hack de mon adminstration

[NHB]

Salut

Je n'ai rien trouvé en rapport à ce qui m'arrive : une équipe de hackers turcs ont réussi a pénétré mon adminstration xoops et y installé une page.

Lorsque je vais dans mon adminsitration, j'ai une photo de Kemal Ataturk et toute une propagande pro-turque sur toute la page. Je ne peux rien faire car toutes les lien qui me donne accès à protector sont "écrasés" par la photo et les autre lien.

Ils n'ont rien touché au site en lui-même mais juste à l'adminstration.
par quel biais a pu etre faite cette intrusion ?

Que faire ?

C'est la "korsan team". Ils ont mis une page mp3 et grace à unplug de firefox je sais que le son est du rap turc " korsan team"

voici qq images qu'ils ont mis sur la page de substitution :

http://kimesor.com/images/AYT_Anitkabir_by_WhiTeBiRdTurk.jpg

http://kimesor.com/images/Untitled%204.jpg

http://kimesor.com/images/Untitled%203.jpg


En revanche je viens de voir que mes chmod pour mon www sont en 777, ça peut être ça ?

Merci

[NHB]

Etonnant ! Sur mon admin il n'y a plus une seule photo : elles ont été retirées mais j'avais eu le temps de voir leur source

[cateseb]

je m'ajoute à la liste des sites hackés par des "turcs d'extreme droite"
joomla 1.07 coppermine 1.4.8 sur cateseb.com
l'unique page hackée a été /joomla/configuration.php
l'image du hack est celle ci http://img444.imageshack.us/my.php?image=hackedlm9.jpg

la question est: edelweiss responsable ou les webmasters de nos 3 sites?

[trucmuche]

Cateseb, quand tu refuses une priorité de droite avec ta Peugeot, est-ce que tu te demandes si Peugeot est responsable ?

+1 pour Chico, bien évidemment...

Mesures de base de sécurité (liste non exhaustive) :
1) les fichiers/répertoires en chmod 777 tu éviteras ;
2) les updates de tes cms et de ses composants très rapidement tu installeras ;
3) aucun composant dangereux tu n'utiliseras.

[cateseb]

en fait jusqu'à ce matin, je n'avais aucun doute quant au responsable de ce hack : moi (et mes MAJ pas faites).
mais en apprenant ce matin que plusieurs sites ébergés par le même fournisseur ont été victimes du même groupe turc, je me suis posé des questions...
ma question reste donc ouverte

[trucmuche]

Meilleure image : vous êtes cinq à acheter une mer****z avec une alarme volumétrique, périmétrique, un capteur de tremblotte, un capteur dans le siège avant pour si le voleur s'assied dedans et tout le pack "security", mais quand vous allez en ville, vous laissez la porte ouverte faut pas s'étonner

Je pense qu'il ne faut pas chercher des fautifs ailleurs... Bien souvent, le problème se situe entre la chaise et l'écran.

ps. tiens Albert, comment ca va ? Ça fait longtemps dis donc

[Patrick]

Mon site a aussi été hacké.
Pour autant que je sache j'étais cependant en dernière version Joomla.
Je viens de le mettre offline en renommant /site/index.php en /site/index_backup.php
Voici mon site www.technicaldivinggroup.com/site/index_backup.php.
Je ne trouve pas de fichiers qui ont été modifiés.
Je suppose que le hack passe par la db mysql.

Patrick

[NHB]

heu si je dérange pas trop j'aimerai reparler du piratage de mon site...

Mon site est sous xoops et est parfaitement protégé : tout est en règle, j'ai protector et la dernière version du noyau a été installée en septembre 2007.

Donc tout est clean et mis à jour.

[NHB]

je m'ajoute à la liste des sites hackés par des "turcs d'extreme droite"
joomla 1.07 coppermine 1.4.8 sur cateseb.com
l'unique page hackée a été /joomla/configuration.php
l'image du hack est celle ci http://img444.imageshack.us/my.php?image=hackedlm9.jpg

la question est: edelweiss responsable ou les webmasters de nos 3 sites?

Moi aussi c'est la même organisation turque : ayyildiz team mais le site duquel est téléchargé ces pics c'est "korsan team"

[NHB]

Mon site a aussi été hacké.
Pour autant que je sache j'étais cependant en dernière version Joomla.
Je viens de le mettre offline en renommant /site/index.php en /site/index_backup.php
Voici mon site www.technicaldivinggroup.com/site/index_backup.php.
Je ne trouve pas de fichiers qui ont été modifiés.
Je suppose que le hack passe par la db mysql.

Patrick

c'est exactement la même bande de ***** qui m'ont hacké hier : même images, même reproches et même musique rap

Tu as trouvé par où ils sont passés ? je regarde mes logs mais je ne vois rien

 

[trucmuche]

Mon site est sous xoops et est parfaitement protégé : [...]

LOL. Ben visiblement pas

Ceci dit, pour cateseb qui utilise joomla 1.0.7, tu peux jeter un ptit coup d'oeil là ou te rendre compte que joomla 1.0.7 n'est pas la dernière version stable (et elle est même assez ancienne), puisque c'est la version stable courant est la 1.0.14 à l'heure actuelle (voir ici) et non pas la 1.0.13 comme le dit l'ami chico

[cateseb]

j'étais en train de tester joomla 1.5 sur mon propre réseau avant que ça arrive.
mais il y a pas mal de boulot d'adapation pour les composants, je suis loin d'avoir terminé.

[sdonatien]

Bonsoir,

Moi aussi j'ai été piraté par la même bande sur le site ecolesaintdonatien.net/
J'ai repéré une ficheir index.php avec une date récente.
En effet ils ont remplacé le index.php par une description de page d'acceuil.
La solution : Reprendre un autre index.php d'un autre site joomla, l'installé sur le serveur et hop tout remarche impecable.
Bon pour la suite :
On fait une bonne sauvegarde en local du site au cas ou ils reviendraient.
On  fait quelques mises à jour sous global.PHP notamment celles indiquées par le CMS lui même mais non  appliquées...
On met à jour Joomla (qq peut me dire comment?)
On fait des sauvegardes locales avec joomla pack
Et on retire les composants dangereux (qq peut me dire lesquels?)
Allé courage.
Thierry

[NHB]

bjr

j'aimerai savoir comment régler le probleme du "allow_url_fopen" qui est a  "ON" ?

Car mon module de sécurité me dit que ce n'est pas sécurisé et que c'est mon hébergeur qui peut changer cette option en la mettant à OFF
 

[NHB]

Ah bon ? Dans ce cas il ne doit pas le vouloir car j'ai envoyé un mail et il est resté sans réponse