Probleme piratage de server dédié et privé par concurent

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Probleme piratage de server dédié et privé par concurent

Postby SDCMIKE » Tue Feb 02, 2010 11:05 pm

Bonjour, je vien vers vous suite a un grand probleme que je vous explique ci dessous

Voilà je vien de crée une micro societe qui et de la location de chat avec webcam, le souci que je rencontre c 'est qu'un de mes concurent ma piraté 16 fois et il fait planter tout les chat de mes client résultat je re cois sans cesse des plainte malgré que j ai annoncé un piratage de site.

j'ai déposé plusieurs plainte au commissariat en vers ce concurent qui a l'audace de me dire je m en fou le temps que la plainte aboutisse tu sera plus en ligne car ca te couter un max.
cette personne a recement pénétré sur mon server dédié et a récupéré les historique des chat de mes client et de moi meme, il a de ce faite pu prendre contact avec mes client via les lien des différents site qui passer dans les privé et aprés avoir pris contact avec mes client, il les a fait aller chez lui du coup a ce jour il me reste 10 client sur environ 85 .
Je ne sais pas comment il s y prend mais il arrive a me piraté en moins de 30 mn car apres plusieurs réinstallation de mon server a peine en ligne et op 30 mn aprés plus rien re piraté il me fait le coup a chaque foi maintenant j ai du re faire tout mon site durant 2 mois j ai perdu l equivalent de 1500 client environ d'apres mes calcules.
De plus cette personne a plusieurs plainte d arnaque, escroquerie abbut de confiance d apres les dires du commissariat

pourriez vous svp m'aider a protégé mon server , maintenant je suis en serveur privé mais je sais qu il arrive aussi a me piraté

voici l adresse de mon site http://www.scriptdechat.com
j'en suis bien le proprietaire d'ailleurs j y mi votre script d autorisation qui se trouve a la page http://www.scriptdechat.com/hackbbs.html

logiquement appart la page d accueil vous ne devriez rien voir d autre car les lien re dirige sur mon autre site qui est scriptdechat-support.com

je voudrez que vous m'aidiez a protégé mon server qui comtien des fichier privé et personnelle

vous trouverez votre fichier ici http://www.scriptdechat.com/hackbbs.html
vous trouverez dans mon server a la racine une page hackbbs.html vous indiquent "Permission pour HackBBS de tester ce site Web. "sdcmike" vous etes la ou personne devrez avoir acces"

Cordialement sdcmike
SDCMIKE
Projets
 
Posts: 6
Joined: Tue Feb 02, 2010 10:40 pm

Postby TorTukiTu » Thu Feb 04, 2010 2:18 pm

Bon, j'ai lancé quelques tests automatisés afin de repérer si il y avait des monstruosités.
Je serais fixé dans quelques heures.
Ensuite je regarderai ça de plus près "à l'ancienne, avec mes petites mains" :) .

Déjà il semblerai que ton serveur apache ne soit pas à jour. Il existe des exploits pour cette version. Je te conseille donc de régler ça rapidement.

[quote:472f7a49f6]PORT STATE SERVICE VERSION
21/tcp open ftp PureFTPd
22/tcp open ssh (protocol 2.0)
53/tcp open domain?
80/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
110/tcp open pop3 Courier pop3d
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap Courier Imapd (released 2008)
443/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
445/tcp filtered microsoft-ds
993/tcp open ssl/imap Courier Imapd (released 2008)
995/tcp open ssl/pop3 Courier pop3d
8080/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port22-TCP:V=4.76%I=7%D=2/4%Time=4B6AC593%P=i686-pc-linux-gnu%r(NULL,20
SF:,"SSH-2\.0-OpenSSH_5\.1p1\x20Debian-5\r\n");
[/quote:472f7a49f6]

Tu as pas mal de services qui tournent sur ta machine. Soit sûr de l'identité de chacun d'eux. Et assure toi qu'ils sont tous à jour. Je te laisse regarder ça.

Ensuite, d'après ce que tu nous raconte, ton serveur a déjà été compromis. L'attaquant a eu entre autre accès à tes bases de données. Il est fortement probable qu'il dispose désormais d'une copie de tes scripts. Si nous parvenons à trouver la faille qu'il a utilisé pour entrer, il lui sera très facile d'étudier tes sources pour trouver d'autres vulnérabilités, beaucoup moins visibles autrement.

Ce que je te propose:
1 - Tu donnes tes sources aux modérateurs du forums qui les auditeront.
2 - Pendant ce temps, tu recodes tout. Ou au moins, les scripts qui se chargent du traitement des données venant de l'extérieur.
3 - Tu nettoies complètement ton serveur. (Pense à regarder un peu les logs, si tu as un accès complet, je te conseille un formatage et une réinstallation propre, étant donné que tu ne sais pas jusqu'où ton système a déjà été compromis).
4 - Tu met en place un système de log complet (pages demandées, détails des urls passés, manipulation sur le serveur,...). Tu crée un système qui copie tes logs toutes les minutes par exemple à un autre endroit (L'idéal serait sur une machine distante (astuce: Tu peux faire aussi ça par mail si tu n'as pas de machine )). Ça permettra de savoir exactement ce qui se passe si l'attaquant se repointe. On attend qu'il morde à l'hameçon. Là on récupère la copie des logs, on regarde ça, on bouche la faille et on réinstalle tout.
5 - Si tu ne veux pas que ton service soit hors-ligne en cas de piratage, code un système qui vérifiera l'intégrité de tes données à intervalle régulier. Si tu constates des manips trop importantes ou improbables, tu switch avec une image de ton site et tu restaures l'autre. Résultat: Tu seras toujours en ligne, et le temps que l'attaquant comprenne ce qui se passe, on aura corrigé la faille.


J'attends de voir ce que les autres membres pensent de ces conseils. En tout cas, c'est ce que je ferais si j'étais à ta place.
La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SDCMIKE » Fri Feb 05, 2010 1:13 am

je vous re merci mais le souci et que j y connait rien en server mais je suis obligé d avoir un server pour mes service sinon j aurrai pris un hebergeur, , vous dite de donenr des info a un modo, est ce que je peu vous fournir les acces a mon serveur avec mon nulmero de téléphone de facon a ce que vous y jeté un oeil ?
de plus le pirate et re venu aujourdui je les bani mais bon il change d ip tout le temp
j'ai du re faire tout le site duran deux mois a cose de lui et la j ai besoin d aide car je sais plus vraiement quoi faire et le temp passe et je doit payer les services , l ursaf etc.. ca fait 6 mois qu'il me pirate et mes nombreux depot de plainte n avance pas en plus il a demenager et malgré que j ai fournis sont site aux autorité avec son servr ovh et d'aprés ce que mon dit le comissariat, il n'arrive pas a le localisé c est une personne rechercher pour arnaque, escroquerie, abus de confiance etc.. et il continu sur son site a faire de l'interdit

merci de votre aide
SDCMIKE
Projets
 
Posts: 6
Joined: Tue Feb 02, 2010 10:40 pm

Postby Sliim » Fri Feb 05, 2010 11:48 am

Salut SDCMIKE,

peux tu nous fournir tes logs apache, peut être qu'ils nous dirons par où passe le mec.
Ils se trouvent ici /var/logs/apache2/

tu peux également modifier tes mots de passe de connexion pour le ssh on ne sait jamais.

Voilà, si tu ne souhaites pas montrer les logs à tout le monde envoie les moi par MP. Une fois que je les aurais je lancerais un scan pour voir.

++
[u:d32adf2f79]Sliim[/u:d32adf2f79]
User avatar
Sliim
Site Admin
 
Posts: 1177
Joined: Fri May 16, 2008 12:53 pm

Postby Manu404 » Fri Feb 05, 2010 3:19 pm

Korigan, tu n'a pas honte ??
sinon oui, des logs seraient utilie...
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby SPLEENKIRBY » Tue Feb 09, 2010 9:09 pm

En voilà une demande très intéressante !
Je regarde tout ça :)

Et c'est clair que si l'attaquant a fait l'énorme bourde de ne pas effacer les logs, on le coince ... !

Edit :
Aucun numéro SIRET, pas de déclaration a la CNIL... Exonéré ? Mais pourquoi ? Dans un tel cas, le passage par la CNIL est censé être obligatoire... non ?
Se dit "Micro entreprise" mais dispose d'une "Equipe Technique en Belgique et en France", c'est pas un peu suspect ..?
Je voulais juste savoir le vrai du faux dans ton affaire avant de travailler dessus ...
Parce qu'il n'y a aucun doute que quelque chose cloche, et pas seulement en sécurité ...
User avatar
SPLEENKIRBY
Projets
 
Posts: 63
Joined: Wed Sep 02, 2009 10:13 pm
Location: \x44\x54\x43\

Postby SDCMIKE » Fri Feb 12, 2010 3:46 am

bonjour, il y a pas de souci alors
le numéro de siret n'est pas obligé d'être sur le site d'après les impôt
sinon l'identifiant siret: 514 672 138
l identifiant siret du siège: 514 672 138 000 13
pour vérifié le siret je vous recommande le site verif.com car nous ne somme pas sur tout les sites

la déclaration a la cnil n est pas obligatoire d'après ce que mon dit les impôts lors de mon enregistrement

le services technique en faite c'est ma femme et moi, que ce soit le numéro belge ou français, les appel arrive chez moi a mon domicile et c est ma femme ou mois qui répondons au téléphone nous sommes que 2 a diriger tous le site d'on un amis qui s occupe de la modération du forum et des activation des chat de discutions qui se trouve sur notre serveur.

pour information le pirate et passer hier sur mon site et ma dit qu' il fraisai la mise a jour de son site puis qu'il s'occupe ré en suite de mon cas
j'ai tracer son ip mais comme habitude il passe par proxy ou autre donc aucune façon de le re trouver, par contre il a changer les informations de son site etc.. et a tout mis au nom de sa femme pour pouvoir je pense échappé a la justice puis qu'il et rechercher par la police source sur puis que j'ai appeler la gendarmerie a fin de savoir ou en étai la procédure.

donc voila encore des menace de cette personne mais il n'est pas le seul a venir, il a aussi ses modo etc.. en fin son équipe qu'il m'envoie régulièrement.

Si vous avez besoin de renseignement supplémentaire n'hésitai sur tout pas a me les demander

je vous remercie encore de votre aide qui mais très précieuse
SDCMIKE
Projets
 
Posts: 6
Joined: Tue Feb 02, 2010 10:40 pm

Postby SPLEENKIRBY » Fri Feb 12, 2010 12:02 pm

Salut,
D'accord, merci pour ces précisions :)

[quote:b179cf1a08]
peux tu nous fournir tes logs apache, peut être qu'ils nous dirons par où passe le mec.
Ils se trouvent ici /var/logs/apache2/
[/quote:b179cf1a08]

Serait-ce possible ? Cela nous arrangerait grandement la tâche.
User avatar
SPLEENKIRBY
Projets
 
Posts: 63
Joined: Wed Sep 02, 2009 10:13 pm
Location: \x44\x54\x43\

Postby SDCMIKE » Mon Feb 15, 2010 2:27 am

bonjour, je vous les est envoyer par MP

cordialement sdcmike
SDCMIKE
Projets
 
Posts: 6
Joined: Tue Feb 02, 2010 10:40 pm

Postby TorTukiTu » Mon Feb 15, 2010 9:18 am

Tu es sûr?
Je n'ai rien reçu.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SPLEENKIRBY » Mon Feb 15, 2010 8:59 pm

Je les ai reçu, je me permet de les faire passer à Sliim, TorTukiTu et à Manu404 (3 personnes d'entières confiance), pour qu'ils puissent les analyser aussi.
User avatar
SPLEENKIRBY
Projets
 
Posts: 63
Joined: Wed Sep 02, 2009 10:13 pm
Location: \x44\x54\x43\

Postby Manu404 » Mon Feb 15, 2010 9:04 pm

ha ok, pardon, je ne vais pas souvent voir mp.
Je check ça courant de la semaine.
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby SDCMIKE » Mon Feb 15, 2010 11:38 pm

Bonjour, je vous re merci de l'intéret que vous portez a mon probleme, surtout si vous avez besoin d'information suplémentaire n'hésitez pas a demander.

cordialement sdcmike
SDCMIKE
Projets
 
Posts: 6
Joined: Tue Feb 02, 2010 10:40 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 2 guests

cron