Bonjour,
nous nous sommes fait pirater notre site internet hebergé chez 1&1.
Le pirate qui serait apparement tunisien a reussi a rentrer dans l'interface administration de notre site 1&1 il a :
- Supprimer notre site
- Supprimer nos codes d'acces et mots de passes
- Supprimer notre boite de messagerie....

Bref on a plus rien.
L'adresse mail qui a été utilisé est [email protected]
on a donc un 403 forbiden a la place de notre site mais un nouveau repertoire a été ajouté a la racine qui s'appel "TN"
Dans ce repertoire on a un fichier index avec ce code source. on y retrouveplusieurs infos d'ailleur.
Savez vous se que l'on peut faire contre ce genre de piratage ?
A ton moyen de se defendre surtout que là d'apres le technicien de chez amen le pirate serait rentré dans l'interface admin avec nos propres codes qu'il aurait eu on ne sait coment ?

Voici le code la la page:

<!doctype html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <meta name="author" content="Benjamin De Cock">
    <title>TunisiaPower</title>
    <link rel="icon" href="favicon.ico">
    <style media="screen">
      @import "teaser.css";
    </style>
    <!--[if lte IE 8]>
      <script src="http://html5shiv.googlecode.com/svn/trunk/html5.js"></script>
    <![endif]-->
  </head>
  <body>
    <section id="main">
      <em>
        <abbr title="version">V</abbr>2
      </em>
      <hr>
      <hgroup>
        <h1>TunisiaPower</h1>
        <h2>Createur : Weld ElMenzah VI</h2>
      </hgroup>
      <h2>We’re coming back soon!</h2>
      <p>
               Our website is getting its first major update.
        We are working hard on polishing this redesign so stay tuned!
      </p>
      <p id="loader">
        <strong>Redesign progress</strong>
        <em>
          <span>78%</span>
        </em>
      </p>
      <ul>
        <li>
          <a href="mailto:[email protected]">
            <span>
              <span></span>
              <img alt="" src="images/contact/mail.png">
            </span>
            Email us
          </a>
        </li>
        <li>
          <a href="http://twitter.com/">
            <span>
              <span></span>
              <img alt="Twitter" src="images/contact/twitter.png">
            </span>
            Follow us
          </a>
        </li>
      </ul>
    </section>
    <div id="stars">
      <span></span>
      <span></span>
      <span></span>
    </div>
    <script>
      var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
      document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
    </script>
    <script>
      try{
        var pageTracker = _gat._getTracker("UA-1352734-7");
        pageTracker._trackPageview();
      } catch(err) {}
    </script>
  </body>
</html>

Slt ,

Aie ... Coup dure

Vous êtes propriétaire légitime chez 1&1 je suppose qu'ils ont prévu ce genre de cas , téléphonez à leurs services pour dans un premier temps récupérer vos accès .

Ensuite reste à savoir comment la compte a été piraté , brute force ou indiscrétion de vos identifiants ...

Mot de passe trop simple ? ( courte chaine , rationnelle ... ? )

Selon moi voici les étapes :

-> contacter 1&1 pour régénérer vos identifiants ( demander si des logs sont disponibles pour tenter de savoir exactement ce qui s'est passé )
-> restaurer votre site
-> complexifier votre mot de passe partout : même dans les source de votre site tout doit être changé .

Apres n'espérez pas trop retrouver le malin qui a fait ça ... ce serait une perte de temps .

Bon courage .

Ch.

A oui , j'ai oublié ,

Vérifier vos machines à partir desquelles vous vous connectez à l'interface d'administration de 1&1 ,
rechercher des éventuelles Keylogger , ou autre logiciel espion / rootkit qui pourraient expliquer l'intrusion avec vos identifiants .

Bonjour,
merci pour votre réponse.
j'ai contacté 1&1. A mon 1er appel ce matin j'ai eu un demoiselle qui m'a affirmé que le personne était rentrée par l'interface administration du site internet et avait donc supprimer le site et adresse mail directement depuis l'interface. Elle m'avait dit qu'elle m'envoyait sur mon adresse mail mes nouveau codes d'accès afin que je puisse reprendre la main de mon site.

1 heure plus tard n'ayant rien reçu et étant assez dans l'urgence de remettre tout ca en place je retéléphone a 1&1 et là je tombe sur une autre personne (évidement il faut tout réexpliqué......). La personne que j'ai cette foie ci me dit pas question de vous renvoyé de nouveau codes d'accès sur mon adresse mail.... SUPER LA COMMUNIQCATION CHEZ 1&1!
Au final il me dit qu'il m'envoi une procédure de changement d'adresse mail et que je dois lui remplir le PDF et lui retourner par fax avec un pièce d'identité et que la procédure va prendre du temps !
SUPER.....

Bref histoire à suivre mais JE TROUVE SA SCANDALEU DE LA PART D'UN HEBERGEUR COMME 1&1 de ne pas être plus sécurisé que ça.

Si les identifiants ont étés récupérés via une méthode quelconque , 1&1 ne peut plus rien faire ...

La seconde méthode ( formulaire + pièce d'identité ) me semble une procédure normale .. sinon , n'importe qui pourrait récupérer les identifiants de pierre paul ou jacque .
De plus le pirate a très bien pu modifier l'adresse de contact ...

oui il l'a modifié. Ok c'est vrai que la procédure formulaire et piece identité est normal. Mais c'est vrai aussi que sa fou les boulles de se faire pirater.

Bonjour,

Bref histoire à suivre mais JE TROUVE SA SCANDALEU DE LA PART D'UN HEBERGEUR COMME 1&1 de ne pas être plus sécurisé que ça.

A la lumière des infos que tu nous a donné, la faute n'a quasiment aucune chance de venir de 1&1 mais à 99% cela vient de toi.

C'est donc ton attitude qui est scandaleuse car :
1) Tu as une faille dans ton ordinateur, dans ta boite mail ou tu as choisis des identifiants trop faciles ou que tu as divulgué à quelqu'un d'autre
2) Tu ne te remet quasiment pas en question
3) Tu accuse ton prestataire alors qu'il n'y est probablement pour rien



Avant de restaurer ton site, il est important que tu essayes de trouver d'où vient la fuite de tes identifiants :

- Faille de sécurité de ton site web (si tes identifiants sont stockés dans un fichier de config par exemple)
=> Vérifies que les scripts que tu utilises sont tous à jour et que tu filtres bien toutes les variables avant de les traiter

- Mot de passe non sécurisé
=> Si tu as un mot de passe trop court, ou trop facile à deviner (mot compris dans un dictionnaire) ou à cracker (sans caractères spéciaux), il faut évidemment en changer.
=> Si quelqu'un d'autre que toi a eu connaissance de ton mot de passe (un ami ponctuellement pour un coup de main par exemple...) alors il faut en changer, même si ton ami est fiable, peut être qu'il a enregistré ton mot de passe dans sa boite mail, dans son client FTP ou que son PC est vérolé et alors ton mot de passe n'est plus sécurisé.
=> Si tu as utilisé le même mot de passe pour un autre compte (inscription sur un site internet, mot de passe identique à ta boite mail, etc...), alors il faut en changer car il suffit qu'un des sites sur lequel tu es inscrit soit piraté (ou que l'un des admin soit malveillant) pour que tous tes comptes soient potentiellement piratables...

- Faille dans ta boite mail (c'est con mais les procédure de récupération de mot de passe permettent à n'importe qui, qui aurait accès à ta boite mail de te pourrir la vie)
=> Vérifies qu'un pirate n'ai pas mis une règle de redirection automatique de tous tes mails vers une autre adresse, change de mot de passe; change de question de sécurité

- Faille dans ton PC
=> Scan antivirus avec 2 antivirus différents + scan anti-spyware à effectuer sur tous les ordinateurs sur lesquels tu t'ai connecté à l'interface web de 1&1, à ton FTP avec un client FTP ou à ta boite mail

- Faille sur ton réseau local
=> Quand on se connecte en FTP ou qu'on relève ses e-mails en POP3, les identifiants ne sont pas cryptés, par conséquent tous les PC qui sont sur le même réseau local que toi peuvent voler tes identifiants.
Si tu utilises un webmail pour relever tes e-mails, n'utilisent que du HTTPS, si tu utilises un client mail type Windows Mail, Outlook ou Thunderbird configure les pour utiliser POP3 SSL, IMAP SSL et SMTP SSL si ton fournisseur te le propose.
Idem pour te connecter en FTP, il faut utiliser soit du FTPS (FTP-SSL) ou du SFTP (FTP over SSH) ainsi tes identifiants ne seront pas transmis en clair sur le réseau.

Voici quelques pistes, désolé pour la redite partielle de stopher

Oui désolé c'est vrai que je me suis embalé mais bon je me connect je voi que mon site et piraté alors sur le cout on est chaud et on s'en prend aux autres. Mais bon après qq heures sa va mieu et surtout quand on remet tout dans l'ordre
En plus le pirate a commandé un domaine depuis l'espace admin..... donc c'est pour ma poche....

Merci pour tout tes conseils que j'ai bien évidement enregistré et que je vais suivre à la lettre. bon au niveau des failles sur le site il est en principe bien securisé mais je vais quand meme revoir ca. En fait le pirate a recupérer je ne sais comment les identifiants de connexion a l'administration et c'est de la qu'il a pu agire.

je suis en train de passé un antispyware sur mes pc mais tu dis

Quand on se connecte en FTP ou qu'on relève ses e-mails en POP3, les identifiants ne sont pas cryptés, par conséquent tous les PC qui sont sur le même réseau local que toi peuvent voler tes identifiants

j'utilise outook2003 et je pensai que le mot de passe était crypté par defaut. Comment les gens qui auraient accès a mon ordinateur pourraient recupérer ce mot de passe qui est crypté (enfin il est pas lisible)

En tout cas merci pour vos précieux conseils.

La connexion entre ton poste ( outlook ) et le serveur de mail , ne sont pas forcément crypté , ce qui permet à une personnes ma attentionné d'écouter ce qui se passe sur le réseau local ( surtout si le concentrateur est un HUB ) , avec un swich ( corrigez moi si je me trompe ) , il faut écouter soit à parti de la machine cliente ( ton poste ) soit le serveur ( ou e port de maintenance du switch ).

Il en est de même pour la connexion FTP, HTTP ect ect ...

Mais si tu utilises des mots de passes différents ( un pour le cpt mail, un pour le service X et un autre pour le service Y ) , le problème ne doit pas venir de là , utiliser des mots de passes différents , permet de limiter la casse .

- Mot de passe non sécurisé
=> Si tu as un mot de passe trop court, ou trop facile à deviner (mot compris dans un dictionnaire) ou à cracker (sans caractères spéciaux), il faut évidemment en changer.

Je tiens à préciser que 1&1 n'accepte pas les caractères spéciaux pour le mot de passe de connexion au panel d'admin

Déjà une petite nuance, la personne possède une ip tunisienne, cela ne veut pas dire du tout la même chose

Perso, mon avis c'est qu'il y a de fortes chances que vos postes clients soient infectés.

Sinon un mot de passe ultra simple, mais bon à moins de mettre 1234 comme password et de détenir un site super alléchant ou dérangeant, je ne voie pas un hackeur infantile cracker le password du panel d'un hébergeur.

Souvent, les gens utilisent le même mot de passe pour tout, donc pas compliquer ensuite pour un gamin d'essayer le password pour tout...

Un truc que l'on ne pense jamais, se sont les questions secrètes pour récupérer un mot de passe oublié.
La aussi, pour une personne dans votre entourage direct ou indirect, si le password est ultra compliqué mais la question secrète ultra-simple...

Le password noté en clair sur le bureau...

L'accès à votre boite mail qui reçoit un mot de passe oublié en cas d'oubli...

Il y a surement pleins d'autres possibilités, le cas du crackage du password du panel venant, pour moi, en dernière possibilité...

Il y a des "hackeurs" qui se contente de prendre une faille connue, et de defacer des tas de site. Chaque site, pris individuellement, n'as que peu d'intérêt, mais c'est le volume qui leur donne leur impression de gloire.

Oui sinon une faille, un fichier envoyé en upload...
Y en a tellement de possibilités malheureusement...

Et ne surtout pas se fier à l'ip

[EDIT]
Bon sinon, je n'avais pas tout lu le topic, la majorité avait déjà été dit.

Il y a des "hackeurs" qui se contente de prendre une faille connue, et de defacer des tas de site. Chaque site, pris individuellement, n'as que peu d'intérêt, mais c'est le volume qui leur donne leur impression de gloire.

Sauf que là vu qu'il y a eu defacage + modification des informations dans le panel d'admin 1&1 et commande d'un nom de domaine, je penche plutôt pour une attaque très ciblé

Savez vous se que l'on peut faire contre ce genre de piratage ?

Pour éviter ce genre de piratage, il faut être parano. Oui, parano, le mot n'est pas trop fort.

Il faut considérer qu'un mot de passe c'est sacré, comme ton code de carte bleue, il faut des efforts de tous les instants pour que tu sois aussi sûr que possible que personne d'autre que toi ne le connaisse. A chaque fois que tu utilises ce mot de passe, ou que tu le transmets par un moyen ou un autre, tu prends un risque plus ou moins grand selon le cas (qui pourrait un jour se retourner contre toi). Il suffit d'une seule fois, la mauvaise fois.

Il faut aussi considérer que tout ce qui n'est pas indispensable doit être désactivé. Tu n'utilises pas php sur ton site ? désactive-le. Tu n'utilises pas d'upload de fichiers ? Mets des permissions ultra-restrictives sur le répertoire d'upload, ou mieux encore efface-le. Tu ne modifies pas ton site tout le temps ? Pense à mettre tes fichiers php en lecture seule (permissions w désactivées pour tout le monde). Et bien sûr se méfier des failles humaines : je ne donne pas mon mot de passe sur un forum (et je fais très attention quand je copie/colle un bout de script qui pourrait peut-être contenir mes identifiants), je ne fais pas transférer des codes personnels dans un e-mail ou sur messagerie instantanée, je ne me connecte pas à mon espace client depuis un cybercafé/depuis un lieu plus ou moins public, etc...

En faisant de tout ça une règle de vie, tu passes souvent pour un fou extrêmiste barbu quand tu dois t'expliquer auprès d'autres personnes moins soigneuses (les gens ordinaires...), mais tu minimises considérablement les risques. Et le jour ou les autres se feront pirater (car tout le monde peut un jour devenir victime) ces mêmes personnes deviendront vachement plus réceptives à tes conseils, alors qu'elles étaient avant les premières à les critiquer