Victime d'un piratage de Site de Vente en Ligne

Victime d'un piratage de Site de Vente en Ligne - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 20-06-2009 à 23:59:33    

Bonjour amis HFRiens :)

 

Alors voila, j'essaye de vous exposer le soucis le plus précisément et le plus concisément possible :

 
  • Mon père tient une PME dans la connectique, 4 agences, ca tourne bien.
  • Mais modernisme oblige, il a développé un site de vente en ligne, basé sur Oscommerce.
  • Ce site est donc hébergé chez OVH, avec 2 noms de domaines ratachés, un .fr et un .net
  • Depuis peu, il a développé un deuxieme site de vente en ligne, mais cette fois dédié uniquement à la vidéo surveillance.
  • Il l'a hébergé également chez OVH, sur un deuxieme hébergement.
  • Et encore un .fr différent rataché à ce nouveau site.


Donc je récapitule :
- 2 sites distincts sur 2 hébergements distincts. Mais les 2 sites sont composés du même ensemble de scripts php.

 

Depuis début Juin, il est victime d'un piratage.
Dans tous les fichiers comportant "index" dans leur nom, une ligne s'est retrouvé par ci par là, une fois à la ligne 60 une fois à la ligne 20, aléatoirement, comportement les balises HTML <iframe>, quelque chose ressemblant à :

Code :
  1. <iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>


(ceci est juste à titre d'exemple, je n'ai plus la ligne exacte en mémoire)

 

La conséquence de ces fichiers modifiés rend tout simplement le site non fonctionnel (il n'affiche plus rien à part une ligne d'erreur).

 

Ceci est plutôt TRES ennuyeux pour des professionnels... J'ai tout d'abord conseiller à mon padre de ne plus toucher à son site à partir de son boulot (je ne suis pas confiant de la sécurité locale qu'ils ont) mais d'y toucher que depuis son PC Portable (donc j'ai moi même fait l'installation et la configuration de NOD32, etc). Puis suivant les conseils d'OVH on a changé les mdp et emails de connexion aux FTP et à l'interface OVH.
On est resté 1 semaines tranquille environ (exploit sachant qu'avant ceci, le site était "repiraté" toutes les 12h environ).
Puis là, hier, BIM, les fichiers se sont retrouvés modifiés, avec en plus un _index.html apparu à la racin de /www/  ...
Donc là j'ai tenté de regarder les logs de connexions FTP, j'ai , comme je m'y attendais, trouver différentes adresses IP, jamais la meme, chaque piratage provenait d'une IP différente.
J'ai tout de meme fait un traceroute, je suis tombé un peu partout à la surface du globe, un peu aux USA, un peu en allemagne, un peu en italie... Donc proxy ou ip spoofing là dessous...

 

Je refait un point :

  • Connexion uniquement depuis 1 seul PC sécurisé.
  • Logins et Passwords OVH et FTP modifiés, ainsi qu'adresses e-mail rattachées.
  • 1 semaine sans soucis, puis repiratage.
  • Jamais la meme IP dans les logs FTP.
  • IPs n'aboutissant à rien de concret.


Alors c'est dans le plus grand désarroi que je fais appel à vous...
Dans l'idéal, il faudrait pouvoir localiser la faille, si elle provient du site web, dans les scripts PHP ou Javascript, ou bien s'il s'agit d'un virus ayant infectés les différents PCs... (Sachant qu'a chaque piratage mon pere rechange les logins/MDP/emails...)
Et biensur la corriger.

 


Je remercie mille fois d'avance ceux qui voudront bien m'aider.

 

(j'ai également posté dans la section Windows & Software / Sécurité , mais vu qu'il s'agit d'un site professionnel et que le problème est quand même assez ardu, j'ai pensé utile de le reposter ici, merci de votre compréhension :) )

 

PS : l'url du site pourrait peut-être utile :D  -> www [dot] derotronic [dot] fr (le site principal, l'autre attendra :p)


Message édité par mayo__ le 21-06-2009 à 00:03:47

---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 20-06-2009 à 23:59:33   

Reply

Marsh Posté le 21-06-2009 à 11:50:58    

desactive ton serveur ftp et reactive le uniquement qd tu veux  modifier ton site, enfin si ovh permet cette fonction.
Je tiens çà dire que tu peux te retourner contre ovh car c'est eux les responsables de l'intrusion. Dis leur sinon qu'il change le port du serveur ftp (21 par défaut) ou qu'il te donne un acces via un applet java qui permet de faire de l'upload (comme webmin par exemple sous linux).
C'est dingue ça, OVH est le seul responsable et c'est à eux de te proposer un autre moyen de mettre tes fichiers online que ce serveur ftp piraté.

Reply

Marsh Posté le 21-06-2009 à 12:19:45    

lecharcutierdelinux a écrit :

desactive ton serveur ftp et reactive le uniquement qd tu veux  modifier ton site, enfin si ovh permet cette fonction.
Je tiens çà dire que tu peux te retourner contre ovh car c'est eux les responsables de l'intrusion. Dis leur sinon qu'il change le port du serveur ftp (21 par défaut) ou qu'il te donne un acces via un applet java qui permet de faire de l'upload (comme webmin par exemple sous linux).
C'est dingue ça, OVH est le seul responsable et c'est à eux de te proposer un autre moyen de mettre tes fichiers online que ce serveur ftp piraté.


C'est pas vraiment eux le soucis, enfin...
J'ai un peu creusé la chose, mon père apparemment aurait été infecté sur les pc du boulot par une sorte de virus nommé "HTML:iFrame-inf.exploit" , en gros, une page web avec un exploit dans un iframe quoi... Donc ca pourrait peut etre venir de là je sais pas ><
Mais je pense qu'il doit bien y avoir une faille dans le site lui meme non ? Si c'est le cas dans ce cas OVH ne peut etre tenu responsable des "erreurs" de programmation arf..
 
Par contre penses-tu qu'il existe une sorte de filtrage IP pour les connexions FTP ? Du genre ne donner l'acces QUE aux deux IPs a partir desquelles se connecte mon pere, la maison et le boulot ?
 
Merci beaucoup :)


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 21-06-2009 à 12:25:08    

Salut,
 
Il y a fort à parier qu'il s'agisse d'IP dynamiques, tu pourras donc pas utiliser ce type de filtrage


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 21-06-2009 à 12:46:16    

esox_ch a écrit :

Salut,
 
Il y a fort à parier qu'il s'agisse d'IP dynamiques, tu pourras donc pas utiliser ce type de filtrage


Salut, les ips de chez moi et celle du boulot de mon pere sont des IPs fixes jusetment, c'est pour ca que ca me traverse l'esprit, jvais tenter de voir ca avec OVH,
Par contre reste toujours le probleme du virus/de la faille du site.
 
Avis aux pros :)


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 21-06-2009 à 13:06:57    

va demander sur le forum de oscommerce si il y a une faille d'actualité.
 

Reply

Marsh Posté le 21-06-2009 à 13:10:47    

hppp a écrit :

va demander sur le forum de oscommerce si il y a une faille d'actualité.
 


Déjà fait, le soucis c'est que personne n'a su explicitement me dire "c'est là !" mais juste ce que je me doutais déjà "ca peut venir d'un JS" ou ce genre de choses..
Mon but est vraiment de scanner tout mon site pour trouver LA faille, le soucis c'est que c'est pas dans mes capacités...


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 21-06-2009 à 13:17:59    

Bien trouver une faille faut y passer quelque jours si elle est pas basic, genre si c'est pas de l'injection mysql ou autres.
 
En plus si la faille viens du serveur ftp tu peut rien y faire, regarde si tu peut désactiver ton compte ftp.
Après si ça recommence ça viendra bien de ton site, si c'est le cas regarde pour désactiver tous les JS et c'est comme ça que t'y arrivera, car c'est un robot qui semble modifier ton script, donc il le refera comme il a l'url de ton site.

Reply

Marsh Posté le 21-06-2009 à 13:23:09    

Tu penses à un robot ?
Parce que je patauge grave, j'arrive pas à savoir si c'est une personne physique ou un robot qui s'occupe de ca...
Je vais voir pour filtrer les connexions au FTP ou carrément le désactiver.
Dans le cas où le problème persiste, ca voudra dire que c'est bel est bien de l'injection ou autre alors ? arf :/ Perso j'en doute, étant donné le nombre de sites qui utilisent oscommece (genre la FNAC), mais bon, verra bien.
Jte remercie ;)


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 21-06-2009 à 13:34:42    

t'as pas modifier de script dans oscommerce? Dernier version installé?
 
Si quand tu désactive ton compte FTP et que t'as plus de problème pendant 3 semaines cherche pas c'est le serveur ftp qui a une faille.
 
Pour moi c'est un script/robot qui cherche des failles sur net, y a presque que ça sur le net. Car si il fallait faire ça à la mains il pourrait pas aller bien loin.

Reply

Marsh Posté le 21-06-2009 à 13:34:42   

Reply

Marsh Posté le 21-06-2009 à 14:24:34    

suffit de regarder les logs apache mais tu ne dois pas y avoir accès :o

Reply

Marsh Posté le 21-06-2009 à 14:34:27    

ouais aussi, normalement si, ovh laisse accès au logs apache et ftp

Reply

Marsh Posté le 21-06-2009 à 16:07:07    

Pour les logs, je sais qu'on a accès aux logs FTP et HTTP, je sais pas si ovh entend par "HTTP" les logs du serveur Apache, je récupère les logs ce soir et je vous poste ca.
 
Sinon on a eu des réponses concrètes côté Oscommerce sur leur forum, c'est absolument impossible que cela vienne d'eux, tout du moins, sur la version que mon père a, sur l'ancienne il y avait des failles, mais pas sur la sienne, donc c'est bien une attaque localisée :/


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Marsh Posté le 22-06-2009 à 06:39:16    

Quel serveur FTP utilise OVH ?
Ca doit être noter à la connexion.

Reply

Marsh Posté le 22-06-2009 à 09:04:08    

Tiens regarde par là, le même problème : http://forum.ovh.com/showthread.php?t=48519&page=4

 

Çà semble bien être un problème de pc infecté.

Message cité 1 fois
Message édité par hppp le 22-06-2009 à 09:04:27
Reply

Marsh Posté le 22-06-2009 à 12:29:32    

hppp a écrit :

Tiens regarde par là, le même problème : http://forum.ovh.com/showthread.php?t=48519&page=4
 
Çà semble bien être un problème de pc infecté.


Merci beaucoup, pas le temps de lire ce midi, je ferais ce soir, mais à la toute base pour moi c'etait bien un pc infecté, maintenant lequel, j'en sais rien ><


---------------
Achats/Ventes / Feedback (+3200 €)
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed