Bonsoir ,
Je tiens à préciser que je n'encourage en rien le hack mais la je viens de me faire hacké un site et je suis plutôt bluffé par le fichier et j'aimerai comprendre le pourquoi du comment
L'histoire :
Aujourd'hui je décide de changer d'hébergeur et donc me crée un compte chez 1&1
Je reçois mon mail avec les identifiants
Avant cela j'ai récupérer les fichiers de mon site de mon ancien hébergeur ainsi que ma BDD
Je me co en FTP sur 1&1 et je balance les fichiers , pendant le transfert de fichier je vais sur phpmyadmin de 1&1 pour y créer ma BDD
Ensuite j'accède à mon site par URL donné dans mon mail et la surprise ERREUR 404
je retourne sur mon compte 1&1 -> compte bloqué
5 min après je reçois un mail de l'équipe de sécurité que me dit qu'un script fait du spam ( envoi du mail en mass ) et donc ils ont bloqué mon compte
Le script :
je regarde en local de quoi est fait le script et la je voit un truc bizarre du genre
$auth_pass = "0ecbf9426bcfbd9a086ded5fc8c4eca8"; //password = dk
$color = "#00FF66"; //Colour
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62.... // je ne mets pas la suite au cas ou ....je ne vois pas de fonction mail() donc comment il peut envoyer des mails
par curiosité je lance le script en local
je tombe sur un input type text avec marqué password donc j'entre le password 'dk' commenté dans le script et la MAGNIFIQUE
j'arrive sur une interphase permettant upload sur le serveur en 777 , parcourir le serveur , déplacer détruire etc donc le mec fait ce qu'il veut
Mes questions :
- comment une interphase comme cela peut être crée ( à cause du preg_replace ) ?
- comment le fichier peut il se lancer tout seul ??? ( au moment ou j'ai upload le fichier sur le serveur ? ou accèdant à URL sachant que je n'ai jamais appelé URL du fichier
merci pour vos réponses
Grafikart => si le post n'est pas conforme j'en suis désolé je voulais le partager afin de mieux comprendre
5 réponses
YO!
1) Oui c'est à cause du preg_replace:
Les caractères dans le preg_replace, sont des hexadécimaux. Ces caractères correspondent à des caractères alphanumériques et autres caractères spéciaux. (voir google)
Certains langage (ou tous je sais pas ^^) de programmation peuvent "décrypter" les caractères hex facilement. Comme php, en mettant des doubles quotes.
Et ce qu'à fait l'hackeur, à partir du preg_replace, c'est qu'il a exécuté du code php sauf qu'il a tout simplement utilisé une autre forme d'écriture. ^^
En gros:
=> preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62...,)
C'est comme si t'écrivais "normalement":
=> preg_replace("/.*/e",eval(gzinflate(b...)),)
2) Si ce n'est pas toi qui a exécuté la page, c'est sûrement l'hackeur lui même.. ^^
Tu as laissé une faille permettant a qqun d'uploader le fichier en question. Avec ce fichier il peut alors exploiter ton hébergement pour faire ce qu'il veut. Donc pour corriger ton pb il faut :
1- supprimer ce fichier :D
2- trouver comment il a pu être placé là (et changer les permissions de ton serveur pour être plus restrictif)
Merci pour les réponses,
Cependant si ce n'est pas moi qui est lancé le fichier comment le hachkeur aurait pu faire sachant que j ai changé d hébergement et que j avais un domaine temporaire ex sdgrethgead.netsite.com
Peut etre un traceur ? Le support m a parlé de robot et de connexion ssh
il y a plusieurs robot qui sont apte à hacker des sites en exploitant des failles. (En ce moment joomla ramasse pas mal donc heureux détenteur d'un site sous joomla veillez à bien faire les mise à jour.
J'ai lu qu'en Russie ce genre de robot devenait monnaie courante car de moins en moins cher et il n'est pas rare que des petits malins les achètes !
Virtuemart sous joomla aussi serait viser.
J'ai trouver sur le site d'un collègue une fonction xmail() qui spammait à tout va ^^...