squattage de site ?

Le
mannucci_spamkiller
bonjour
désolé pour le x-post, mais je suis tellement emmmé que je préfère
"ratisser large", ne m'en veuillez pas.

Voilà, après plusieurs mois d'abandon total, je me décide à bosser un
peu sur mon nouveau site Wordpress. Ce site est pour l'instant dans un
directory de mon ssrveur web, je l'avais déjà "habillé" à l'aide d'un
thème Wordpress gratuit et customisé, il ne reste donc qu'à mettre du
"contenu" via l'interface admin.

et voilà que ma page d'accueil est squattée par un site zarbi ("linux
kernel", un truc comme ça) qui doit être ouzbèque ou tchétchène ou chais
pas quoi !!!
Lorsque je prends un client FTP (Transmit), l'accès à mon serveur FTP
m'est interdit (les données sont pourtant bonnes et re-vérifiées).

Le comble, c'est que lorsque je vais sur le portail de mon hébergeur
pour y rentrer en "webFTP", j'y acède normalement et je "vois" bien mes
fichiers et autres éléments Wordpress. Même le fichier index.php semble
normal de chez normal.

Bon, c'est vrai que je suis une vraie quische en CSS, PHP et toutiquanti
(en webdesigning en général), mais quand même: comment est-il possible
de "pirater" un site de la sorte ?..
Pourquoi puis-je accéder au reprrtoire via webFTP et pas par FTP
"normal" ?

j'avoue que je suis dépassé.

merci de m'aider.


voici l'URL:
http://www.wild-works.net/blog2/



--
Jean-marc Mannucci
************************************************
.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
pdorange
Le #22048521
jean-marc Mannucci
[...]
voici l'URL:
http://www.wild-works.net/blog2/



Si je comprend bien c'est la page est changé alors que la page principal reste bonne :

Ou alors tout est squatté ?

Le WebFTP de ton hébergeur n'est peut être pas vraiment un FTP, ce qui
pourrait expliqu la différence.

Il faudrait que tu ait aussi la "vrai" adresse wb du site (sans le nom
de domaine), celle fourni par l'hébergeur, du genre :
http://hebergeur.com/login

Et voir si c'est pareil ou pas.

D'après le Whois, tu es bien le propriétaire (owner) par contre c'est un
certain "Yann Szkolnik (Celeonet)" l'administrateur... est-ce normal.
A priori Celeonet est un hébergeur parisien, donc c'est peut être
"normal" si Celeonet sous-traite ces nom de domaine à Gandi.

par ailleurs, il semble que tu ne sois pas le seul chez Celeonet à subir
un "défaçage" :

A priori c'est ton hébergeur (Celeonet) qui a été hacké : voir avec eux
pour le rétablissement.

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
SAM
Le #22048441
Le 10/9/09 11:50 AM, jean-marc Mannucci a écrit :
bonjour...
désolé pour le x-post, mais je suis tellement emmm...é que je préfère
"ratisser large", ne m'en veuillez pas.

Voilà, après plusieurs mois d'abandon total, je me décide à bosser un
peu sur mon nouveau site Wordpress. Ce site est pour l'instant dans un



Wordpress est une vraie mine à squatteurs et spammeurs !
Voir Google et wikipedia à propos de phishing ou Hameçonnage
(et + particulièrement Wordpress)


Pourquoi puis-je accéder au reprrtoire via webFTP et pas par FTP
"normal" ?



comme je ne sais ce qu'est le webFTP ...

voici l'URL:
http://www.wild-works.net/blog2/



et que donne la page 'main.html' quand tu la récupères par ftp ?
pasque là :
c'est un peu curious, non ?

Voir le groupe chez free :

Je te signale que ton golive a bien kkbouillé ta page avec ses scripts
qui ne fonctionnent pas là :
Erreur : dots[i].obj is undefined
Fichier Source : http://www.wild-works.net/#
Ligne : 212

--
sm
Anne G
Le #22048431
jean-marc Mannucci a écrit :
bonjour...
désolé pour le x-post, mais je suis tellement emmm...é que je préfère
"ratisser large", ne m'en veuillez pas.

Voilà, après plusieurs mois d'abandon total, je me décide à bosser un
peu sur mon nouveau site Wordpress. Ce site est pour l'instant dans un
directory de mon ssrveur web, je l'avais déjà "habillé" à l'aide d'un
thème Wordpress gratuit et customisé, il ne reste donc qu'à mettre du
"contenu" via l'interface admin.

et voilà que ma page d'accueil est squattée par un site zarbi ("linux
kernel", un truc comme ça) qui doit être ouzbèque ou tchétchène ou chais
pas quoi !!!
Lorsque je prends un client FTP (Transmit), l'accès à mon serveur FTP
m'est interdit (les données sont pourtant bonnes et re-vérifiées).

voici l'URL:
http://www.wild-works.net/blog2/



Elle m'a l'air tout à fait normale, cette page.
pdorange
Le #22048421
Anne G
> http://www.wild-works.net/blog2/

Elle m'a l'air tout à fait normale, cette page.



Ell est revenu normal, ce matin elle était bien hacké : je l'ai vu...

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
mannucci_spamkiller
Le #22048401
Anne G
> voici l'URL:
> http://www.wild-works.net/blog2/

Elle m'a l'air tout à fait normale, cette page.



oui, parce que tu arrives après la bataille. ;-)

voici ce que me dit Celeonet après restauration:

Bonjour Monsieur Mannucci,

Votre compte a été restauré depuis un backup.

Nous avons trouvé la source de ce problème. Sans rentrer dans des
détails trop techniques, une faille dans un site Joomla a permis à un
hackeur d'exécuter un script de recherche de failles.

Il en existait une non référencée dans le kernel linux que nous
utilisons. Tous les serveurs ont été mis à jour et les sites de nos
clients concernés restaurés.






--
Jean-marc Mannucci
************************************************
.
mannucci_spamkiller
Le #22048411
SAM

Wordpress est une vraie mine à squatteurs et spammeurs !
Voir Google et wikipedia à propos de phishing ou Hameçonnage
(et + particulièrement Wordpress)




bon, ben voilà un truc que j'l'apprends...
;-)

cela dit, il semble que les sites Joomla ne valent pas mieux que les
sites Wordpress, question "failles" (voir plus bas)


> Pourquoi puis-je accéder au reprrtoire via webFTP et pas par FTP
> "normal" ?

comme je ne sais ce qu'est le webFTP ...



et même avec un peu d'intuition ?
cest simple: le "WebFTP¨ est au FTP ce que le "webmail" est au mail.
En gros, au lieu de passer par une appli dédiée (un client-FTP), tu
accèdes à tes serveurs FTP via le site de ton hébergeur. Un peu comme
les gens qui relèvent leur boite Free, par exemple, sur le site de Free
en passant par un navigateur.

> voici l'URL:
> http://www.wild-works.net/blog2/

et que donne la page 'main.html' quand tu la récupères par ftp ?
pasque là :
c'est un peu curious, non ?



mais la page "main" n'est pas le problème, puisque j'explique que le
site en question est *provisoirement* dans une directory ("blog2", en
l'occurence)

Voir le groupe chez free :

Je te signale que ton golive a bien ...



merci beaucoup, mais je le sais, et ça dure même depuis des lustres,
puisque le site principal est à l'abandon depuis... autant de lustres.
;-)
Mais encore une fois, tu m'as mal saisi : le site principal, qui est à
la racine de wild-works.net, je m'en tape, puisque je l'ai abandonné
depuis très longtemps. Le truc, c'est qu'avec Wordpress, on est obligé
de travailler "on-line" (pour faire un site en local, il faut bidouiller
une base MySQL, chose que je suis incapable de faire). Du coup, on a
tout intere^t à mettre le site dans un sous-repertoire, sans communiquer
l'URL (ou très peu) le temps de la réalisation... et lorsque tout est
nickel, on "remonte" l'ensemble à la racine, de sorte que ce soit le
site WP qui prenne la main en tapant l'URL principale...
Et mon problème concernait www.wild-works.net/blog2/ et pas
www.wild-works.net

je dis "concernait", parce qu'apparemment, tout est rentré dans l'ordre
depuis quelques instant. Apparement, c'est Celeonet qui a "réagi", voici
ce qu'ils m'expliquent par email:

Bonjour Monsieur Mannucci,

Votre compte a été restauré depuis un backup.

Nous avons trouvé la source de ce problème. Sans rentrer dans des
détails trop techniques, une faille dans un site Joomla a permis à un
hackeur d'exécuter un script de recherche de failles.

Il en existait une non référencée dans le kernel linux que nous
utilisons. Tous les serveurs ont été mis à jour et les sites de nos
clients concernés restaurés.



--
Jean-marc Mannucci
************************************************
.
Bruno Desthuilliers
Le #22048391
jean-marc Mannucci a écrit :
SAM
Wordpress est une vraie mine à squatteurs et spammeurs !
Voir Google et wikipedia à propos de phishing ou Hameçonnage
(et + particulièrement Wordpress)




bon, ben voilà un truc que j'l'apprends...
;-)

cela dit, il semble que les sites Joomla ne valent pas mieux que les
sites Wordpress, question "failles" (voir plus bas)




La majorité des applis web - et tout particulièrement celles en PHP
(donc la majorité des applis web, cqfd !-)) sont des vrais gruyères.
Accessoirement, sécuriser une appli web n'est pas totalement trivial, et
encore moins dans le cadre d'un serveur mutualisé.

Le truc, c'est qu'avec Wordpress, on est obligé
de travailler "on-line"



Non, pas du tout.

(pour faire un site en local, il faut bidouiller
une base MySQL, chose que je suis incapable de faire).



C'est un autre problème. Ceci étant, c'est pas bien compliqué. Si t'es
sous windows, y a des paquetages tout-fait avec tout le stack
apache/php/mysql, que même nos quiches (en informatique...) de
stagiaires graphistes réussissent à installer et configurer.
SAM
Le #22048381
Le 10/9/09 3:06 PM, jean-marc Mannucci a écrit :
SAM



bon, ben voilà un truc que j'l'apprends...



Je te répondais depuis le NG Mac OS X !
Comment y connaitre là ton nivo ?

;-)
cela dit, il semble que les sites Joomla ne valent pas mieux que les
sites Wordpress, question "failles" (voir plus bas)



Je m'en fous, je hais les blogs et tout ce qui leur ressemble ;-)

et que donne la page 'main.html' quand tu la récupères par ftp ?
pasque là :
c'est un peu curious, non ?



mais la page "main" n'est pas le problème,



Comme tu veux,
mais elle présente (présentait) la même chose que le blog.

Ça m'aurait intéressé de savoir si par ftp tu arrivais à la récupérer
(et si oui quelle tête elle avait alors).
Mébon ... c'est de l'histoire ancienne.

Mais encore une fois, tu m'as mal saisi : le site principal, qui est à
la racine de wild-works.net, je m'en tape, puisque je l'ai abandonné
depuis très longtemps.



2006, il me dit.
("optimisé" 800/600 ;-) )

Le truc, c'est qu'avec Wordpress, on est obligé
de travailler "on-line" (pour faire un site en local, il faut bidouiller
une base MySQL, chose que je suis incapable de faire). Du coup, on a
tout intere^t à mettre le site dans un sous-repertoire, sans communiquer
l'URL (ou très peu) le temps de la réalisation... et lorsque tout est
nickel, on "remonte" l'ensemble à la racine,



Bon, ben, c'est bien ce que je disais: je hais les blogs
(tant dans leur production/mise-à-jour qu'en consultation).

de sorte que ce soit le
site WP qui prenne la main en tapant l'URL principale...



Eh ben t'as pas peur ;-)

Et mon problème concernait www.wild-works.net/blog2/ et pas
www.wild-works.net



sauf qu'il était "haqué" pareil ...

je dis "concernait", parce qu'apparemment, tout est rentré dans l'ordre



Oui, en effet.

depuis quelques instant. Apparement, c'est Celeonet qui a "réagi", voici
ce qu'ils m'expliquent par email:



Donc chez ton hébergeur on pourra aller te voir tant qu'un nouveau
hacqueur n'y aura pas fait des siennes ?
Quand je te dis : je hais les blogs.

--
sm
alex.vaure
Le #22048371
Bruno Desthuilliers
Si t'es
sous windows, y a des paquetages tout-fait avec tout le stack
apache/php/mysql,



Je pense qu'il est sur mac, mais y'a aussi pour...
Mamp par ex
--
Alex
Vous avez beau dire, y'a pas seulement que de la pomme, y'a aut'chose.
Ça serait pas dès fois de la betterave, hein ?
yamo'
Le #22048361
Salut,

jean-marc Mannucci a tapoté, le 09/10/2009 15:06:
Il en existait une non référencée dans le kernel linux que nous
utilisons. Tous les serveurs ont été mis à jour et les sites de nos
clients concernés restaurés.




En même temps la page annonçait que le kernel datait de 2006*, si
c'était le cas, ne pas mettre à jour depuis 2006 faut être joueur!

* invérifiable, sauf en demandant à votre hébergeur.

--
Stéphane
http://pasdenom.info/fortune
Publicité
Poster une réponse
Anonyme