Piratage/Hameçonnage de site

[Phlt]

Bonjour à tous,

Je rédige ce post pour requérir les avis de la communauté sur ce qui vient de se produire sur le serveur de Xchange Guild qui est encore resté indisponible pendant plusieurs jours pour tentative de hameçonnage et gratifié de plus d'une alerte rouge de Karpersky sur Microsoft Edge... Il suffit maintenant de valider le choix Continuer vers le site non sécurisé (déconseillé) et on peut accéder au site sans risques.
Sinon, utilisez un autre navigateur.
J'ai entamé les démarches auprès de Microsoft pour faire autoriser le site.

Ce n'est pas la 1° fois malheureusement que le site es attaqué par des malveillants, mais là pour le coup, ils ont réussi à introduire leur nid de coucou malfaisant sur la partition maîtresse du serveur qui abrite le site de Xchange Guild et d'autres fichiers.
2 répertoires avec des noms discrets et un fichier index.php de pointage ont été installés en toute discrétion et à mon insu, orientant les visiteurs vers un site malveillant installé sur mon propre serveur !

Question : avec un mot de passe très sécurisé que je n'ai communiqué à personne, comment ont-ils pu avoir accès au serveur via un FTP ou autre ?

[Geek]

C'est tout de même incroyable que l'hérbergeur se fiche à ce point de la sécurité... j'imagine que tu n'es pas un assez gros client pour eux.
A priori, s'ils ont créé des dossiers c'est qu'ils ont pu accéder au FTP, soit en craquant le mot de passe, soit en le volant chez l'hébergeur.

[Emerson d'Anite]

Courage !

Je ne sais pas si c'était ton cas, mais il semble que les auteurs de vBulletin aient laissé quelques failles, corrigées aujourd'hui, mais peut-être pas pour la version que tu as mis en œuvre.
https://www.zdnet.fr/actualites/vbullet ... 907969.htm

J'ai peur qu'il ne faille faire encore une mise à jour pour être sûr.

[Phlt]

En fait, ils ne sont pas passés par le Forum, mais directement sur la partition maîtresse.

L'hébergeur ne s'est pas posé de questions et a tout bloqué, dont le Forum associé à mon nom de domaine...

[Phlt]

Le site a été nettoyé depuis la semaine dernière et le Forum de Xchange Guild est de nouveau opérationnel.

Microsoft Defender ne voulant pas lever son alerte d'hameçonnage malgré deux requêtes probantes, je vous recommande d'utiliser le navigateur Chrome ou Firefox qui fonctionnent parfaitement.

[Emerson d'Anite]

Le site a été nettoyé depuis la semaine dernière et le Forum de Xchange Guild est de nouveau opérationnel.

Microsoft Defender ne voulant pas lever son alerte d'hameçonnage malgré deux requêtes probantes, je vous recommande d'utiliser le navigateur Chrome ou Firefox qui fonctionnent parfaitement.

Chrome, je ne sais pas, mais Firefox fonctionne depuis la réouverture, et Microsoft Edge aussi !
Aucun problème pour y accéder avec le nouvel Edge.
Je n'ai pas essayé Internet Explorer, et je n'utilise pas Defender.

[La marmotte de l'espace]

En fait, ils ne sont pas passés par le Forum, mais directement sur la partition maîtresse.

L'hébergeur ne s'est pas posé de questions et a tout bloqué, dont le Forum associé à mon nom de domaine...

Tu entends quoi par passé par la partition maîtresse?
Sur le comment, faut analyser la machine pour le savoir. Ils ont beau être discret, tu laisses souvent des traces.
Sans aucun élément, le plus probable c'est une faille sur ton site qui a du servir de porte d'entrée. C'est très souvent le cas si tu utilises des outils tout fait qui ne sont pas à jour.
Une fois qu'ils sont dessus, de toute manière, il vaut mieux que tu formates la machine.

[Veirdre]

Bonjour à tous,

Je rédige ce post pour requérir les avis de la communauté sur ce qui vient de se produire sur le serveur de Xchange Guild qui est encore resté indisponible pendant plusieurs jours pour tentative de hameçonnage et gratifié de plus d'une alerte rouge de Karpersky sur Microsoft Edge... Il suffit maintenant de valider le choix Continuer vers le site non sécurisé (déconseillé) et on peut accéder au site sans risques.
Sinon, utilisez un autre navigateur.
J'ai entamé les démarches auprès de Microsoft pour faire autoriser le site.

Ce n'est pas la 1° fois malheureusement que le site es attaqué par des malveillants, mais là pour le coup, ils ont réussi à introduire leur nid de coucou malfaisant sur la partition maîtresse du serveur qui abrite le site de Xchange Guild et d'autres fichiers.
2 répertoires avec des noms discrets et un fichier index.php de pointage ont été installés en toute discrétion et à mon insu, orientant les visiteurs vers un site malveillant installé sur mon propre serveur !

Question : avec un mot de passe très sécurisé que je n'ai communiqué à personne, comment ont-ils pu avoir accès au serveur via un FTP ou autre ?

Desole pour la necromancie...

Ca depend, est-ce que c'est du FTP ou du SFTP? Si c'est du pure FTP, quelqu'un qui sniffe ta connexion peut potentiellement acquerir le mot de passe.

Apres, pour le peu que je connaisse de PHP, c'est une passoire sans nom si tu ne sais pas exactement ce que tu fais, et savoir exactement ce que tu fais en PHP est loin d'etre aise (salete de QWERTY sans accent!)

Tout ca pour dire que si un jour tu veux ressuciter ton site, passe moi un coup de Phlt!

[Phlt]

C'est de la vraie necromancie , comme toi qui ressort de ta tombe apres 10 ans !

Je cloture donc le sujet pour qu'il retourne de la ou il vient avant qu'il ne se transforme en zombi...

Pour le coup de main si besoin, c'est bien note.

>>> Click <<<