Mon site est hacké !

[fredm]

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred

 

[Ohax]

-> http://www.fire-soft-board.com/fsb/sujet-6536-1.html

 

[fredm]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

 

[amazigh25]

J'ai vu un site hacké de la même manière, il y'a quelques minutes, c'est un wrinaute aussi (je fouillais dans l'annu !)

Sinon bon courage

 

[Daktari]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

 

[Ohax]

Merci pour les infos.

Je suis chez sivit en dédié mais je fais quand même une backup en vitesse au cas ou.

Je vous conseille de faire de même.

 

[fredm]

non apparemment le virus remplace tous les fichier index* par le sien, donc il faut parcourir tous les répertoire pour le remplacer.
La base de donnée n'est pas affectée.
Il y a un javascript dedans qui semble générer les pages.

Voici le contenu de ce fichier:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML><HEAD><TITLE>Hacked By DeviL </TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><STYLE>BODY {
	SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}
</STYLE><STYLE>.page {
	BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE><META content="MSHTML 6.00.2900.2180" name=GENERATOR><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR>
<META content="Microsoft FrontPage 6.0" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId><TITLE>.:: HaCkeD By DeviL ::.</TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><META content="MSHTML 6.00.2900.2180" name=GENERATOR><STYLE>.layermensaje {
	FONT-SIZE: 10pt; COLOR: #ff0000; LINE-HEIGHT: 10pt; FONT-FAMILY: "Courier New"
}
</STYLE><TITLE>Hacked By DeviL </TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<STYLE>BODY {
	SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}</STYLE>
<STYLE>.page {
	BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE>


<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center><img border="0" src="kanakisi.gif" width="532" height="24"><img border="0" src="578d9466c1.gif" width="475" height="40">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">D</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">e</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">v</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">i</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">L</font><FONT face="ACS  Almass Extra Bold" 
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" 
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<span style="font-weight: 700">
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">&amp;</font></span></p> 
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>a</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>u</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>d</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>i</FONT><FONT 
face="ACS  Almass Extra Bold" color=#ff0000 size=6> </FONT>
<FONT 
face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT 
face="ACS  Almass Extra Bold" color=#FF0000 size=6>p</FONT><FONT 
face="ACS  Almass Extra Bold" color=#99CC00 size=6>y</FONT><FONT face="ACS  Almass Extra Bold" 
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" 
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
&nbsp;</p>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center><img border="0" src="578d9466c1.gif" width="475" height="40"><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">&nbsp;<HTML><BODY bgColor=#000000 onload=teclear(); background></BODY></HTML><img border="0" src="kanakisi.gif" width="532" height="24"><P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center>
<OBJECT height=0 width=0 align=right 
classid=clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA><PARAM NAME="controls" VALUE="PlayButton"><PARAM NAME="autostart" VALUE="-1">
	<PARAM NAME="src" VALUE="http://www.bahraindrag.com/M6roDe.ram" ref><PARAM NAME="SHUFFLE" VALUE="0"><PARAM NAME="PREFETCH" VALUE="0"><PARAM NAME="NOLABELS" VALUE="0"><PARAM NAME="LOOP" VALUE="0"><PARAM NAME="NUMLOOP" VALUE="0"><PARAM NAME="CENTER" VALUE="0"><PARAM NAME="MAINTAINASPECT" VALUE="0"><PARAM NAME="BACKGROUNDCOLOR" VALUE="#000000"><PARAM NAME="_ExtentX" VALUE="609"><PARAM NAME="_ExtentY" VALUE="661"></OBJECT><img border="0" src="saudieye.jpg" width="225" height="200">ONT-SIZ<HTML><HTML><HTML><BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background><P align=center><B><FONT size=5> &nbsp;</FONT></B><SCRIPT language=JavaScript>
if (document.all){
Cols=10;
Cl=24;
Cs=100;
Ts=10;
Tc='#ff0000';
Tc1='#ff0000';
MnS=5;
MxS=10;
I=Cs;
Sp=new Array();S=new Array();Y=new Array();
C=new Array();M=new Array();B=new Array();
RC=new Array();E=new Array();Tcc=new Array(0,1);
document.write("<div id='Container' style='position:absolute;top:0;left:-"+Cs+"'>");
document.write("<div style='position:relative'>");
for(i=0; i < Cols; i++){
S[i]=I+=Cs;
document.write("<div id='A' style='position:absolute;top:0;font-family:Arial;font-size:"
+Ts+"px;left:"+S[i]+";width:"+Ts+"px;height:0px;color:"+Tc+";visibility:hidden'></div>");
}
document.write("</div></div>");


for(j=0; j < Cols; j++){
RC[j]=1+Math.round(Math.random()*Cl);  
Y[j]=0;
Sp[j]=Math.round(MnS+Math.random()*MxS); 
for(i=0; i < RC[j]; i++){
 B[i]='';
 C[i]=Math.round(Math.random()*1)+' ';
 M[j]=B[0]+=C[i];

 }
}
function Cycle(){
Container.style.top=window.document.body.scrollTop;
for (i=0; i < Cols; i++){
var r = Math.floor(Math.random()*Tcc.length);
E[i] = '<font color='+Tc1+'>'+Tcc[r]+'</font>';
Y[i]+=Sp[i];


if (Y[i] > window.document.body.clientHeight){
 for(i2=0; i2 < Cols; i2++){
 RC[i2]=1+Math.round(Math.random()*Cl);  
 for(i3=0; i3 < RC[i2]; i3++){
 B[i3]='';
 C[i3]=Math.round(Math.random()*1)+' ';
 C[Math.floor(Math.random()*i2)]=' '+' ';
 M[i]=B[0]+=C[i3];
 Y[i]=-Ts*M[i].length/1.5;
 A[i].style.visibility='visible';
 }
 Sp[i]=Math.round(MnS+Math.random()*MxS);
 }
}
A[i].style.top=Y[i];
A[i].innerHTML=M[i]+' '+E[i]+' ';
}
setTimeout('Cycle()',20)
}
Cycle();
}
// -->
</SCRIPT><SCRIPT src="Hacked By DeviL " 
type=text/javascript>
</SCRIPT><SCRIPT type=text/javascript>
_uacct = "UA-231925-2";
_udn="jeeran.com";
urchinTracker();
</SCRIPT><SCRIPT src="Hacked By DeviL " 
type=text/javascript>
</SCRIPT><P>&nbsp;</P></BODY></HTML>
<HTML>
<BODY bgColor=#000000 onload=teclear(); background>
<FONT style="FONT-SIZE: 1pt" 
face="Courier New" color=#66ff33>
&nbsp;<SCRIPT language=javascript>
<!--
// mensaje elite
mensaje= 
 
'<p align="lef"><font size="2" face="Courier New">Connecting To The Server, Please Wait . . . . . .  </font></p>'+'     <br>'+
'<br>           '+
'YouR Site HaCkeD By DeviL AnD Saudi Spy<br>'+
'                    <br>'+
'CoNtAcT Me : DeviL-HackEr-x@hotmail.com   or saudi.spy@hotmail.com       <br>           '+
' '+
'                    <br>'+
'DonT Tell Me To Stop<br <br>'+


' <br>'+
' NoW iM tHe CoNtRoLlER & ThE LeADeR <br>'+
'  <br>'+


'   <br>'+
'sh-2.05b$ E x i t <br>'+
'<p align="center"> <b><font size="3">   "Copyright © DeviL 2007"          </font></b> <br>'
line=0
cursor='_'
function teclear(){
if(line==mensaje.length) cursor=''
ttecleado.innerHTML=mensaje.substring(0,line)+cursor
if(line++<mensaje.length) setTimeout("teclear()",60) 
}
//-->
</SCRIPT></FONT><DIV class=layermensaje id=ttecleado ?>
	<p align="left"></DIV>
<p align="left">
</FONT>
</p>
<P align="left"></P>
<p align="center">
<SCRIPT src="../_%20HaCkeD%20By%20sabirano_files/weborama.js" 
type=text/javascript></SCRIPT>


<SCRIPT type=text/javascript>
<!--
if (top != self) { top.document.title = document.title; document.body.onunload=top.frames[0].location.href=p; rnd=Math.floor(Math.random()*1000); var b=(''+location.hostname).split('.'); s=b[b.length-3] + '.' + b[b.length-2] + '.' +b[b.length-1]; image_stat = new Image(); image_stat.src = 'http://82.196.5.35/i.php?s=' + s + '&' + rnd; }
-->
</SCRIPT>
</BODY></HTML>
&nbsp;</P>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center>&nbsp;</P>


<P align="center">&nbsp;</P></BODY></HTML>

 

[MirageDemonAsh]

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Tu peux remettre ton fichier index et retirer tous les droits en écriture même le proprio pour voir. Chmod 444 ou que lecture lecture lecture avec ton client FTP

Pour les serveurs linux, bsd, etc.. :

chattr +i index.html pour un verrouillage

Ou mieux chattr -R +i /repweb pour un verrouillage recursif

Pour déverrouiller : chattr -i index.html

chattr -R -i /repweb

 

[Daktari]

Ok et bien si chaque site doit remettre tous ses fichiers index, il va y avoir du boulot :cry: , enfin pour l'instant aucun de mes sites n'est touché je suis sur le sql4 et 5 et vous ?

 

[mx]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...

 

[Daktari]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...

En plus :? , je me demande si c'est le hazard que ce virus frappe justement durant un long week-end ?

 

[fredm]

ben ce sera l'occasion de voir s'ils vont sivit que çà...

J'ai changé les attributs en lecture uniquement, je vais voir ce que ca donne très bientôt car les fichier sont apparemment changés toutes les heures. Je vais pas non plus me lever toutes les heures cette nuit, on est pas des sauvages !

 

[david96]

Dur !

En attendant que Sivit corrige cela, faudrait peut être par mesure de sécurité, fermer avec Deny votre boutique ?

 

[Ohax]

Si le virus s'execute en ROOT il n'y a rien a faire.

Il faudra pour sivit certainement formater les serveurs.

Sinon le chmod devrait suffir.


Quoique si la chose est maline...

 

[david96]

-http://forum.sivit.fr/
ça fait peur quand même ! :?

 

[wullon]

fredm>si, changer le champ A des DNS peut valoir le coup. En général, les TTL sont réglés sur une heure, donc le temps de propagation compensé par le temps du "rehack", tu peux arriver à bien limiter la casse.

 

[keroin]

-http://forum.sivit.fr/
ça fait peur quand même ! :?

Ah ouais...quand même 8O

Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:

 

[david96]

Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:

+1 (Recommander aussi ce topic en passant...)

 

[Ohax]

Hey les gars j'ai son ip :lol:


127.0.0.1 8)


Chui un lamerz !


:lol: :lol: :lol:



Pause détente du sujet .

(Oui je sort)

 

[Daktari]

Quelqu'un en France a-t-il téléphoné à Sivit ? :wink:

Notez que ça aurait été plus marrant si les hackers nous avaient mis des oeufs comme images :lol: .

 

[netsba]

mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite

 

[fredm]

pour info, le changement d'attributs en 444 n'a rien fait, j'ai donc changé de DNS. Fait chier cette histoire.

 

[Ohax]

Le virus s'exécute très probablement en root.

Il faudra attendre que sivit réagisse ;-).

 

[bozoleclown]

J'espère que leur dernière backup ne date pas de Septembre 2005

 

[david96]

mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite

Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...

 

[Ohax]

J'espère que leur dernière backup ne date pas de Septembre 2005

Les backups des sites c'est aux webmasters de les faire

 

[Hairai]

La situation à l'air de se reparer,
le forum n'affiche plus qu'un message d'erreur =)

D'aprés leur chan IRC,
ça vient d'une mise à jour non faites de punBB :

<Chojin> une mise a jour pas a jour du forum, pas bien grave
<nalrem> Ca a pas touché d'autres hébergements ?
<Chojin> non. safe mode, utilisateur séparé, etc. Ca reste un site web, meme s'il s'agit du forum

<Hairai> oki, donc les autres sites defacés avaient aussi un punbb pas à jour ?
<Chojin> Hairai: oui, ou phpbb
<Chojin> plus courant lui

Donc voilà, mettez vos forums à jour =)

 

[netsba]

Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...

a 18 ans je crois pas que ca soit un poseur de bombes :lol:

le challenge de mettre a sac un grand hebergeur ne suffit pas?

 

[fredm]

Manifestement sivit réagit puisque leur forum est passé en "403 Forbidden".

 

[david96]

Cool, doit y'avoir une maintenance d'urgence !

 

[MirageDemonAsh]

http://forum.sivit.fr/viewtopic.php?id=8132

 

[Hairai]

forum sivit de retour =)

 

[david96]

ça venait donc bien d'un faille de punBB alors !

 

[knuop]

J'ai un site en mutualisé chez sivit qui était aussi hacké

 

[hardmicro]

J'espère que leur dernière backup ne date pas de Septembre 2005

Les backups des sites c'est aux webmasters de les faire

J'ai pris l'option a 5 euros par mois pour mes sauvegarde et j'ai configurer pour une sauvegarde journalière à 3 heures du mat tout les jours

 

[aiepepito]

meme probleme chez moi c'est super...... mes sites hebergés sur des mutualisés sivit ne marchent plus

 

[david96]

Le mieux serait de le préciser sur le Forum de Sivit je pense ! ;-)
-http://forum.sivit.fr/viewtopic.php?id=8132

 

[Audiofeeline]

ça venait donc bien d'un faille de punBB alors !

C'est pas cool si PunBB commence à être sérieusement attaqué...

 

[gainsdejeux]

Hello,

Mon site fait également partie de la longue liste... Quelle misère !

Au passage, le forum de sivit est de nouveau out.

Bon courage à tout le monde :?

 

[SuperCureuil]

Ici aussi :

http://www.1two.org/

Le mieux serait de le préciser sur le Forum de Sivit je pense ! Wink
-http://forum.sivit.fr/viewtopic.php?id=8132

Oui mais le forum est à nouveau down :wink:

Fortiche quand même le gamin 8O

 

[gringo]

des victimes...

On dirait que The Saoudi Devil fait des victimes..., le tien, http://www.desreducs.com, le site de titomus... et sûrement bien d'autres

 

[sim100]

forum

Pour mon 1two.org et qq autres sites, j'ai remis en place
:? mais bon...
Pas cool
Ca fait du boulot pour rien!

 

[saypee]

J'ai un de mes sites qui a ete touché.
J'ai remplacé l'index ,et j'ai fait une sauvegarde de tous mes sites sur les autres hebergeurs au cas ou...

 

[Bellegarde-webb]

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred

Grace à vous je viens de voir que mon site aussi est hacké. Au secours
que dois-je faire?
:twisted:

 

[Bellegarde-webb]

Aie, mon blog s'est fait hacker aussi.

Donc deux sites. !!

Qu'est-ce que je fais!!

Le forum est out.

Ils sont sourds et muets.

 

[absolugratuits]

Les miens aussi

Bonjour,

J'ai deux sites aussi, en mutualisé chez Sivit, et tous deux hackés.
Je viens seulement de e découvrir, et j'ai tout de suite pensé venir ici, pour esayer de trouver le problème.

Je n'ai ni punbb ni je ne sais quoi en base de données, justement, je n'y connais rien.

les adresses :
http://www.tarot-numerologie.com/
et
http://www.jhp-videoproductions.fr/

En effet, je l'ai en page perso sur free, le site de tarot, et là, ça va très bien

Qu'est-ce que je peux faire?
Je viens de voir aussi que le forum si vite a été hacké. Je crois que qqun l'a dit, mais j'en suis pas sûre.
Mis à part attendre demain matin, qu'est ce que je peux faire?

Merci d'avance pour toutes vos réponses

Helene

 

[Bellegarde-webb]

En rechargeant les pages d'index, ça marche mais pour combien de temps??? :twisted: :twisted:
J'espère qu'ils vont agir vite!!

Leur forum est toujours hacké qui a dit qu'il remarchait?? :x :x

Heureusement qu'il y a WRI

 

[absolugratuits]

J'ai renvoyé le site de vidéo, mais rien n'a changé. Il est petit, donc facile et rapide à envoyer, c'est pour cette raison qu'il m'a servi de test.

Mon site de tarot est en .com et .fr
Tous sont touchés
J'ai renvoyé les pages index, toujours rien.

Et donc, pas de php pour moi. Que du html.

 

[Bellegarde-webb]

J'ai dit que en remettant les index, ça marchait mais non. Ils semble que les feuilles de style de l'index sont aussi touchées car en supprimant le cache
je n'ai plus de style pour l'index qui a pour nom index.css. Donc c'est tout
ce qui porte un mnom de fichier index quelque soit l'extension qui est touché.

Quand au blog je n'arrive pas à le remettre en place!!
:twisted: :twisted: :x :x

 

[absolugratuits]

Deux renvois d'index pour le site de vidéo et toujours rien.
L'impression qu'il s'est renforcé, mais c'est peut-être mon imagination
Donc, Sivit ne va pas bouger avant au moins mardi..... Dégoutée

 

[Bellegarde-webb]

Sivit semble bouger un peu car on obtient maintenant forum fermé pour cause de maintenance!!!

 

[lolilol]

On va vite voir les dégats....
J'ai un site d'un client qui a été hacké...

https://www.google.fr/search?q=allintitl ... 3&filter=0

 

[saypee]

Sivit semble bouger un peu car on obtient maintenant forum fermé pour cause de maintenance!!!

Les pauvres, en plein week-end prolongé :evil:

 

[lolilol]

Sivit semble bouger un peu car on obtient maintenant forum fermé pour cause de maintenance!!!

Les pauvres, en plein week-end prolongé :evil:

YES...en même temps.... il ne le savait pas le ptit gars.. s'il est pas catho

 

[absolugratuits]

Hum, j'ai envoyé il y a qques mns un mail de reproches chez Sivit.
Même en mutualisés, payant moins cher que d'autres prestations, il n'est pas normal qu'il puisse y avoir autant de dégats, y compris chez eux, sans que personne ne bouge.

Si je traduis bien, rien ne sera fait avant au moins mardi matin.
Ben ils vont le sentir passer ce problème chez notre hébergeur bien-aimé.......

 

[absolugratuits]

Dans le code source du haker, y'a ça :

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML>

Ca correspond à quoi d'après vous? J'y suis allée et c'est n'importe quoi.
Mais bon, n'y connaissant rien, je ne vois pas comment je pourrais en déduire quelque chose.

 

[fredm]

Deux renvois d'index pour le site de vidéo et toujours rien.
L'impression qu'il s'est renforcé, mais c'est peut-être mon imagination
Donc, Sivit ne va pas bouger avant au moins mardi..... Dégoutée

Hélène, manifestement s'ils ne sont pas remplacés c'est qu'ils sont peut-être en lecture seule.

Donc efface d'abord les fichiers index corrompus, vérifie qu'ils ne sont plus là, ensuite tu fais le transfert de tes nouveaux fichiers. Tu devrais pouvoir comparer ensuite avec la taille des fichiers, ceux corrompus sont tous à une taille d'environ 96xx Ko.

Don't worry, be happy, seule sur le sable les yeux dans l'eau, parceque moi hier j'ai tremblé au tout début...

 

[absolugratuits]

Merci infiniment de ton aide.

J'ai pu voir que mon site avait été hacké à 1h30 du matin et celui de vidéo, à 4h45......

Les sites sont de nouveau en action.
Je savais que j'avais bien fais de venir ici.

Encore merci. Et en plus, j'ai compris ce qu'il fallait faire.... Ca a l'ai bete, mais y'a pas longtemps que je sais faire ça.

 

[Bellegarde-webb]

ça bouge un peu maintenant on ne peut plus se connecter au serveur.
Espérons qu'il sont en train d'y faire quelque chose. :?: :?:

Serveur de nouveau accessible. J'avais espéré que c'était un bon signe.

 

[absolugratuits]

Mais ton site est accessible!

 

[aiepepito]

Il faut supprimer tt les fichiers en ligne qui sont désormais tous corrompus (vérifiez avant quand meme) et remette les bonnes sources.

 

[lolilol]

Il faut supprimer tt les fichiers en ligne qui sont désormais tous corrompus (vérifiez avant quand meme) et remette les bonnes sources.

??????? comment ca? on parlait des fichiers index uniquement....
Pourquoi parles tu de tous les fichiers en ligne?

 

[Fight666]

Mon annuaire à été touché aussi...

J'ai remis mon index.php, pour le moment ca fonctionne toujours

Font ch**r ces hackers -__-

 

[Ohax]

Les index.html ont la priorité sur les autres index avec d'autres extensions.

Je me sert de cette astuce pour le site de mon profil.



Vérifie qu'il n'y ait pas d'index.html / index.htm qui traine .

 

[Bellegarde-webb]

Mais ton site est accessible!

Oui, le site mais il faut que je reconfigure le blog.
Je vais attendre mardi je pense que ça vaut mieux. :cry:

 

[guicara]

Ou là ! Sa fait peur !
Le forum de sivit ne marche plus.
Heureusement que je ne suis pas sur sivit...

Pour ceux qui voudraient un petit souvenir dans le temps :

 

[Bellegarde-webb]

Le forum marche, j'en sort.

 

[toniok05]

Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...

 

[Daktari]

Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...

Bonne question vu le mutisme de Sivit.

En ce qui me concerne et vu qu'à première vue seul les fichiers index et pas les bases sont touchés, je pense procéder de la manière suivante :

- attendre des nouvelles de l'hébergeur (faille colmatée) même si ça prend plusieurs jours.

- recharger tous les fichiers à partir d'une sauvegarde et pas seulement ceux en index dès que la faille est réparée :wink: .

Vu que les sauvegardes sont à charge du client comme précisé par contrat, je doute que Sivit réinstalle tout même si ce serait un plus .

Au fait Sivit est-il côté en bourse ? Si c'est le cas, je ne voudrais pas voir le cours de l'action mardi .

 

[ouaich_01]

Salut tout le monde

C'est rassurant de se sentir moins seul

Je viens de constater que je suis également touché par le problème de devil
-http://www.otop-nutrition.fr

Fallait bien que ca m'arrive....... lol

Par contre, je n'ai pas trop compris ce qu'il fallait faire pour résoudre temporairement le problème.

Je me voyais effacer tous mes fichiers sur le serveur et de les upload ensuite, faut pas faire ca ?

Quand vous parlez de l'index, c'est la page d'accueil ?

 

[toniok05]

Quand vous parlez de l'index, c'est la page d'accueil ?

Il s'agit de tous les fichiers contenant le mot "index" :
index.php
index.html
index-en.php

etc...

et ce dans TOUS les répertoires et sous-répertoires de la racine/

Honnetement, si c'est "que" ça, on s'en tire bien. Esperons que SIVIT ne tarde pas à nous confirmer que c'est le seul probleme.

Si tu as une sauvegarde récente et complète du site, uploade le tout, sinon le fait de remplacer les fichiers contenant "index" dans chaque répertoire suffit apparemment à remettre les sites sur pied.

 

[Hairai]

Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...

Bonne question vu le mutisme de Sivit.

En ce qui me concerne et vu qu'à première vue seul les fichiers index et pas les bases sont touchés, je pense procéder de la manière suivante :

- attendre des nouvelles de l'hébergeur (faille colmatée) même si ça prend plusieurs jours.

- recharger tous les fichiers à partir d'une sauvegarde et pas seulement ceux en index dès que la faille est réparée :wink: .

Vu que les sauvegardes sont à charge du client comme précisé par contrat, je doute que Sivit réinstalle tout même si ce serait un plus .

Au fait Sivit est-il côté en bourse ? Si c'est le cas, je ne voudrais pas voir le cours de l'action mardi .

http://forum.sivit.fr/viewtopic.php?pid=52441

voilà tes réponses,
malgrés le week end de pâques ça bouge quand même chez sivit,
sinon pour avoir des infos en temps reel pour ceux qui utilisent irc -> irc.sivit.fr @ #sivit

 

[tophus]

Salut tout le monde

Je me voyais effacer tous mes fichiers sur le serveur et de les upload ensuite, faut pas faire ca ?

Quand vous parlez de l'index, c'est la page d'accueil ?

Non, tu remplace juste tout tes fichiers nommés index.htm et index.php.

J'ai également, tous mes sites chez sivit en mutu de touché.

 

[ouaich_01]

Je viens de remplacer les pages index et effectivement tout remarche...

Par contre j'ai un petit soucis :

J'ai pas de page "index" sur mon site à la page d'accueil

J'accède directement via "-otop-nutrition.fr et non par "otop-nutrition.fr/index.html

Je ne peux donc pas modifier ?

D'avoir accès à toutes mes pages mais pas la porte d'entrée c'est embêtant.....

 

[toniok05]

Allez arrêtons de squatter les octets du forum WRI, l'équipe de SIVIT se réveille après avoir digéré son repas pascal : http://forum.sivit.fr/viewtopic.php?pid=52441 comme l'indique Hairi

 

[toniok05]

J'ai pas de page "index" sur mon site à la page d'accueil

J'accède directement via "-otop-nutrition.fr et non par "otop-nutrition.fr/index.html

Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1

 

[ouaich_01]

Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1

L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?

 

[STFprod]

sont sympa chez sivit : c'est de votre faute, à cause de mises à jour non faites...

Chez celeonet mes serveurs ont également été hackés, mais pas par la même personne.

Il s'agissait d'une faille dans awstats, exploitée, du fait de l'absence d'un htaccess pour protéger l'accès...

Est ce que ca ne pourrait pas venir de là ?

 

[STFprod]

Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1

L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?

chez moi ton site apparait depuis ton WWW...

 

[ouaich_01]

chez moi ton site apparait depuis ton WWW...

Oui ok c'est bon la maintenant


Sinon la faille viendrait des forums phpbb alors ?

C'est fou ca, je l'ai installé vendredi ce foutu forum, deux jours après le hacker arrive.......

Pas de bol ou simple coïncidence ?

 

[toniok05]

L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?

Suis désolé mais chez moi le lien de ton WWW fonctionne à merveille !

As-tu vidé le cache de ton navigateur et rechargé la page ?

Je vois une page d'erreur en consultant otop-nutrition.fr/index.php

Tu n'aurais pas par hasard une réécriture d'URL de index.php vers index.html ?

Pour répondre à ta question, je te renvoie à mon post de tout à l'heure :

Il s'agit de tous les fichiers contenant le mot "index" :
index.php
index.html
index-en.php

etc...

et ce dans TOUS les répertoires et sous-répertoires de la racine/

 

[toniok05]

Pas de bol ou simple coïncidence ?

Les deux !

 

[toniok05]

Allez ouaich_01 fais un effort, va sur http://forum.sivit.fr/viewtopic.php?id=8133

@+

 

[tophus]

sont sympa chez sivit : c'est de votre faute, à cause de mises à jour non faites...

Chez celeonet mes serveurs ont également été hackés, mais pas par la même personne.

Il s'agissait d'une faille dans awstats, exploitée, du fait de l'absence d'un htaccess pour protéger l'accès...

Est ce que ca ne pourrait pas venir de là ?

Visiblement l'attaque a eu lieu à plusieurs niveaux, sur des appli php, et la éffectivement il faut faire les mises à jour des appli, forum...
Mais elle affecte également des sites entierement html, et la on ne peut rien fairele car elle agit directement sur le serveur d'hébergement en injectant une appli qui remplace les index, et dans ce cas un htaccess ne change rien j'ai des site avec des htacess qui sont touché dans les dossier protégé.

 

[STFprod]

oui, mais d'où a-t-elle été injectée ?
moi c'était depuis awstats, qui n'était pas protégé...

une fois installée, l'appli supprime tout ce qu'elle veut...

j'avais même trouvé le script php qui lancait le hack...

 

[ouaich_01]

Suis désolé mais chez moi le lien de ton WWW fonctionne à merveille !

As-tu vidé le cache de ton navigateur et rechargé la page ?

Je vois une page d'erreur en consultant otop-nutrition.fr/index.php

Tu n'aurais pas par hasard une réécriture d'URL de index.php vers index.html ?

Pour répondre à ta question, je te renvoie à mon post de tout à l'heure :

Je posais cette question car je ne me suis jamais servi de ma page index pour accéder à mon site, tout passe par "/"

C'est bon tout est rentré dans l'ordre

Allez ouaich_01 fais un effort, va sur http://forum.sivit.fr/viewtopic.php?id=8133

@+

;-)

 

[toniok05]

En fait, lorsque tu tapes une adresse du type -www.monsite.com dans ton navigateur, celui-ci affiche la page nommée "index", quelquesoit son extension.

Idem pour les répertoires et sous répertoires.

Essaie ça : tu crées un répertoire nommé "monrepertoire", tu y places un fichier index.html par exemple.

Lorsque tu appelles l'URL -www.monsite/monrepertoire la page "index" s'affichera, comme si tu tapais -www.monsite/monrepertoire/index.html

 

[tophus]

oui, mais d'où a-t-elle été injectée ?
moi c'était depuis awstats, qui n'était pas protégé...

une fois installée, l'appli supprime tout ce qu'elle veut...

j'avais même trouvé le script php qui lancait le hack...

A mon avis pas à notre niveau, en tout cas, je n'ai pas de script inconnu dans mes sites hackés. c'est peut-être directement l'appli qui gère les compte mutu client qui a été hacké.

 

[ouaich_01]

En fait, lorsque tu tapes une adresse du type -www.monsite.com dans ton navigateur, celui-ci affiche la page nommée "index", quelquesoit son extension.

Idem pour les répertoires et sous répertoires.

Essaie ça : tu crées un répertoire nommé "monrepertoire", tu y places un fichier index.html par exemple.

Lorsque tu appelles l'URL -www.monsite/monrepertoire la page "index" s'affichera, comme si tu tapais -www.monsite/monrepertoire/index.html

OK Toniok c'est plus clair pour moi maintenant ;-)

J'y pensais plus à cette page index......

Merci à tous

 

[h4ni]

Bonsoir
je vien de parler avec le soit disant Hacker!
il parlent d'une faille sur les serveur de sivit.fr ! qui ne sont pas a jours

 

[hardmicro]

Je pense que tout comme moi vous avez tous reçu le mail de Sivit puor nous rassurer et nous avertir en même temps

 

[roamer]

Il faudrait que Sivit propose une alerte par SMS (payante biensûr).
Parce que là ceux qui sont partis en WE prolongé n'ont plus qu'à aller s'imprimer une couronne de roi des cons sur http://www.roi-des-cons.com/ à dès leur retour de week end !
Moi j'ai du bol j'étais malade !!! :lol:

 

[absolugratuits]

Rien reçu du tout de chez Sivit
J'ai tout remis moi meme comme plein d'autres.

Chez Sivit, pour avoir droit à toute cette assistance, 24/24, il faut être en dédié à des prix prohibitifs.

Au moment où je tape ces mots, je reçois ça, en réponse de Sivit.
Je leur ai envoyé un mail hier, pour exprimer ma grande colère
et voilà leur réponse :

".....Le pirate a agit sur les fichiers 'index.*' et 'main.*'. (Remplacement de ces
fichiers par le Fichier de hack !)

Nous avons travaillé toute la journée d'hier afin de remmettre en place tous
les Sites qui ont été piratés.

A cette heure, nous ne devrions plus avoir de Site piraté.

Si vous avez toujours un problème de piratage sur un de vos Site, merci de
revenir vers nous avec le Nom de votre Site et le Nom de la page piratée afin
que nous puissions voir ce qu'il en est.

Afin de prévenir ce type d'incident, vous devez vérifier les applications PHP
que vous utilisez et les mettre "_Impérativement_" à jour de la dernière
version.

Nous allons bien entendu analyser les Logs de ce Week-end afin de trouver
l'origine de cette attaque, nous vous tiendrons informé......"

Voilà, quelqu'un a reçu autre chose?

 

[Koxin-L]

je vien de parler avec le soit disant Hacker!
il parlent d'une faille sur les serveur de sivit.fr ! qui ne sont pas a jours

Qu'est-ce que cela pouvait être d'autre ?

La faille PunBB, mon cul.
Un site à une faille, c'est pour sa pomme.
L'hébergeur se fait hacker parce que lui aussi à une faille. Et dans c'est cas, là, pas besion de s'exiter le chou... Faut patienter, et faire des save au cas où...

 

[mythos75]

Bonjour,

je suis également hébergé chez Sivit et j'ai pris peur, hier, en voyant mon forum PhpBB hacké.
J'ai d'abord cru à une faille de PhpBB, ce serait pas la première fois, mais mon forum était à jour.
Il suffit de remettre ses fichiers d'index.

Je ne pense pas qu'il faille s'énerver pour si peu, même si l'erreur vient de Sivit, ça arrive ^^

 

[Koxin-L]

ça arrive ^^

On est d'accord. :wink:

 

[Thierry Bugs]

j'étais en week end, et j'ai regardé avec peur lundi soir, mais rien, tout ok, ils disent avoir restauré des backups, ou bien mon site hébérgé chez eux n'a pas été affecté. Coup de chance...

pour les hacks, ce n'est pas la première fois (j'ai eu une fois terrible chez webheberg (qui n'existe plus)) y en a qui ont vraiment rien d'autre à foutre que casser le boulot des autres :roll:

 

[Koxin-L]

Vérifie quand même, car leur backup date de plus de 15jours, donc si t'as placer des nouveau répertoires avec des index.tld, ils sont certainement toujours corrompus.

 

[Thierry Bugs]

oui je vais uploader les pages index de répertoires par sécurité, mais vu que ni le blog ni la galerie coppermine n'est affecté, c'est bon...

 

[jeroen]

Vous voulez que je vous dise ? Franchement je suis content. J'ai une dent contre Sivit depuis des lustres, et là ça les dresse un peu pour la mauvaise pub que ça leur fait. Par ailleurs je suis désolé pour vous, tous les clients de cet hébergeur qui en avez fait les frais.

Dans les années 2001 Sivit proposait un service d'hébergement gratuit, en sous domaine de forez.com.
Un jour ils ont fermé le service, en plein mois d'aout, sans aucun message ni mail d'avertissement. Les sites étaient tout simplement indisponibles et la home pointait vers sivit. pendant plusieurs semaines on se demandait ce qui se passait, et malgré plusieurs mails on a jamais eu la moindre réponse. :evil:
Visiblement leur politique n'a pas changé : ils manquent de transparence. Ils ont eu ce qu'ils méritent. Jamais ne n'irai chez eux.