Bonjour,
J'ai eu la mauvaise surprise en vérifiant mon site ce matin d'avoir un superbe drapeau turque et ce message:
Hacked By TheWayEnd
TheWayEnd Says: Sözümün Bittiği Yerde İsyanım Başlar...
İsyanım Başladığında İse Bilinki Kıyamet Kopar...
Je viens de contacter OVH chez qui j'ai mon site mais en attendant leur réponse pouvez-vous m'en dire plus?!!!!
merci
Salut,
tu n'es pas le seul dans ce cas.
Il y en des pages...
Le hacker exploite probablement des failles dans les sites pour les mettre HS.
Tutos sécurité: http://b.marlow.free.fr/
Merci Marlow,
Ce que je ne comprend, la veille j'avais un scan minutieux avec "avast"
qui ne ma rien signaler. J'ai comme parfeur "Sunbelt".
J'ai été sur ton site, il y a un outil pour éradiquer ce virus?
Comment ils ont fait pour infecter ma boutique????
MERCI Bonne journfée
C'est le problème d'avoir un site sans en connaître un minimum le fonctionnement: ce genre de hack a rarement à voir avec un virus.Envoyé par zeiss
D'autant plus que je présume que tu n'héberges pas ton site sur ton propre ordinateur, mais chez OVH...
Le problème vient de ton site: il y a un trou de sécurité permettant au hackeur de modifier ton site.
Ce trou peut être très simple: un mot de passe d'administration trop simple (genre présent dans un dictionnaire, ou une date de naissance, ...
Ou très complexe: une faille dans le code.
Ou d'autres possibilité: le hackeur a eu accès au mot de passe de ta messagerie, lui permettant de récupérer tes identifiants OVH, etc...
Le problème, c'est que tu vas devoir trouver d'où vient le problème... Première étape: modifier tous tes mots de passe, en utiliser des différents pour chaque application, restaurer (ou faire restaurer par OVH) une version précédente de ton site.
Deuxième étape, mettre à jour ton site s'il utilise un CMS ou un autre produit développé par d'autres.
En général, les hackeurs (ou les script kiddies...) aiment bien repasser sur les sites qu'ils ont défiguré pour recommencer. Tu sauras donc rapidement si la faille existe toujours.
Si c'est le cas... à part demander à un professionnel du secteur, j'ai peur que tu aies un gros problème...
Bonjour,
Si tu as un hébergement dédié, tu peux configurer IPtable pour bloquer toutes les requêtes HTTP contenant "Hacked By TheWayEnd".
Cordialement,
ProgVal
Bonjour,
Merci pour vos réponses.
Effectivement je suis chez OVH, mais en mutualisé.
Ils m'ont donc préconiser de télécharger leurs sauvegardes (snap1,2....) et surprise en cours de téléchargement, "avast" à découvert "bifrost 1.2cl" et "Win32:Vitro" que j'ai supprimé de suite.
Comment cela peut-il arrivé chez un hébergeur comme OVH ?
Par quelle source cela est arrivé? J'ai un mot de passe qui comprend des lettres, signe de ponctuation, et chiffre?!
Quelle en est leurs fonctions? J'ai lu que "bisfrost" servais à une tierce personne de prendre la main sur le site? Et "Vitro" ferais pas mal de dégats:
Eventuellement un de ces malwares pourrait-il servir à détourner des commandes de clients?
Une fois tous les mots de passe changer, existe t'il une solution autre que IPtable puisque je suis mutualisé?
Faut-il porter plainte?
merci
Difficile à dire comme ça... Mais disons qu'il y a 95% de chances que ce ne soit pas "de leur faute". Cf la liste des failles possibles précédemment citées
Il suffit de l'avoir tapé une seule fois sur un ordinateur vérolé pour qu'il ait été récupéré (ce qui n'est pas obligatoire)J'ai un mot de passe qui comprend des lettres, signe de ponctuation, et chiffre?!
Oui, mais si personne ne t'a contacté à ce sujet, pas d'inquiétude à avoir. Pour leurs coordonnées bancaires, je suppose que tu ne stockes pas ça chez OVH mais que tu fais appel à un service externe... dans ce cas, pas trop de soucis à avoir.Eventuellement un de ces malwares pourrait-il servir à détourner des commandes de clients?
Oui.Faut-il porter plainte?
Même si ça ne donnait rien dans l'immédiat, ça pourrait aider à le pincer la prochaine fois.
J'ajoute que dans un hébergement mutualisé il suffit qu'un des sites du serveur possède une faille de sécurité pour qu'un hacker mal intentionné s'en serve pour pénétrer jusqu'aux autres sites hébergés sur le même serveur.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Je ne veux pas commencer à troller, mais si tu en as la possibilité, fais héberger ton site sous GNU/Linux ou un *BSD. OVH doit proposer ce genre de services, mais je ne connais pas la qualité du support qu'ils offrent. Mais s'ils font ça bien, tu ne devrais pas sentir de différence dans la gestion de ton site.
Même s'il ne s'agit pas d'une protection absolue, le niveau de sécurité fourni de base par ces systèmes d'exploitation sont quand même largement supérieurs à ceux de IIS.
Mais cela ne te protégerait pas si c'est directement de toi qu'ils tiennent l'info (scanne bien ton PC, change tes mots de passes dont ceux de ta box internet). Néanmoins, Microsoft vient de publier un papier sur une bonne dizaine de failles qu'ils ont encore mis 2 mois à corriger. Si tu ne fais pas souvent tes mises à jours, c'est du pain béni pour tous les script-kiddies du coin.
Enfin, Avast! n'est pas un bon antivirus et, tout comme Sunbelt, n'est pas adapté à une utilisation de type serveur. Windows n'est pas un bon serveur. Je peux développer un peu si quelqu'un veut plus d'infos. Mais en terme de niveau de sécurité et qualité de service, ça peut descendre bien bas. Tu en paies les frais aujourd'hui. Et tes clients aussi : tu parles d'un site marchand, si tu as des données bancaires sauvegardées, contacte tes clients immédiatement en leur donnant la marche à suivre auprès de leurs banques pour protéger leur comptes.
Je ne peux pas affirmer que cela soit gratuit pour toi : la réfaction d'une carte bancaire n'est, à ma connaissance, pas gratuite. Ce n'est pas pour te faire peur, le danger est réel.
Je crois d'après la suite du message que tu n'as pas compris. Le site n'est pas hébergé sur un serveur Windows de zeiss. Il est hébergé chez OVH.
À moins que tu croies qu'OVH utilise IIS ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Qui sait ?
Même si ce n'est qu'en phase beta : http://www.ovh.com/fr/hebergement_mu...ndows_beta.xml
En outre, Windows est un choix proposé par OVH. Ensuite, j'avoue que la partie sur les sauvegardes n'est pas clair... Il a récupéré les sauvegardes chez lui et c'est à ce moment là qu'Avast! s'est réveillé ou bien il les a récupéré sur le serveur pour revenir à une version antérieur ?
La partie sur le scan complet n'est pas d'une très grande clareté non plus...
Mais bon, je dois avouer que dans ma tête Avast! for linux n'existe pas.
Par contre, il me semble que la réflexion sur les données bancaires des clients est fondée.
Bonjour,
Oui je suis chez OVH en mutualisé et c'est bien en récupérant une sauvegarde sur le serveur d'OVH qu' Avast" à détecté "Bifrost et Win32:Vitro"
Que préconise tu autre que "Avast",
Exist-il un logiciel qui empêche la lecture de ton pc pr un tiers?
En ce qui concerne ton PC la protection classique est pare-feu (pas celui de Windows, sauf celui de W7 en monde avancé ; personnellement je préfère Comodo bien plus évolué) un antispyware (Malwarebyte's antimalware est bien) et un antivirus.
Mais ne te trompe pas de cible : le seul vrai problème pour ton site au niveau de ton PC me semble être celui de la récupération de ton mot de passe que tu utilises chez OVH par un spyware (type keylogger). Ce dont tu as été victime est du defacing et cela a été fait directement par un pirate sur ton site chez OVH. Est-ce une faille dans ton site ou autre autre faille sur le serveur, je n'en sais rien.
Il est dommage que tu aies supprimé avec ton antivirus les fichiers de la sauvegarde qu'il t'a signalé : il aurait été intéressant qu'un spécialiste y regarde de plus près. Mais peut-être sont ils encore dans la Quarantaine ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Si le serveur ne tourne pas sous windows, les virus ont été mis là, vraisemblablement pour infecter ceux qui ouvrent ta page.
Je pensais que tu parlais d'un antivirus sur le serveur, ce qui est courant pour les serveurs mails ou pour l'échange de fichiers. D'où mes réflexions. Pour une utilisation personnelle, je ne veux pas donner naissance à un troll.Que préconise tu autre que "Avast"
Juste une réflexion tout de même : il est facile de mieux sécuriser un PC tournant sous Windows. D'abord désactiver les programmes en écoute dont tu ne te sers pas, ensuite te faire un compte utilisateur sans privilèges et l'utiliser à la place du compte admin que tu as certainement et enfin, ne pas aller sur des sites craignos, ne pas télécharger illégalement de programmes, ne plus utiliser internet explorer et ne pas ouvrir les pièces jointes de mails dont tu ne connais pas l'expéditeur.
Avec ça, je dirais qu'il n'y a même plus besoin d'antivirus.
C'est le principe de l'antivirus...Exist-il un logiciel qui empêche la lecture de ton pc pr un tiers?
En ce qui concerne le serveur, je répète : si tu avais stocké les coordonnées bancaires de tes clients, tu dois les prévenir que tu as subi une attaque.
Ensuite, au sujet de la cible de l'attaque, c'est OVH qui peut te renseigner en te donnant le détail des connexions vers ton serveur pour l'administrer. Si tout est en ordre, il y a eu un problème avec leurs serveurs. Si quelqu'un d'autre que toi s'est connecté la nuit précédente, le problème vient très certainement de toi.
Maintenant, puisque c'est mutualisé, il faut que chacun des webmestres fassent exactement la même chose.
Non : c'est le rôle du pare-feu et de l'antispyware.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
L'antispyware est une spécialisation de l'anti-virus... Ça m'a toujours fait marré ce truc typiquement windowsien d'installer un anti-machin suivit d'un anti-truc et d'un anti-bidule parce "qu'on ne sait jamais"... Et on se demande ensuite pourquoi sa machine met 3/4 d'heures à ouvrir une page ouaibe.
L'anti-virus est bon et dans ce cas, on l'utilise seul (les interactions avec les autres anti-machins peuvent le rendre complètement inefficace).
L'anti-virus n'est pas bon, et dans ce cas, on en trouve ou en achète un autre. C'est aussi simple que ça.
Un anti-virus s'occupe des malwares qui tentent de s'infiltrer sur le PC et ceux qui y sont déjà. Un keylogger est un malware, il est donc du ressort de l'anti-virus de l'éliminer.
Un parefeu permet, théoriquement, de limiter la casse quand l'ordinateur est déjà infecté. Sauf que c'était vrai il y a 10 ans. À présent, les malwares savent for bien contourner les parefeus... Et parfois, même pas besoin de réellement les contourner : il peuvent très bien se servir d'autres logiciels, autorisés comme windows update ou firefox... Un parefeu protège du monde extérieur, permet de faire du routage, de limiter l'utilisation de protocoles, etc. C'est tout. Donc sauf à monter un proxy (avec parefeu stateful n'intervenant au minimum au niveau applicatif), il y aura toujours moyen de contourner le pauvre parefeu filtreur de paquets, stateless, installé sur votre machine.
J'ai l'impression que tu ne sais pas ce que sont les pare-feux, même gratuits, que tu peux trouver pour Windows.
Quant à la distinction antivirus/antispyware il est exact que la frontière est floue et qu'il y a un recouvrement plus ou moins important, mais de fait dans l'état actuel des choses ils se complètent, même s'il y a recouvrement.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
J'ai utilisé pendant très longtemps Comodo. Sinon, j'ai utilisé outpost, sunbelt et zonealarm. Tous dans leurs versions gratuites. Il s'avère qu'a peu près tous agissaient comme packet filter et au mieux, faisait du filtrage par application demandeuse d'accès. Pas d'analyse de protocole, aucun moyen d'être sûr qu'il est encore en fonctionnement... Je dis ça parce qu'il y a quelque temps, des virus s'amusaient à arrêter la protection de zonealarm avant d'envoyer ce qu'ils voulaient sur internet. L'utilisateur n'en savait rien.
Autre petite chose : impossible, sur les parefeus cités, à l'époque où je les ai utilisés, d'effectuer des blocages conditionnels. Par exemple, pour prévenir un éventuel virus de spammer la planète en utilisant mon ordinateur et des serveurs SMTP ouverts. J'aimerais, tout simplement empêcher l'envoi de plus de 20 mails par jours ET empêcher l'envoi de plus de 5 mails par minute. Impossible de trouver quoi que ce soit de convenable.
Attention, je ne suis pas en train de dire que ces parefeu sont merdiques de façon générale ! Surtout pas ! Ce que je dis, c'est que n'importe quel malware présent sur un système aujourd'hui contourne aisément son firewall, quelqu'il soit. Et la pauvreté des règles que l'on peut soumettre n'arrange rien. Un moyen efficace d'éviter correctement ces contournements, c'est déjà de ne pas avoir le firewall sur l'ordinateur qui peut être infecté (la réflexion sur le proxy) pour éviter qu'il se fasse désactiver ou planter. Ensuite, j'ai vu de nombreuses personnes installer des versions parfois veilles de plusieurs années des firewall cités (parce qu'ils n'ont fait qu'aller voir dans un forum qui donnait un lien, on télécharge, on installe, sans se soucier de la version). C'est en ce sens ma grosse critique sur les firewall de mauvaise qualité que des gens ont encore.
Enfin, juste histoire d'enfoncer le clou. Un virus voyageant par le biais de bittorent et créé dans ce but aura toutes les chances de passer complètement inaperçu en utilisant le nom et les ports utilisés par le client torrent déjà présent sur le système.
De fait, ils se marchent plutôt sur les pieds et il faut sans arrêt que les développeurs d'anti-bidules ajoutent des EXCEPTIONS pour que leur logiciel n'aille pas bloquer l'anti-virus déjà en place. Or qui dit exceptions, dit failles (au mieux) ou plantages (au pire).Quant à la distinction antivirus/antispyware il est exact que la frontière est floue et qu'il y a un recouvrement plus ou moins important, mais de fait dans l'état actuel des choses ils se complètent, même s'il y a recouvrement.
Ensuite, en partant du principe qu'ils se complètent quid des anti-chevauxdetroie, des anti-viruspolymorphes, des anti-rootkit, anti-malwareplanquédanslambr, etc. ????
Mon Moi ! On m'aurait donc menti ! J'achète un antivirus pour m'apercevoir que ça ne bloque que les virus ?!!
Désolé, je ne pouvais pas résister au sarcasme (je sais, ce n'est pas bien).
Ce n'est vraiment pas contre toi JPL : le coup commercial du "je suis spécialisé dans l'éradication des rootkits polymorphes du 2e degré", je trouve ça consternant. Après, tu peux y croire, mais je n'ai jamais pu constater quand on m'appelle pour un problème informatique lié à ces petites bébêtes que n'importe lequel de ces anti-truc me trouvaient et m'éradiquaient quoique ce soit de plus que l'antivirus que j'utilise. Pourtant, ce n'est pas faute de ne pas essayer à chaque fois.
C'est bien pourquoi il y a ici un forum Sécurité et malwares où la détection et la désinfection se font avec des outils spécialisés, guidées pas à pas par des spécialistes bénévoles.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Oui, je ne suis ni en train de critiquer leur travail, ni en train de dire que ce n'est pas nécessaire.
Ce que je critique en revanche, pour cette partie, c'est l'argument commercial du "je suis spécialisé dans..." alors que rien ne prouve qu'ils sont réellement PLUS efficace qu'un antivirus.
Ce que dis de mon côté, c'est qu'un antivirus de façon général peut avoir besoin d'agir à la façon d'un virus pour simplement faire son job et que la multiplication des anti-truc sur une même machine ne fait qu'apporter plus de chaos et de failles potentielles du fait du blocage de l'antivirus par l'anti-truc ou bien du fait de l'introduction d'exceptions dans l'anti-truc qui pourront être exploitées par le virus.
Ma question est alors celle-ci : pourquoi, alors qu'ils sont prévus pour éradiquer la même chose ou bien moins (spécialisation) cumuler les anti-trucs ?
Si quelqu'un ne trouve pas sa voiture suffisamment bonne, il va le vendre et en acheter une autre. Pourquoi ne pas prendre un anti-virus plus performant au lieu de garder plusieurs programmes qui s'embêteront entre eux, en plus de surcharger la mémoire, surcharger les accès au disque et surcharger la RAM ?
Bien sûr, je ne suis pas stupide, je sais que la spécialisation permet de garder plus de signatures du type de malware considéré en mémoire. Mais si ces signatures sont effacées, c'est qu'il n'y a plus lieu de les garder. Et là encore, certains antivirus gardent une plus grande base de donnée de signatures que d'autres.
Enfin, un antivirus ne se limite plus à des signatures : on identifie plus seulement un morceau de fichier, mais un comportement. Et à ma connaissance, les meilleurs dans ce domaine sont les programmes commercialisés sous l'appellation "antivirus".
Les antivirus détectent assez bien (plus ou moins bien d'ailleurs selon les marques) les virus mais sont globalement mauvais à très mauvais pour les éradiquer. C'est pourquoi le groupe antimalware utilise généralement des outils plus spécialisés différents selon le type d'infection.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Ah attention ! Je ne parlais pas d'outils d'éradication spécifiques que d'ailleurs les développeurs d'antivirus fournissent bien souvent sur leur site. Là je suis tout à fait d'accord, utiliser ce genre de petits logiciels est la bonne marche à suivre !
Je parle du gars qui installe avast!/antivir/bitdefender/kaspersky/[autres...] (ou parfois plusieurs d'entre eux) ET antispyware2000, antimalware++, antirootkit3000, etc. (noms fictifs, mais on peut mettre ce que l'on veut là dedans). Avec tout ce petit monde qui se charge au démarrage ou qui est lancé par l'utilisateur après que son antivirus lui ai dit qu'il n'a rien trouvé. Cela va peut-être te sembler normal, mais installer 15 logiciels de protection est un comportement que je retrouve chez à peu près toutes les personnes que je connais.
C'est avec ce genre de choses là que je ne suis pas d'accord.
EDIT: je viens de comprendre à quels logiciels tu faisais référence... Cela rejoint en fait ma réflexion sur "si ton antivirus te convient pas, trouve en un autre"... Les gens ne devrait pas avoir à utiliser 15 logiciels spécialiser pour venir à bout d'un virus. À quoi sert l'antivirus ? À quoi sert son éditeur ?
Après, je suis d'accord qu'on ne va pas dire au gens "déboursez 50€ pour tel antivirus qui vous fera mieux le boulot". Donc je comprends parfaitement la ligne de conduite de l'équipe antimalware.
Le problème c'est que pour éradiquer de nombreuses infections le passage à la moulinette standard est inefficace, même avec les meilleurs antivirus. Il faut des outils de chirurgie fine... et encore faut-il savoir comment les tenir.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Chez des hébergeurs de la taille d'OVH, tu te doutes bien que ce scénario n'est pas crédible un instant : chaque site est emprisonné dans son propre espace, il n'a pas accès aux données des autres (et heureusement, vu le nombre de sites hackés par jour...). Je rajouterais qu'il n'y a pas de "sites hébergés sur le même serveur".
Quant à la remarque sur Windows, c'est mal connaître OVH... la dernière fois qu'ils ont annoncé le passage de toute leur infrastructure sous Windows c'était un.. 1er avril ! Ceci dit, peu importe l'OS du serveur : s'il est mal administré, il sera hacké.
J'espère que non, c'est totalement illégal !
Eh bien justement, mis à part les signatures choisie (quoique, certains antivirus gardent une très longue liste de signatures), je ne vois pas la différence entre ces programmes. D'où ma réflexion sur l'argument commercial bidon. Spécialisation, surtout dans ce domaine, ne signifie pas meilleur.
Je n'ai jamais eu de serveur chez eux. Tout ce que je constate, c'est qu'ils laissent le choix d'utiliser Windows à leurs clients. Après, que ce soit de la virtualisation ou non, on s'en tamponne le coquillard. Donc pour moi, le contexte n'était pas si simple à établir.
PayPal est illégal ? Il me semble pourtant qu'il propose un système de compte sur leur site permettant de ne pas avoir à retaper ses coordonnées bancaires à chaque fois. (je ne sais pas)J'espère que non, c'est totalement illégal !
Sinon, il me semblait qu'il suffisait d'une déclaration à la CNIL, mais peut-être pas pour les coordonnées bancaires cependant.
Et qu'est-ce qu'un hébergement mutualisé sinon cela ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Pas vraiment, c'est une beta publique assez récente. Depuis qu'OVH existe ils n'ont jamais proposé de Windows en mutualisé à ma connaissance. De toute façon ce n'est pas ça qui aurait aggravé la sécurité du site.
Quel rapport avec la virtualisation ??Après, que ce soit de la virtualisation ou non, on s'en tamponne le coquillard. Donc pour moi, le contexte n'était pas si simple à établir.
Oui mais ce n'est pas PayPal qui a été hacké. Au pire, le site de zeiss stockait les adresses mail associées aux comptes PayPal, mais jamais leur mot de passe. Pour stocker des coordonnées bancaires, il y a des normes très strictes à respecter.PayPal est illégal ? Il me semble pourtant qu'il propose un système de compte sur leur site permettant de ne pas avoir à retaper ses coordonnées bancaires à chaque fois. (je ne sais pas)
C'est le partage de ressources entre plusieurs clients, ça n'implique pas qu'il y ait un serveur physique pour autant de clients. A cette échelle, on utilise des parcs de machines spécialisées (stockage, accès ftp, exécution des scripts, etc...), ça ressemble plus à un "nuage", d'où ma remarque sur le non sens de l'expression "sites hébergés sur le même serveur".
Sauf que n'ayant jamais eu à faire avec eux, et voyant, sur leur site, qu'ils proposent des serveurs Windows, le contexte donné initialement n'était pas assez clair pour moi. C'est tout ce que je dis.
En gros, à un moment donné, je ne savais pas si avast! tournait sur la machine local ou sur le serveur. Ce qui, je pense que tu me l'accorderas, n'implique pas les mêmes choses.
Ça change pas mal de choses au contraire. Tu te réveilles un matin, ton site est défacé. Tu récupères tes sauvegardes de ton serveur fonctionnant sous linux et tu découvres deux virus pour Windows. Qu'est-ce que tu en conclus et que vas-tu faire ?De toute façon ce n'est pas ça qui aurait aggravé la sécurité du site.
Maintenant, Tu te réveilles un matin, ton site est défacé. Tu récupères tes sauvegardes de ton serveur fonctionnant sous Windows et tu découvres deux virus pour Windows. Qu'est-ce que tu en conclus et que vas-tu faire ?
Il me semble que le comportement à adopter est légèrement différent. Mais bon, tu vas sans doute me dire que tu ferais exactement la même chose dans les deux cas... "Regarder les logs, nettoyer et changer mes mots de passes" est suffisamment vague pour s'appliquer aux deux...
Ce que je voulais dire, c'est qu'on se fout pas mal, dans le cas sus-cité si tous les serveurs tournent sous linux ou autre chose. Ce qui est important, c'est l'OS sur lequel tu as trouvé ces virus tout simplement parce que le comportement à adopter en dépend. À supposer bien sûr qu'OVH fasse appel à la virtualisation pour ses services.Quel rapport avec la virtualisation ??
Ok, c'était ce que je voulais savoir.Oui mais ce n'est pas PayPal qui a été hacké. Au pire, le site de zeiss stockait les adresses mail associées aux comptes PayPal, mais jamais leur mot de passe. Pour stocker des coordonnées bancaires, il y a des normes très strictes à respecter.
