Site Web Perso "Hacké"

Bonjour,

Je viens à l’instant de me rendre compte que mon site Web Perso hébergé chez Red Heberg a été hacké. (http://studiodefouras.rd-h.fr)
Je tiens à préciser que le mot de passe n’était pas 123456 ^^

Comment cela a t-il pu se produire et surtout comment y remédier?

Changer d’hébergeur? Modifier le mot de passe?

Je vous remercie par avance

Tu peux déjà contacter l’hébergeur, ils doivent garder une trace des connexions.
S’agit il d’un site statique ou d’un site dynamique ?

Il peut y avoir des tas de raisons, comme ça là on peut pas trouver…

Déjà je vois que tu parles de mot de passe…

Quand c’est possible, remplacer les mots de passes par de l’authentification par clé privée augmente déjà pas mal la sécurité (même si ça fait pas tout, on est d’accord). Après possible que tu ne l’ait pas fait à cause de l’hébergeur? (certains limitent certaines choses.)

C’est toi qui gères entièrement le serveur où il y a une parties qui ne peut être gérées que par l’hébergeur? Mise à jour du système, des logiciels serveurs etc…

L’authentification à la zone admin se fait comment? Tu fais tout via SSH où il y a une sorte de zone admin comme on peut le voir sur les CMS? Tu utilises des trucs comme HTACCESS? Un apache mal configuré et certaines configurations de HTACCESS peuvent rendre un serveur vulnérable.

Sinon, j’imagine que oui mais as tu déjà pensé à fouiner dans tout les logs pour y trouver des indices?
Edité le 30/05/2012 à 21:50

Je pense que l’hébergeur est en cause, plusieurs personnes se sont plaint du même hacker. Il a dû trouver une faille et s’amuse à remplacer le Index.php.

Parcontre il n’a ni modifié ma BDD, ni modifier mes accès FTP.

Donc je vais certainement changer d’hébergeur ou héberger le site sur mon NAS … à voir

Je vous remercie pour les nombreuses pistes apportées.

p3nnywis3 : tu n’as pas répondu aux questions de tcp/ip c’est dommage.
Tu as une offre mutualisée, virtuelle ou sur un serveur dédié que tu gères à 100 % ?

J’ai checké vite fait Google Cache concernant ton site.
Apparemment tu utilises l’outil de publication intégré Joomla! 1.7. Il y a régulièrement des failles sur ce genre d’outils : il faut que tu télécharges les dernières versions de Joomla régulièrement qui ont pour but de corriger des failles de sécurité et des bugs.

Si tu n’as pas fait la mise à jour vers le dernier Joomla la personne à mettre en cause n’est pas l’hébergeur mais toi.
Edité le 01/06/2012 à 06:48

J’avoue que vu l’importance du site, en effet je ne me suis pas attardé à mettre à jour Joomla. Cependant la version 1.7 ne présentait pas la faille de l’apostrophe, couramment utilisée pour permettre de réinitialiser le mot de passe administrateur.

Le control manager de l’hébergeur a été quand même visité donc je pense qu’il y a aussi une faille de ce côté là.

Je vous remercie pour toutes ces précisions.
Edité le 01/06/2012 à 10:18

Il est probable que la page index.php modifiée t’a installé un trojan à ton insu et que le mot de passe du control manager t’est été volé.
Si j’étais toi je scannerais l’ensemble de mes fichiers du disque dur à l’antivirus.

Concernant l’ensemble des fichiers de ton site stocké chez l’hébergeur considére les comme “douteux”. Le gars a pu planquer des fichiers verollés dans des sous dossiers ou modifiait tes fichiers.

Tu as accès aux logs ?