mon site a été hacké - bart35 - 05-06-2010
Salut à tous, et à Spyto particulièrement
je viens vous voir pour essayer de comprendre ce qu'il s'est passé.
j'étais avec la version 1.4.11 jusqu'à hier, et un petit malin a réussit à modifier le template index de tous mes thèmes... je vous joins en txt le code qu'il avait mis. Du coup, dès qu'on essayait d'aller sur index.php on se retrouvait avec une belle page noir avec quelques images et un grand "hacked by vicious" et des mots en russe, mais toutes les autres pages fonctionnaient parfaitement. J'ai donc récupéré une sauvegarde de ma bdd pour recopier mon code du template index, puis j'ai fait les màj 1.4.12 et 1.4.13.
Et depuis hier, j'essaie de voir dans mes logs qui a bien pu faire ça, et comment il a fait.
j'ai trouvé ça:
Citation :196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:40 +0200] "OPTIONS / HTTP/1.1" 200 2268 "-" "Microsoft Data Access Internet Publishing Provider Cache Manager"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "OPTIONS / HTTP/1.1" 200 2268 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "GET /_vti_inf.html HTTP/1.1" 404 211 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 225 "-" "MSFrontPage/4.0"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "GET /_vti_inf.html HTTP/1.1" 404 211 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 225 "-" "MSFrontPage/4.0"
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_inf.html
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_bin
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_inf.html
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_bin
et ça:
Citation :91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /calendar.php?action=addevent&calendar=1 HTTP/1.1" 200 8087 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /index.php HTTP/1.1" 200 2268 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /search.php HTTP/1.1" 200 10646 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /memberlist.php HTTP/1.1" 200 41310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:46 +0200] "POST /memberlist.php HTTP/1.1" 200 9435 "http://indispensables.fr/memberlist.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:46 +0200] "POST /memberlist.php HTTP/1.1" 200 9435 "http://indispensables.fr/memberlist.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
je sais que c'est arrivé entre 10h30 et 16h, mais le fichier des logs est tres gros, donc je fais le tri dans les ip que je connais, et celles-ci me semblent bizarres, la 1ere vient du maroc et la 2ème de russie, je penche donc pour la russe, mais je ne comprends pas comment il a pu attaquer mon site avec juste ça...
bref, si vous pouvez éclairer un petit peu ma lanterne, ça serait tres sympa... si vous avez déja vu ça... si vous savez comment il a pu faire...
j'imagine que c'est un bot et que je ne peux pas me venger, mais j'aimerai au moins comprendre ? pourquoi tant de haine ???
merci d'avance...
RE: mon site a été hacké - bart35 - 05-06-2010
je viens de découvrir Zone-H.org qui répertorie les sites hackés, avec une archive de l'image du hack...
donc le fameux vicious a pas mal travaillé le 03/06/2010, je n'étais pas le seul:
http://zone-h.org/archive/notifier=ViciOuS
et voici l'archive de mon site:
http://zone-h.org/mirror/id/10801582
RE: mon site a été hacké - bart35 - 05-06-2010
ok, du coup grace à ce site, j'ai pu voir que le hack a eu lieu à 12h34... ça devient plus facile de retrouver l'ip dans les logs:
Code :
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:52 +0200] "GET / HTTP/1.1" 200 5579 "http://www.bing.com/search?q=ip%3a213.186.33.19+mybb&go=&first=11&FORM=PERE" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:53 +0200] "GET /jscripts/shoutbox.js?ver=121 HTTP/1.1" 200 4764 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:53 +0200] "GET /cache/themes/theme26/global.css HTTP/1.1" 200 11380 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:53 +0200] "GET /jscripts/popup_menu.js?ver=1400 HTTP/1.1" 200 2648 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:53 +0200] "GET /jscripts/general.js?ver=1400 HTTP/1.1" 200 20639 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:53 +0200] "GET /jscripts/prototype.js?ver=1400 HTTP/1.1" 200 75864 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/bg.png HTTP/1.1" 200 254 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/off.gif HTTP/1.1" 200 1232 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/collapse.gif HTTP/1.1" 200 82 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /image_aleatoire.php HTTP/1.1" 302 20 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/on.gif HTTP/1.1" 200 841 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/offlock.gif HTTP/1.1" 200 1301 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /task.php HTTP/1.1" 200 43 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/logo_bg.png HTTP/1.1" 200 285 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/black/logo.png HTTP/1.1" 200 21353 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:54 +0200] "GET /images/logo_google/google.gif HTTP/1.1" 200 25632 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/tcat_bg.png HTTP/1.1" 200 458 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/search.gif HTTP/1.1" 200 568 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/memberlist.gif HTTP/1.1" 200 1014 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/logo/logo24.gif HTTP/1.1" 200 24450 "http://indispensables.fr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/calendar.gif HTTP/1.1" 200 1037 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/help.gif HTTP/1.1" 200 1024 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/login.gif HTTP/1.1" 200 586 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/icons/register.gif HTTP/1.1" 200 310 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:34:55 +0200] "GET /images/black/thead_bg.png HTTP/1.1" 200 481 "http://indispensables.fr/cache/themes/theme26/global.css" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 www.indispensables.fr - [03/Jun/2010:12:34:56 +0200] "GET /favicon.ico HTTP/1.1" 200 4286 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:43:07 +0200] "GET / HTTP/1.1" 200 891 "http://www.bing.com/search?q=ip%3a213.186.33.19+mybb&go=&first=11&FORM=PERE" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
88.228.230.173 indispensables.fr - [03/Jun/2010:12:43:08 +0200] "GET /favicon.ico HTTP/1.1" 200 4286 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.1) Gecko/20090624 Firefox/3.5"
ce n'était donc pas le russe que je pensais, mais un turque...
|