Forum securite - entreprise - INTRUSION - AUTHENTIFICATION - ATTAQUE - PROTECTION

liste de forum SécuritéHome     FAQFAQ     ProfilProfil     S'enregistrerS'enregistrer     ConnexionConnexion  

Website Drupal ET Wordpress hackés - comment? que faire?

Répondre au sujet
Auteur Message
Kamikaze Panda



Inscrit le: 19 Mai 2011
Messages: 3

MessagePosté le: Jeu Mai 19, 2011 7:50 am    Sujet du message: Website Drupal ET Wordpress hackés - comment? que faire? Répondre en citant

Bonjour,

Cela fait un petit bout de temps que je fais du web.
Hier soir, pour être précis, j'étais en ligne avec un ami pour qui j'ai réalisés 2 sites web. Ceux-ci ont été "hacké" car tous leur contenu avait en fin de code (HTML) une tag en plus :

Code:
<script src="http://infoitpowering...je sais plus quoi.../II.php?...=11"></script>


le plus étonnant est que ce HTML ait été rajouté uniquement dans les "body" des contenus (pas de trace ailleurs, ni dans les commentaires, ni dans les formulaire de contacts...) et ce, pour les deux sites alors qu'ils n'utilisent pas la même DB et sont basés un sur WordPress et l'autre sur Drupal.

Après quelques investigations, il s'avère que:
    - L'URL pointée par le script ne donne rien
    - le nom de domaine a été créé le 16.05.2011, donc tout récent
    - le domain est sur un DNS en russie
    - Le proprio du domaine est une société chinoise (site de la société .cn)site web déjà pointé par McAffe comme "dangereux"

Pour faire mon clean-up, voici ce que j'ai fait:
    - un "found and replace" de la fameuse tag dans mes deux DB pour la supprimer.
    - un ENORME backup des fichiers et de la base au cas où.
    - Remplacement des mots de passe pour les users (un "member/editor": le pote ; 1 super admin, moi)

Mes questions sont:
- Que dois-je faire d'autre afin d'augmenter la sécurité pour ce
s deux sites ?
- Comment les hackers ont-ils pu faire cela, en sachant qu'il y a d'autre DB chez l'hébergeur et que seules celle concernant DRUPAL et WordPress ont été modifiée) ?

(bien-entendu, ma première question est TRES importante pour moi... la deuxième boarf, si par hasard vous avez entendu parler d'un cas similaire...je suis preneur...)

merci d'avance.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Auteur Message
JeremyA
Site Admin


Inscrit le: 01 Nov 2006
Messages: 206

MessagePosté le: Jeu Mai 19, 2011 8:08 am    Sujet du message: Re: Website Drupal ET Wordpress hackés - comment? que faire? Répondre en citant

Kamikaze Panda a écrit:
j'ai réalisés 2 sites web.
...
- Que dois-je faire d'autre afin d'augmenter la sécurité pour ces deux sites ?


Euh.. C'est toi qui les as codé ! Et n'ayant pas le code il est impossible de t'aider. Tu as surement du faire des erreurs, mais comment savoir ?!
Il faut faire un audit de code pour cela.
Désolé, mais je ne peux pas te sortir de réponses magiques sans avoir auditer ton code !
_________________
Scanner TCP/UDP
Brute Force DNS
Sniffers et Anti Sniffers
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Auteur Message
Kamikaze Panda



Inscrit le: 19 Mai 2011
Messages: 3

MessagePosté le: Jeu Mai 19, 2011 8:50 am    Sujet du message: ahem... Répondre en citant

Merci pour votre réponse, mais je me suis peut-être mal exprimé (enfin sûrement, mais bon je me soigne)...

La problématique est qu'il ne semble pas que le peu de code (PHP etc..) que j'ai réalisé soit à "l'origine du mal", vu que j'ai tapé quelques snippets (sans accès DB ou autres) que pour le theming des deux sites.

Donc cela doit être au niveau des deux CMS (drupal et wordpress).

Mais du coup, avec votre réponse, petite question:
- Qui peut réaliser un tel audit ?

Notes: je ne pense pas que pour le moment cela soit nécessaire, je vais me rabattre sur divers modules de ces CMS pour en faire une évaluation perso etc... Mais d'ici la fin de l'année, voir début de l'année prochaine, ces deux sites (qui concernent une société à Seattle) vont évolués et passé du stade "simple vitrine" à espace communautaire... donc...
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Auteur Message
Kamikaze Panda



Inscrit le: 19 Mai 2011
Messages: 3

MessagePosté le: Jeu Mai 19, 2011 8:52 am    Sujet du message: ah et j'oubliais.. Répondre en citant

oui... j'oubliais:
avis d'un spécialiste:
ai-je eu les bons "reflexes" (nettoyage + backup + changement des accès) ?
Est-ce que j'aurai pu faire autre chose (de simple, oui je sais, c'est très relatif) ?
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Auteur Message
JeremyA
Site Admin


Inscrit le: 01 Nov 2006
Messages: 206

MessagePosté le: Jeu Mai 19, 2011 12:15 pm    Sujet du message: Répondre en citant

En fait la cause du mal comme tu dis est difficile à prédire.
D’abord tu utilise des CMS dont tu ne connais pas le code interne ; la première question, as-tu utilisé les dernières versions avec les dernières mise-a-jour ? Même si la réponse est positive, il ne faut pas négliger les 0-day. Ces CMS représentent une grande partie des sites web actuels et par conséquent bcp de pirates recherchent des exploits pour ces CMS.
Ensuite, tu dis que ton code PHP n’accède pas à la bdd, mais que fait-il vraiment ? Il est possible d’accéder à la bdd indirectement...
Ensuite, il ne faut pas écarter l’infection de ton PC de développement. Certains malware se chargent de récupérer les login/pwd de client ftp, ssh, firefox, ensuite simplement le pirate aura accès à l’intégralité de ton site, bdd, etc. Il peut « mettre à jour » les fichiers qu’il veut Wink
Ce ne sont pas des cas aussi rares qu’on peut le penser. De plus, si tu dis que les logs ont été effacé et qu’il n’y a aucunes traces, cette piste est plausible.
Donc je te conseillerais d’être sur que ton PC est sain ; puis changer tous tes mots de passe (ftp/web/bdd/ssh/…) ; mettre à jour drupal ou autre si possible.
En parlant de mot de passe, j’en ai pas parlé mais j’espère que tes pwd sont complexes ? Non trouvables par bruteforce ou dictionnaires cela va de soit ?

Pour auditer ton code, c’est très souvent payant, tout dépend combien tu es prêt à mettre Wink
_________________
Scanner TCP/UDP
Brute Force DNS
Sniffers et Anti Sniffers
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Répondre au sujet Page 1 sur 1


mot clé : que authentification reseau faire et intrusion dos vpn post hackes comment website forum attaques drupal securite wordpress aide

Copyright © 2011-2015 authsecu.com. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web sécurité implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée de Sécurité. IP VPN LAN Téléphonie entreprise Expert de votre Infrastructure Serinya Operateur Telecom