. J'ai tenté une redirection du ndd sur une page chez Free expliquant la chose mais je verrais que demain si la propagation s'est bien faite...
Aller, on s'appelle et on se fait une bouffe... euh, on se tient au jus je voulais dire

_______________________
Aucun

on se tient au courrant si d'autres on des infos, n'hésité pas!

_______________________
_ww.gabian-herault.com

la faille a ete decouverte sur GrapAgenda et publier sur les site du security traking
(xxxx://www.milw0rm.com/exploits/2304)(xxxx://www.securityfocus.com/archive/1/445176/30/)
remplace xxxx par http
la faille cest une remote include > la variable $page mal securise
un attaquant peut includé un remote code si magic_quotes_gpc est sur off (configuration du php)
c99shell cest un code php pour avoir acce au site modifie des pages suprimer ajouter un repertoire se connecter la database sql .....



bye

_______________________

decouverte aussi dans MySpeach meme genre de faille

( xxxx://www.milw0rm.com/exploits/2301 )

la variable my_ms[root]



_______________________