Bonjour,
Je poste ce sujet car j'ai déménagé d'OVH vers un autre hébergeur à cause de la non-résistance d'OVH face au DDOS.
Seulement un hacker a "deface" mon site chez cet autre hébergeur.
Je me suis alors demandé comment il avait fait, j'ai recodé le site à 0 et j'ai changé mes mots de passe (mots de passe de + de 2000 caractères) mais il a recommencé. Il m'a expliqué qu'il avait accès au serveur FTP, à la BDD, etc. Mais il n'apparait pas dans les logs du FTP.
Bref je lui ai ensuite demandé s'il était capable de deface un site OVH, et il l'a fait. Il a deface le site prozapi.com (qui n'est plus chez OVH désormais). Il m'a expliqué qu'il pouvait deface la majorité des hébergeurs grâce à une faille sur leurs serveurs. Je ne le croyais pas au début mais après avoir vidé entièrement la BDD du site et le FTP, changer les mots de passes avec + de 2000 caractères il a rehacké le site. Bref il possède apparamment une faille dans les serveurs des hébergeurs dont OVH.
mon autre hébergeur ne possédant pas de forum je poste ici vu qu'OVH est concerné.
Je peux fournir les discussions avec le hackeur sur demande, et je peux aussi lui demander de deface mon site OVH (psxhackactu.fr) si ça peut aider.
Je veux juste que cette faille soit patchée parce que je ne peux plus rien créer sur internet depuis qu'il est sur mon dos.
PS : C'est un hacker qui vient d'un forum du deep web.
Faille dans les serveurs
Related questions
- Connexion à mon compte client
154045 
13.02.2019 09:51
- Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS
126863 03.09.2018 14:46
- reCAPTCHA erreur pour le propriétaire du site : clé de site non valide
111103 14.02.2019 16:17
- [FAQ] Comment mettre à jour mon site pour supporter Apache 2.4 ?
98617 28.07.2017 11:39
- Passage en php 7.4
97653 30.06.2020 05:05
- Augmenter taille PHP Post Max Size sur mutualisé ?
92030 04.12.2019 21:52
- The requested URL / was not found on this server
91143 02.03.2017 18:25
- Deploy d'un projet Node JS
91109 12.10.2016 20:18
- NextCloud sur mutualisé
91000 07.04.2017 08:42
- Ce site est inaccessible Impossible de trouver l'adresse DNS du serveur
90851 16.10.2016 16:24
On parle de quoi déjà ?
D'un mutualisé ou d'un dédié ?
Le site hacké tourne sous quoi ?
Quelle distribution ?
Elle est à jour ?
Tu es sur que ce n'est pas ton pc qui a un keylogger ?
Les hébergeurs ne font que proposer les distributions créés par canonical, red hat, debian et et...
Mutualisé, un sous wordpress et un codé à la main, la distribution aucune idée vu que c'est pas un dédié, et mon PC n'a rien j'ai rechangé les mdp via mon iPad pour en être sûr mais il a été redeface.
Bonjour,
je dirais qu'il y a 90% de chance qu'il utilise une faille dans votre site ou qu'il a incorporé une backdoor dans votre site.
Sinon c'est peut être votre PC qui est contaminé.
Car c'est un peu dure à croire que tous les hébergeurs ont une ou plusieurs failles exploitables dans leurs clusters.
Enfin votre site utilise WP, surement avec des plugins et ce sont en générale eux (puis ensuite une faille dans WP en lui même) qui sont les premiers vecteurs des hacks des sites (car c'est juste 10x plus facile/rapide/discret que de s'attaquer au serveur directement).
**EDIT :**
> mon PC n'a rien j'ai rechangé les mdp via mon iPad pour en être sûr mais il a été redeface.
Cela ne vous protège en rien car il existe des malware capable d’intercepter/surveiller les flux sur le réseau LAN de la machine infecté.
Cordialement, janus57
Avec un site codé à la main et avec un wordpress c'est la même chose. Je n'ai aucun plugin sur wordpress (j'utilise des plugins cloudflare) et il est à jour. Mon iPad est connecté via 4G.
Le site tourne sous quel environnement ? Et quelle version de php ?
https://docs.ovh.com/fr/fr/web/hosting/modifier-lenvironnement-dexecution-de-mon-hebergement-web/#comment-modifier-l-environnement-d-execution
Bonjour,
que le site soit codé à la main ou non cela ne change rien au fait qu'il puisse exister des failles de sécurité dessus.
Que donne l’analyse de vos logs ?
Cordialement, janus57
Il tournait sous PHP 5.6, mais le passage au 7.1 n'a rien changé. Environnement legacy.
Je l'ai scanné avec divers scanners et il n'apparait pas dans les logs du FTP
Déjà tu peux passer sur l'environnement stable qui est plus a jour..et plus secure pour les connexions https.
Ensuite tu dis avoir un mdp de 2000 caractères mais de mémoire la limite sur le mutu est à 20 ou 30..
Le mot de passe de 2000 c'est sur mon autre hébergeur mais mon mot de passe OVH contient des symboles des lettres et des chiffres et est sécurisé
Je vous assure que j'ai autant de mal à y croire que vous, mais je n'ai aucun intérêt à venir ici raconter n'importe quoi
Bonjour,
Avez vous des horodatages des horaires de défaçage ?
Cdt,
Il n'a pas deface mon site OVH mais mon site sur un autre hébergeur.
Le site OVH qui a été deface ne m'appartient pas mais appartient à un ami et il a été deface par la même personne.
Je peux faire en sorte que le hacker deface mon site OVH si cela peut vous aider
Bonjour,
Si vous parlez de ce site, il n'a jamais été héberger chez OVH.
Il n'apparait dans aucune de nos bases de données (coté webhosting).
Cdt,
même coté dédié ?
Je vais faire en sorte que le hacker deface mon site OVH, psxhackactu.fr.
Si ça peut vous aider
Bonjour,
et qui vous dit qu'il a réellement utiliser FTP ?
Il faut analyser tous les logs et pas simplement ceux du FTP, car si il a réussit à upload un script pour manipuler les fichiers vous ne verrez strictement rien au niveau des logs FTP.
De plus les logs ne se scanne pas pour trouver une IP précise, mais s'analyser pour trouver un comportement anormale ou une connexion anormale.
Désolé mais là cela parait bien trop gros pour être réelle.
Perso je veux bien une preuve que le mutu OVH est vulnérable (pour les dédié c'est le problème du propriétaire du dédié, pas de OVH) : http://janus57.fr ==> sur webhosting OVH
Cordialement, janus57
D'accord je vais faire en sorte qu'il deface mon site OVH, je reviens vers vous dès que c'est fait
Bonjour,
Ce que je vous invite à faire, visualiser tous les logs depuis votre manager OVH pour savoir où il déface votre site internet.
A vous lire,
Dylan F.
je peux voir ça ou ?
Vous pouvez accéder à vos logs en passant par votre Manager:
onglet "Plus +" puis "Statistiques et logs"
Ce site pointe vers deux adresses IP de Cloudflare ( 104.27.174.201 et 104.27.175.201 ) comment être certain que la faille n'est pas à ce niveau ?
Cloudflare filtre seulement le trafic
Bonjour,
il peu aussi permettre de masquer une attaque si l'hébergeur whiteliste les IPs de cloudflare sur son infrastructure.
D'ailleurs avec OVH (en mutu) cloudflare est plus une gêne qu'une amélioration (voir le forum).
Cordialement, janus57