Les Forums
Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer
Website Drupal ET Wordpress hackés - comment? que faire?
Bonjour, Cela fait un petit bout de temps que je fais du web. Hier soir, pour être précis, j'étais en ligne avec un ami pour qui j'ai réalisés 2 sites web. Ceux-ci ont été "hacké" car tous leur contenu avait en fin de code (HTML) une tag en plus : [code:1:71093c418e]<script src="http://infoitpowering...je sais plus quoi.../II.php?...=11"></script>[/code:1:71093c418e] le plus étonnant est que ce HTML ait été rajouté uniquement dans les "body" des contenus (pas de trace ailleurs, ni dans les commentaires, ni dans les formulaire de contacts...) et ce, pour les deux sites alors qu'ils n'utilisent pas la même DB et sont basés un sur WordPress et l'autre sur Drupal. Après quelques investigations, il s'avère que: [list:71093c418e]- L'URL pointée par le script ne donne rien - le nom de domaine a été créé le 16.05.2011, donc tout récent - le domain est sur un DNS en russie - Le proprio du domaine est une société chinoise (site de la société .cn)site web déjà pointé par McAffe comme "dangereux"[/list:u:71093c418e] Pour faire mon clean-up, voici ce que j'ai fait: [list:71093c418e]- un "found and replace" de la fameuse tag dans mes deux DB pour la supprimer. - un ENORME backup des fichiers et de la base au cas où. - Remplacement des mots de passe pour les users (un "member/editor": le pote ; 1 super admin, moi)[/list:u:71093c418e] Mes questions sont: - Que dois-je faire d'autre afin d'augmenter la sécurité pour ce s deux sites ? - Comment les hackers ont-ils pu faire cela, en sachant qu'il y a d'autre DB chez l'hébergeur et que seules celle concernant DRUPAL et WordPress ont été modifiée) ? (bien-entendu, ma première question est TRES importante pour moi... la deuxième boarf, si par hasard vous avez entendu parler d'un cas similaire...je suis preneur...) merci d'avance. |
j'ai réalisés 2 sites web. ... - Que dois-je faire d'autre afin d'augmenter la sécurité pour ces deux sites ? Euh.. C'est toi qui les as codé ! Et n'ayant pas le code il est impossible de t'aider. Tu as surement du faire des erreurs, mais comment savoir ?! Il faut faire un audit de code pour cela. Désolé, mais je ne peux pas te sortir de réponses magiques sans avoir auditer ton code ! |
Merci pour votre réponse, mais je me suis peut-être mal exprimé (enfin sûrement, mais bon je me soigne)... La problématique est qu'il ne semble pas que le peu de code (PHP etc..) que j'ai réalisé soit à "l'origine du mal", vu que j'ai tapé quelques snippets (sans accès DB ou autres) que pour le theming des deux sites. Donc cela doit être au niveau des deux CMS (drupal et wordpress). Mais du coup, avec votre réponse, petite question: - Qui peut réaliser un tel audit ? Notes: je ne pense pas que pour le moment cela soit nécessaire, je vais me rabattre sur divers modules de ces CMS pour en faire une évaluation perso etc... Mais d'ici la fin de l'année, voir début de l'année prochaine, ces deux sites (qui concernent une société à Seattle) vont évolués et passé du stade "simple vitrine" à espace communautaire... donc... |
oui... j'oubliais: avis d'un spécialiste: ai-je eu les bons "reflexes" (nettoyage + backup + changement des accès) ? Est-ce que j'aurai pu faire autre chose (de simple, oui je sais, c'est très relatif) ? |
En fait la cause du mal comme tu dis est difficile à prédire. D’abord tu utilise des CMS dont tu ne connais pas le code interne ; la première question, as-tu utilisé les dernières versions avec les dernières mise-a-jour ? Même si la réponse est positive, il ne faut pas négliger les 0-day. Ces CMS représentent une grande partie des sites web actuels et par conséquent bcp de pirates recherchent des exploits pour ces CMS. Ensuite, tu dis que ton code PHP n’accède pas à la bdd, mais que fait-il vraiment ? Il est possible d’accéder à la bdd indirectement... Ensuite, il ne faut pas écarter l’infection de ton PC de développement. Certains malware se chargent de récupérer les login/pwd de client ftp, ssh, firefox, ensuite simplement le pirate aura accès à l’intégralité de ton site, bdd, etc. Il peut « mettre à jour » les fichiers qu’il veut 😉 Ce ne sont pas des cas aussi rares qu’on peut le penser. De plus, si tu dis que les logs ont été effacé et qu’il n’y a aucunes traces, cette piste est plausible. Donc je te conseillerais d’être sur que ton PC est sain ; puis changer tous tes mots de passe (ftp/web/bdd/ssh/…) ; mettre à jour drupal ou autre si possible. En parlant de mot de passe, j’en ai pas parlé mais j’espère que tes pwd sont complexes ? Non trouvables par bruteforce ou dictionnaires cela va de soit ? Pour auditer ton code, c’est très souvent payant, tout dépend combien tu es prêt à mettre 😉 |