S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Mar Fév 02, 2010 11:05 pm    Sujet du message: Probleme piratage de server dédié et privé par concurent Répondre en citant

SDCMIKE
Projets


 
Inscrit le: 02 Fév 2010
Messages: 6



Bonjour, je vien vers vous suite a un grand probleme que je vous explique ci dessous

Voilà je vien de crée une micro societe qui et de la location de chat avec webcam, le souci que je rencontre c 'est qu'un de mes concurent ma piraté 16 fois et il fait planter tout les chat de mes client résultat je re cois sans cesse des plainte malgré que j ai annoncé un piratage de site.

j'ai déposé plusieurs plainte au commissariat en vers ce concurent qui a l'audace de me dire je m en fou le temps que la plainte aboutisse tu sera plus en ligne car ca te couter un max.
cette personne a recement pénétré sur mon server dédié et a récupéré les historique des chat de mes client et de moi meme, il a de ce faite pu prendre contact avec mes client via les lien des différents site qui passer dans les privé et aprés avoir pris contact avec mes client, il les a fait aller chez lui du coup a ce jour il me reste 10 client sur environ 85 .
Je ne sais pas comment il s y prend mais il arrive a me piraté en moins de 30 mn car apres plusieurs réinstallation de mon server a peine en ligne et op 30 mn aprés plus rien re piraté il me fait le coup a chaque foi maintenant j ai du re faire tout mon site durant 2 mois j ai perdu l equivalent de 1500 client environ d'apres mes calcules.
De plus cette personne a plusieurs plainte d arnaque, escroquerie abbut de confiance d apres les dires du commissariat

pourriez vous svp m'aider a protégé mon server , maintenant je suis en serveur privé mais je sais qu il arrive aussi a me piraté

voici l adresse de mon site http://www.scriptdechat.com
j'en suis bien le proprietaire d'ailleurs j y mi votre script d autorisation qui se trouve a la page http://www.scriptdechat.com/hackbbs.html

logiquement appart la page d accueil vous ne devriez rien voir d autre car les lien re dirige sur mon autre site qui est scriptdechat-support.com

je voudrez que vous m'aidiez a protégé mon server qui comtien des fichier privé et personnelle

vous trouverez votre fichier ici http://www.scriptdechat.com/hackbbs.html
vous trouverez dans mon server a la racine une page hackbbs.html vous indiquent "Permission pour HackBBS de tester ce site Web. "sdcmike" vous etes la ou personne devrez avoir acces"

Cordialement sdcmike
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Fév 04, 2010 2:18 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Bon, j'ai lancé quelques tests automatisés afin de repérer si il y avait des monstruosités.
Je serais fixé dans quelques heures.
Ensuite je regarderai ça de plus près "à l'ancienne, avec mes petites mains" Smile .

Déjà il semblerai que ton serveur apache ne soit pas à jour. Il existe des exploits pour cette version. Je te conseille donc de régler ça rapidement.

Citation:
PORT STATE SERVICE VERSION
21/tcp open ftp PureFTPd
22/tcp open ssh (protocol 2.0)
53/tcp open domain?
80/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
110/tcp open pop3 Courier pop3d
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap Courier Imapd (released 2008)
443/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
445/tcp filtered microsoft-ds
993/tcp open ssl/imap Courier Imapd (released 2008)
995/tcp open ssl/pop3 Courier pop3d
8080/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port22-TCP:V=4.76%I=7%D=2/4%Time=4B6AC593%P=i686-pc-linux-gnu%r(NULL,20
SF:,"SSH-2\.0-OpenSSH_5\.1p1\x20Debian-5\r\n");


Tu as pas mal de services qui tournent sur ta machine. Soit sûr de l'identité de chacun d'eux. Et assure toi qu'ils sont tous à jour. Je te laisse regarder ça.

Ensuite, d'après ce que tu nous raconte, ton serveur a déjà été compromis. L'attaquant a eu entre autre accès à tes bases de données. Il est fortement probable qu'il dispose désormais d'une copie de tes scripts. Si nous parvenons à trouver la faille qu'il a utilisé pour entrer, il lui sera très facile d'étudier tes sources pour trouver d'autres vulnérabilités, beaucoup moins visibles autrement.

Ce que je te propose:
1 - Tu donnes tes sources aux modérateurs du forums qui les auditeront.
2 - Pendant ce temps, tu recodes tout. Ou au moins, les scripts qui se chargent du traitement des données venant de l'extérieur.
3 - Tu nettoies complètement ton serveur. (Pense à regarder un peu les logs, si tu as un accès complet, je te conseille un formatage et une réinstallation propre, étant donné que tu ne sais pas jusqu'où ton système a déjà été compromis).
4 - Tu met en place un système de log complet (pages demandées, détails des urls passés, manipulation sur le serveur,...). Tu crée un système qui copie tes logs toutes les minutes par exemple à un autre endroit (L'idéal serait sur une machine distante (astuce: Tu peux faire aussi ça par mail si tu n'as pas de machine )). Ça permettra de savoir exactement ce qui se passe si l'attaquant se repointe. On attend qu'il morde à l'hameçon. Là on récupère la copie des logs, on regarde ça, on bouche la faille et on réinstalle tout.
5 - Si tu ne veux pas que ton service soit hors-ligne en cas de piratage, code un système qui vérifiera l'intégrité de tes données à intervalle régulier. Si tu constates des manips trop importantes ou improbables, tu switch avec une image de ton site et tu restaures l'autre. Résultat: Tu seras toujours en ligne, et le temps que l'attaquant comprenne ce qui se passe, on aura corrigé la faille.


J'attends de voir ce que les autres membres pensent de ces conseils. En tout cas, c'est ce que je ferais si j'étais à ta place.
La tortue.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Ven Fév 05, 2010 1:13 am    Sujet du message: Répondre en citant

SDCMIKE
Projets


 
Inscrit le: 02 Fév 2010
Messages: 6



je vous re merci mais le souci et que j y connait rien en server mais je suis obligé d avoir un server pour mes service sinon j aurrai pris un hebergeur, , vous dite de donenr des info a un modo, est ce que je peu vous fournir les acces a mon serveur avec mon nulmero de téléphone de facon a ce que vous y jeté un oeil ?
de plus le pirate et re venu aujourdui je les bani mais bon il change d ip tout le temp
j'ai du re faire tout le site duran deux mois a cose de lui et la j ai besoin d aide car je sais plus vraiement quoi faire et le temp passe et je doit payer les services , l ursaf etc.. ca fait 6 mois qu'il me pirate et mes nombreux depot de plainte n avance pas en plus il a demenager et malgré que j ai fournis sont site aux autorité avec son servr ovh et d'aprés ce que mon dit le comissariat, il n'arrive pas a le localisé c est une personne rechercher pour arnaque, escroquerie, abus de confiance etc.. et il continu sur son site a faire de l'interdit

merci de votre aide
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Fév 05, 2010 11:48 am    Sujet du message: Répondre en citant

Sliim
Site Admin


 
Inscrit le: 16 Mai 2008
Messages: 1177



Salut SDCMIKE,

peux tu nous fournir tes logs apache, peut être qu'ils nous dirons par où passe le mec.
Ils se trouvent ici /var/logs/apache2/

tu peux également modifier tes mots de passe de connexion pour le ssh on ne sait jamais.

Voilà, si tu ne souhaites pas montrer les logs à tout le monde envoie les moi par MP. Une fois que je les aurais je lancerais un scan pour voir.

++
Sliim
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Messagerie Instantanée
MessagePosté le: Ven Fév 05, 2010 3:19 pm    Sujet du message: Répondre en citant

Manu404
Modérateur


 
Inscrit le: 26 Fév 2008
Messages: 2219
Localisation: ::1:



Korigan, tu n'a pas honte ??
sinon oui, des logs seraient utilie...
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Visiter le site web de l'utilisateur Messagerie Instantanée MSN Messenger
MessagePosté le: Mar Fév 09, 2010 9:09 pm    Sujet du message: Répondre en citant

SPLEENKIRBY
Projets


 
Inscrit le: 02 Sep 2009
Messages: 63
Localisation: \x44\x54\x43\



En voilà une demande très intéressante !
Je regarde tout ça Smile

Et c'est clair que si l'attaquant a fait l'énorme bourde de ne pas effacer les logs, on le coince ... !

Edit :
Aucun numéro SIRET, pas de déclaration a la CNIL... Exonéré ? Mais pourquoi ? Dans un tel cas, le passage par la CNIL est censé être obligatoire... non ?
Se dit "Micro entreprise" mais dispose d'une "Equipe Technique en Belgique et en France", c'est pas un peu suspect ..?
Je voulais juste savoir le vrai du faux dans ton affaire avant de travailler dessus ...
Parce qu'il n'y a aucun doute que quelque chose cloche, et pas seulement en sécurité ...
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Fév 12, 2010 3:46 am    Sujet du message: Répondre en citant

SDCMIKE
Projets


 
Inscrit le: 02 Fév 2010
Messages: 6



bonjour, il y a pas de souci alors
le numéro de siret n'est pas obligé d'être sur le site d'après les impôt
sinon l'identifiant siret: 514 672 138
l identifiant siret du siège: 514 672 138 000 13
pour vérifié le siret je vous recommande le site verif.com car nous ne somme pas sur tout les sites

la déclaration a la cnil n est pas obligatoire d'après ce que mon dit les impôts lors de mon enregistrement

le services technique en faite c'est ma femme et moi, que ce soit le numéro belge ou français, les appel arrive chez moi a mon domicile et c est ma femme ou mois qui répondons au téléphone nous sommes que 2 a diriger tous le site d'on un amis qui s occupe de la modération du forum et des activation des chat de discutions qui se trouve sur notre serveur.

pour information le pirate et passer hier sur mon site et ma dit qu' il fraisai la mise a jour de son site puis qu'il s'occupe ré en suite de mon cas
j'ai tracer son ip mais comme habitude il passe par proxy ou autre donc aucune façon de le re trouver, par contre il a changer les informations de son site etc.. et a tout mis au nom de sa femme pour pouvoir je pense échappé a la justice puis qu'il et rechercher par la police source sur puis que j'ai appeler la gendarmerie a fin de savoir ou en étai la procédure.

donc voila encore des menace de cette personne mais il n'est pas le seul a venir, il a aussi ses modo etc.. en fin son équipe qu'il m'envoie régulièrement.

Si vous avez besoin de renseignement supplémentaire n'hésitai sur tout pas a me les demander

je vous remercie encore de votre aide qui mais très précieuse
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Fév 12, 2010 12:02 pm    Sujet du message: Répondre en citant

SPLEENKIRBY
Projets


 
Inscrit le: 02 Sep 2009
Messages: 63
Localisation: \x44\x54\x43\



Salut,
D'accord, merci pour ces précisions Smile

Citation:

peux tu nous fournir tes logs apache, peut être qu'ils nous dirons par où passe le mec.
Ils se trouvent ici /var/logs/apache2/


Serait-ce possible ? Cela nous arrangerait grandement la tâche.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Fév 15, 2010 2:27 am    Sujet du message: Répondre en citant

SDCMIKE
Projets


 
Inscrit le: 02 Fév 2010
Messages: 6



bonjour, je vous les est envoyer par MP

cordialement sdcmike
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Fév 15, 2010 9:18 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Tu es sûr?
Je n'ai rien reçu.

La tortue.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Lun Fév 15, 2010 8:59 pm    Sujet du message: Répondre en citant

SPLEENKIRBY
Projets


 
Inscrit le: 02 Sep 2009
Messages: 63
Localisation: \x44\x54\x43\



Je les ai reçu, je me permet de les faire passer à Sliim, TorTukiTu et à Manu404 (3 personnes d'entières confiance), pour qu'ils puissent les analyser aussi.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Fév 15, 2010 9:04 pm    Sujet du message: Répondre en citant

Manu404
Modérateur


 
Inscrit le: 26 Fév 2008
Messages: 2219
Localisation: ::1:



ha ok, pardon, je ne vais pas souvent voir mp.
Je check ça courant de la semaine.
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Visiter le site web de l'utilisateur Messagerie Instantanée MSN Messenger
MessagePosté le: Lun Fév 15, 2010 11:38 pm    Sujet du message: Répondre en citant

SDCMIKE
Projets


 
Inscrit le: 02 Fév 2010
Messages: 6



Bonjour, je vous re merci de l'intéret que vous portez a mon probleme, surtout si vous avez besoin d'information suplémentaire n'hésitez pas a demander.

cordialement sdcmike
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



114205 Attacks blocked