Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1890 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Hébergement

  disparition de tous mes fichiers sur serveur 1and1 : piratage ?

 
 



Dernière réponse
Sujet : disparition de tous mes fichiers sur serveur 1and1 : piratage ?
samaudio Bonjour à tous !
 
J'ai remarqué (gràce à l'aide du technicien de l'hébergeur) des injections de scripts dans un dossier IMAGES d'un site réalisé avec OSCommerce.
 
Je me suis retrouvé avec 3 fichiers PHP qui n'avaient rien à y faire.
J'ai bien sur changé tous les mots de passe, et je relis la FAQ d' OSCOMMERCE pour éviter que cela ne revienne.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
samaudio Bonjour à tous !
 
J'ai remarqué (gràce à l'aide du technicien de l'hébergeur) des injections de scripts dans un dossier IMAGES d'un site réalisé avec OSCommerce.
 
Je me suis retrouvé avec 3 fichiers PHP qui n'avaient rien à y faire.
J'ai bien sur changé tous les mots de passe, et je relis la FAQ d' OSCOMMERCE pour éviter que cela ne revienne.
Ruliane Et vérifier que ta version sauvegardée ne soit pas corrompue ! Si ça a recommencé il y a bien une raison !
Sgt Sharp Premières choses à faire quand un mec rentre dans ton compte :
 
1/ changer tes mots de passe ftp, sql, et applis php (forum, cms...)
2/ vérifier tes logs éventuels notamment forum pour voir si un mec a essayé d'accéder à l'interface admin (ip etc)
3/ voir qui pourrait t'en vouloir, un visiteur, un concurrent, un mec de ton staff (modérateur etc)
4/ comparer les dernières connexions de tes membres avec l'heure de suppression de tes fichiers, voir si certains correspondent, genre si le mec fait ça à 4h du mat ce sera vite visible
5/ effectivement tout mettre à jour
samaudio Ca y est, ca a à nouveau sauté !
 
Tout à à nouveau été supprimé :-(
 
C'est visiblement une faille de sécurité qui a été exploitée sur un site réalisé à partir d'un CMS ( Guppy).
J'ai patché, j'espère que ca va tenir...
samaudio Hello !
 
Ca y est, out est revenu en ordre, mais je ne sais toujours pas ce qui s'est bien passé ...
 
samaudio Bonsoir,
 
J'ai eut l'hébergeur au téléphone sans difficulté ce matin.
 
Ils ne savent pas pourquoi j'ai tout perdu, le technicien ( ? ) me conseille de regarder du coté des fichiers de LOG, défois que je n'y ai pas pensé ...
 
Cependant, en insistant un poil, il a accepté de faire une restauration, sous 24/48h.
Ce n'est pas bien rapide, mais c'est mieux que de tous perdre !
 
Morale de l'histoire : faire soit même des back-up !
 
@+
samaudio Bonsoir,
 
En effet, 1and1 prend son temps pour répondre ...
Mes Bases SQL sont toujours présentes et visiblement OK, c'est déjà ca  ...
 
A suivre
Sgt Sharp 1/ 1et1 ne répondra sans doute jamais à ton mail
2/ vérifies aussi si ta base sql a été éffacée...
samaudio Bonsoir, et merci de m'apporter de l'aide.
 
Voici un extrait du fichier ftp.log :
 

Code :
  1. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:36 +0200] "PASS (hidden)" 230 -
  2. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:36 +0200] "CWD /marcels/pages" 250 -
  3. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "PWD" 257 -
  4. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "TYPE A" 200 -
  5. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "PASV" 227 -
  6. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:38 +0200] "RETR evenements.php" 226 13917
  7. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:02:28 +0200] "PASV" 227 -
  8. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:02:29 +0200] "STOR evenements.php" 226 13968
  9. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "PASS (hidden)" 230 -
  10. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "TYPE I" 200 -
  11. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "FEAT" 211 -
  12. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "NOOP" 200 -
  13. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "NOOP" 200 -
  14. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "PASV" 227 -
  15. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "PASS (hidden)" 230 -
  16. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "TYPE I" 200 -
  17. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "FEAT" 211 -
  18. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "SYST" 215 -
  19. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "RETR /logs/mail.log.27.gz" 226 1116
  20. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "NOOP" 200 -
  21. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "NOOP" 200 -
  22. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:42 +0200] "NOOP" 200 -
  23. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "PASS (hidden)" 230 -
  24. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "TYPE I" 200 -
  25. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "PASV" 227 -
  26. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "LIST /" 226 199
  27. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:26:25 +0200] "NOOP" 200 -
  28. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:26:25 +0200] "NOOP" 200 -


 
et maintenant un extrait du fichier acces.log.29.6
 

Code :
  1. 207.46.199.44 - - [24/Jul/2010:13:15:11 +0200] "GET /robots.txt HTTP/1.1" 404 823 les-marcels.org "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
  2. 207.46.199.44 - - [24/Jul/2010:13:17:27 +0200] "GET / HTTP/1.1" 404 823 les-marcels.org "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
  3. 77.88.29.246 - - [24/Jul/2010:13:31:25 +0200] "GET /product_info.php?products_id=44&osCsid=3312479f091a26add188775924059b87 HTTP/1.1" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "-"
  4. 67.195.37.170 - - [24/Jul/2010:13:41:26 +0200] "GET /liens.php HTTP/1.0" 404 823 www.ram-morteau.fr "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)" "-"
  5. 77.88.29.246 - - [24/Jul/2010:13:41:49 +0200] "GET /histoire.php HTTP/1.1" 404 823 www.ram-morteau.fr "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "-"
  6. 66.249.66.52 - - [24/Jul/2010:13:49:54 +0200] "GET /links.php?lng=fr HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
  7. 66.199.254.189 - - [24/Jul/2010:13:50:32 +0200] "GET /images/googlec6cda4208668c8.php HTTP/1.0" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 ( .NET CLR 3.5.30729)" "-"
  8. 95.211.27.179 - - [24/Jul/2010:13:50:32 +0200] "GET /favicon.ico HTTP/1.0" 404 823 www.laboutiquedujouet.fr "-" "-" "-"
  9. 217.67.145.200 - - [24/Jul/2010:13:50:43 +0200] "GET / HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; AskTB5.6)" "-"
  10. 91.188.59.89 - - [24/Jul/2010:13:57:01 +0200] "GET /images/googlec6cda4208668c8.php HTTP/1.1" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "-"
  11. 216.129.119.41 - - [24/Jul/2010:14:05:32 +0200] "GET /robots.txt HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuil.com/twiceler/robot.html)" "-"
  12. 86.210.228.85 - - [24/Jul/2010:14:08:57 +0200] "GET / HTTP/1.1" 404 823 www.france-remorques.fr "http://search.ke.voila.fr/S/orange?rtype=kw&bhv=web_fr&kw=+&profil=orange&rdata=remorque" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; Orange 8.0)" "-"
  13. 86.210.228.85 - - [24/Jul/2010:14:09:21 +0200] "GET / HTTP/1.1" 404 823 www.france-remorques.fr "http://search.ke.voila.fr/S/orange?rtype=kw&bhv=web_fr&kw=+&a


 
Je précise que IP : 90.13.32.121 est celle d'une machine sur laquelle j'ai fait une MAJ hier matin, et que l' IP : 81.56.159.120 est la mienne (fixe)
 
Qu'en pensez vous, quelque chose d'anormal ? un indice ?

aideinfo Regarde les logs Apache et FTP (si dispo).
samaudio Bonjour à tous.
 
Ce matin, vers 10h00 j'ai remarqué que l'un des sites que j'héberge chez 1and1 n'était pas disponible. :sweat:  
Après une rapide vérification, je remarque que tous le contenu du FTP à été effacé. :??:  
Il ne me reste que les fichiers de LOG(que je peux publier ici si cela peux aider)
 
Pensez-vous que j'ai pu être piraté ? :fou:  
 
J'ai envoyé un mail au service technique, mais je ne pense pas avoir de réponse avant lundi  :??:  
 
 
Merci pour vos commentaires

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR