Piratage de mon ordinateur?

Zacharie3333 · Septembre 25, 2017, 7:10

Bonsoir,

Ma colocataire rencontre un énorme souci sur son ordinateur depuis quelques mois. Elle est devenue administratrice et fondatrice d’un forum sur internet, et il semble qu’une personne ait pris le contrôle du pc à distance ou l’ait piraté pour voler des mots de passe et autres, parce que souvent ma colocataire n’arrive plus à se connecter sur le forum en tant que fondatrice ou administratrice, et quand elle arrive à se connecter, elle se rend compte que dans le panneau d’administration il y a des choses qui ont changé ou que le forum a été modifié.

Ce qui arrive souvent aussi, c’est que quand elle se connecte sur le forum, certains de ses posts ont été modifiés: formatage, suppression de vidéo,… comme si un hacker avait pris la possession du compte fondateur.

En plus de cela, le hacker, si c’en est un, a pris possession de nos adresses mails puisqu’il arrive à nous déconnecter quand on se connecte à nos gmails sur le pc, ou à nous envoyer des mails.

Un technicien du fournisseur Orange chez qui nous sommes a pris le contrôle du pc pendant une heure en faisant un gros nettoyage, notamment avec Adwcleaner, SuperAntispyware,… Il a supprimé des virus, et Teamviewer que j’avais moi-même installé. Le technicien a dit que c’était un programme dangereux et que le hacker avait pu installer un serveur sur le pc.

Malgré son intervention, les problèmes de hacking du pc continuent, même si nous avons installé un logiciel pour crypter les frappes au clavier (Zemana antilogger) un peu tardivement.

Nous avons fait un gros balayage aussi avec Malwarebytes Antimalware.

J’ai téléchargé et exécuté le logiciel Tcpviewer, mais je n’y comprends rien, par moments des lignes apparaissent en rouge et d’autres en verte.

L’antivirus installé est Nod32 et il est à jour. On se connecte aussi régulièrement avec un vpn de chez ExpressVPN mais le problème persiste.

Merci d’avance de votre aide parce que nous ne savons plus quoi faire.

Palou · Septembre 25, 2017, 7:40

Bonjour Zacharie3333,
Ta colocataire a essayé de passer par un autre PC pour voir si cela venait de son PC ou du serveur ?

Zacharie3333 · Septembre 27, 2017, 11:31

Bonjour Palou,

Non, ma colocataire n’a pas encore essayé de passer par un autre pc. Sur l’autre pc, c’est Ubuntu qui est installé.

Quand ma colocataire se déconnecte de son forum, son pseudo apparaît parfois dans la liste affichée des membres connectés, même après un certain temps, comme si quelqu’un se connectait avec son pseudo et son mot de passe.

Palou · Septembre 27, 2017, 5:42

Penser à effacer les cookies au cas où :neutre:

Bdliet · Septembre 29, 2017, 4:13

Bonjour,

C’est quoi comme forum? tu aurais un lien stp? ou simplement quel outil est utilisé. (en mp si tu préfères.)

Teamviewer n’est pas un logiciel dangereux, juste un logiciel de prise en main utilisé dans la plupart des ESN…

Concrètement le PC n’a pas grand chose à voir là-dedans, ce n’est pas lui qui héberge le forum.
Il faut donc commencer par changer les mots de passe sur le forum, vérifier qu’ils ne sont pas en clair dans la BDD (on ne sait jamais…)

Zacharie3333 · Octobre 6, 2017, 9:43

Bonjour Palou et Bdliet, :hello:

Excusez-moi d’avoir mis du temps à répondre.

Palou, je supprime régulièrement tous les cookies, mais rien n’y fait.

Bdliet, je t’envoie un mp avec le lien du forum.

Ma colocataire m’a dit récemment qu’elle avait un souci avec un membre d’un autre forum, qui modifiait ses posts sur le forum, depuis 4 ans déjà.

Elle s’est rendue compte qu’on copiait ses posts pour les mettre sur facebook, avec les images et les vidéos.

Elle a modifié son mot de passe comme tu me l’as recommandé, mais le hacker arrive à se connecter encore avec son nouveau mot de passe et pendant qu’il est connecté, ma colocataire n’arrive pas à se connecter de son côté et elle voit le hacker dans la liste des membres qui se sont connectés durant la journée sur le panneau d’administration du forum, il est marqué invisible, connecté à telle heure, avec l’adresse ip de ma colocataire.

Finalement on a tout réinstallé avec la console de récupération d’Acer au démarrage du pc et réinstallé Windows 7, mais c’est toujours le même problème.

Et comme pour montrer que le hacker a plein pouvoir sur le forum, maintenant il modifie carrément la taille du portail, les textes, les images,… un truc de ouf! :paf:

En tout cas merci pour vos aides. :jap:

Bdliet · Octobre 6, 2017, 9:46

Donc c’est bien ça, il a accès soit au ftp du site, soit à la BDD, soit à une zone admin…
Ce n’est donc pas sur le PC qu’il faut investiguer mais sur le site.

Palou · Octobre 6, 2017, 9:47

et au niveau de ton réseau Wifi, il est sécurisé au maxi ?

Bdliet · Octobre 6, 2017, 11:15

J’ai bien eu ton mp (effectivement je ne m’attendais pas à ce type de forum ^^ )
Pour moi aucun doute, le “pirate” agit directement sur le forum, pas de lien avec le poste.

Donc :

modifier absolument tous les mots de passe liés à l’administration du forum
s’il y a d’anciens comptes admins qui ne servent plus : les désactiver
vérifier les droits du compte de cette personne
vérifier si vous avez accès direct à la base de données du forum (via phpmyadmin ou autre) et si c’est le cas en changer également les mots de passe…

Je vois qu'il y a le créateur du site en lien un peu partout sur le forum -> lui demander également de jeter un oeil. Vérifier également s'il n'y a pas des mises à jour de sécurité à appliquer dans l'interface d'admin du forum.

Zacharie3333 · Octobre 9, 2017, 9:34

Bonjour Palou et Bdliet, :hello:

Oui, Palou, mon réseau est sécurisé au maxi, mais on n’a pas d’adresse ip dynamique.

Bdliet, on a appliqué tes conseils, mais le hacker continue de fiche le bazard sur le forum, maintenant il s’en prend aux vidéos qu’il change.

La fondatrice du forum est décédée et ma colocataire l’a repris en main. ForumActif devrait lui donner le compte fondateur dans les semaines qui viennent.

Il y a une chose aussi: le forum n’est pas en https. Ceci dit, je n’y connais pas grand-chose en réseau.

Je dois dire aussi que le panneau d’administration est un peu compliqué et on ne s’y retrouve pas bien. :arf:

Bdliet · Octobre 9, 2017, 3:33

:hello:

Malheureusement je ne sais pas trop comment t’aider… Il y a peut-être un support chez ForumActif?

Palou · Octobre 9, 2017, 3:50

en tant qu’admin de ce forum, elle doit avoir la possibilité de supprimer un compte qui fout le bordel, non ? le bannissement existe, autant jouer avec

Sans-Nom · Octobre 9, 2017, 10:31

Bonjour,

Je vous suggère de demander à ForumActif, vu qu’ils vous fournissent un service de forum et qu’ils sont probablement confronté sur l’ensemble de leur service à ce problème.
Exit également un accès FTP ou BDD, à en croire la doc de Forumactif (http://forum.forumactif.com/t202698-le-traitement-des-bases-de-donnees-bdd).

Donc, s’il arrive à se connecter sur votre forum, avec votre compte:

Si c’est avec votre IP, je trouve ça ennuyeux, car sans être expert dans le domaine, je vois plusieurs façons de faire, du moins probable au plus probable:

via Ethernet : vous remercierez votre “proche”. Ceci étant dit, la solution est simple : déconnexion de tous les câbles Ethernet sur la box, sauf du bon.
via CPL : je ne sais pas comment marche le CPL, mais je me suis toujours demandé s’il n’était pas possible de se connecter sur un autre réseau vu que cela passe par un réseau électrique. Ceci étant dit, les boitiers CPL vont par paire et son donc probablement sécurisé. En tout cas, cela vous laisse tout l’immeuble (ou plutôt un gros secteur). La solution est “simple”: plus de CPL.
via WI-FI : désactivez le WI-FI et voyez si ça continue, vous aurez votre réponse. Après, changer le SSID (toujours avec le WI-FI désactivé), puis la clef WPA-2 et surtout ne diffuser pas la clef SSID. Pas la peine d’indiquer que votre routeur WI-FI est de nouveau actif.
via votre PC (donc, un logiciel espion) : la Livebox permet d’activer un firewall (Configuration Avancée puis Pare feu, puis Personnalisé). N’hésitez pas à bloquer tout ce qui n’est pas HTTP/HTTPS (ports 80/443). Ou plus retort (mais qui fonctionnera pas forcément) : bloquer tout sauf le port 18999/18900, puis dans Configuration Avancée > Configuration Réseau > NAT, rediriger le port 18999/18900 vers le port 80/443. L’option retorse vous fera chier, mais il n’y a que vous qui saurez que pour aller sur clubic.com, il faut faire clubic.com:18900.

Si c’est sans votre IP, alors vous devez sécuriser un compte (avec un nouvel email, et une nouvelle IP [ex: au travail, en 3G, chez un proche, … mais pas chez vous]), lui donner des droits admins puis radier tous les autres comptes admin. L’idée étant d’empécher votre “pirate” d’utiliser un compte déjà condammé. En tout cas, vous éliminez des vecteurs (on pourra supposer qu’il a eu accès à votre compte email, et malgré vos changements de mot de passe, 2FA, etc, il sait toujours y aller).

Pour résumer, dans l’ordre:

Demandez à ForumActif !
Ne gardez que l’Ethernet dans un premier temps, puis activation du Pare Feu sur 80/443
Nouveau compte admin, vierge du passé sur un autre support réseau.

En tout cas, bonne chance !

Zacharie3333 · Octobre 19, 2017, 12:10

Bonjour Bdliet et Palou, :hello:

Désolé encore une fois d’avoir mis du temps à répondre. :yeux3:

Finalement, il s’est avéré que le personne qui fiche tout ce “bordel” est un membre de l’équipe de ForumActif. ma colocataire a de nombreuses preuves, elle a fait en outre des captures d’écran qu’elle a posté sur le forum des forums, c’est-à-dire sur le forum de ForumActif et ils ont supprimé certains de ses messages, pour quelle raison?? De plus, ils ne veulent pas reconnaître les faits. :arf: En tout cas, merci pour vos aides! :jap:

Bonjour Sans-Nom, :hello:

Je n’ai pas tout compris ce que vous m’avez expliqué dans les démarches à suivre. Ma colocataire pense finalement chercher un autre hébergeur que ForumActif et faire transférer le contenu du forum. On reste toujours branché sur l’ethernet. Est-ce qu’un programme comme SpyShelter pourrait protéger davantage? Merci aussi pour votre aide. :jap:

Sans-Nom · Octobre 20, 2017, 10:26

Vu que ça semble être une autre piste, pas la peine de vous déranger
C’est juste que vous semblez penser que votre ordinateur était vérolé ou mal nettoyé.

Zacharie3333 · Octobre 27, 2017, 11:31

D’accord. En tout cas, la personne malveillante qui attaque le forum attaque même la nuit et il se connecte à travers les comptes des membres présents sur le forum, ma colocataire le sait parce qu’elle leur a téléphoné.

Pire encore, quand elle ouvre Google Chrome et se connecte sur le forum, la barre verticale bouge de haut en bas et de bas en haut toute seule, elle n’arrive pas à poster dessus, sauf sur Firefox, mais même sur Firefox c’est un peu saccadé. :arf:

En tout cas, merci pour votre aide. :jap:

Zacharie3333 · Novembre 28, 2017, 12:59

Bonjour, :hello:

Je reviens vers vous. On a un gros soucis: le hacker qui s’en prend à ma colocataire sur le forum arrive à faire planter Chrome quand elle l’utilise ou Firefox. Elle le sait parce qu’elle a téléphoné à des membres d’autres forums venant de ForumActif qui ont le même problème.

Il y a eu des forums qui ont été hackés dont “Le Peuple de la paix” qui était devenu indisponible pendant plusieurs heures et sur le portail apparaissait une grosse bannière rouge.

Est-ce cette fameuse attaque qu’on appelle “attaque par déni de service” qui ferait planter Chrome et Firefox?

Y-a-t’il moyen de s’en protéger?

Merci d’avance. :jap:

Sans-Nom · Novembre 28, 2017, 8:01

Une attaque par déni de service, non. Ça consiste à inonder un serveur de requêtes pour qu’il soit incapable d’y répondre.
Un peu comme si tu tenter de faire rentrer dans une bouteille plus d’eau qu’elle ne peut en contenir : ça déborde et en mets partout.
C’est juste l’exploitation d’un goulot d’étranglement.

Côté client, c’est plus rare. Ca n’a pas fait planté mon firefox, mais tu peux désactiver Javascript ou utiliser une extension comme uBlock Origin pour limiter la casse.

Encore une fois, là, au vu de tout ce que vous dites, vous pouvez aussi tenter de porter plainte.
Faut pas penser que la solution passera uniquement par un [ce] forum de discussion.

Je ne sais pas si cela rentre dans cette catégorie, mais tu as www.internet-signalement.gouv.fr…
Et sinon tu peux considérer que c’est une cyberattaque : www.interieur.gouv.fr…

Après, pour la suite, vous pouvez aussi maintenir sur vos propres serveurs (ex: une offre OVH) un forum et ne plus être dérangé par ce genre de tracas. Vous avez probablement parmi vos membres des gens qui ont ces compétences (et que vous connaissez physiquement si possible, histoire de pas retomber sur votre hacker).

Zacharie3333 · Mars 5, 2018, 3:43

Bonjour Sans-Nom, :hello:

Désolé pour ma réponse tardive.

Le “hacker” qui s’en prend à ma colocataire sur le forum arrive maintenant à la déconnecter du forum lorsqu’elle est connectée et à réinitialiser son mot de passe de sorte qu’elle ne peut plus se connecter en tant qu’administratrice du forum mais seulement en tant que simple membre lorsqu’elle y arrive.

Je vais y penser pour le propre serveur.