Petit problème avec l'adresse principale du forum, poisson d'avril ou pas ?

greffer.net >> La vie du site

clow a écrit le 03/04/2019 22:14 (ref msg # 64830 )
J'ai remarquer un petit problème en essayant d'accéder au forum et à la bourse par l'adresse principale.

https://www.fruitiers.net/

Cela m'affiche hacked by alaborutim avec un fond sonore en langue étrangère.

Est ce un poisson d'avril Patrice ? ou bien il y a vraiment un petit souci ?
Car cela fait vraiment étrange si c'est un poisson d'avril.
Est ce juste moi ou d'autres on ce problème ?
patrice a écrit le 04/04/2019 07:30 (ref msg # 64831 )
Bonjour,
Ce n'est pas un poisson d'avril.
Merci d'avoir signalé.
Je vais laisser en l'état le temps de faire le point avec l'hébergeur sur ce qui s'est passé. Les causes peuvent être multiples (mot de passe d'accès au "sftp" piraté - pourtant changé régulièrement - ou faille de sécurité sur serveur ce qui parait moins probable)
A première vue, seule la première page a fait l'objet d'une substitution, les autres pages semblent indemnes https://www.fruitiers.net/rechercher.php
Je vous déconseille d'utiliser le site en attendant néanmoins. Je ne rétabli pas la page d'accueil le temps du diagnostic.
Message modifié 2 fois ; la dernière fois le 04/04/2019 07:36 par patrice
patrice a écrit le 04/04/2019 07:55 (ref msg # 64832 )
"patrice" a écrit :

Je vous déconseille d'utiliser le site en attendant néanmoins.


J'ai passé les autres pages en mode maintenance en attendant.
Je ne manquerais pas de vous tenir au courant, j'attends la réponse du service technique de l’hébergeur sur ce qui s'est passé.
patrice a écrit le 04/04/2019 08:07 (ref msg # 64833 )
Cela affecte la page d'accueil de tous les sites, en fait.
patrice a écrit le 04/04/2019 08:34 (ref msg # 64834 )
Une petite recherche montre que cela semble affecter d'autres sites supportés par mon hébergeur. (thermobois.ch, chatnoir.ch... )

Donc patienter, je ne pourrais faire plus que d'attendre leur réponse.


Message modifié 2 fois ; la dernière fois le 04/04/2019 09:16 par patrice
patrice a écrit le 04/04/2019 15:23 (ref msg # 64835 )
Je continue à vous tenir informé.

Le service technique de l'hébergeur m'a indiqué avoir pris en considération le problème et y travailler.

A ma première analyse, seules les pages d'accueil ont été affectées. Le code source de la page piratée ne semble pas comporter d'éléments dangereux (scripts...).

Je pourrais très bien restituer les pages initiales à partir des sauvegardes en quelques secondes, mais en l'absence d'instructions, je préfère laisser en l'état le temps que l'hébergeur réalise son diagnostic. Cela ne sert à rien de corriger tant que la supposée faille (à moins qu'il n'y ait pas de faille et que plusieurs sites chez le même hébergeur aient eu des comptes à mot de passe hackés, il ne faut exclure aucune possibilité) n'est pas détectée et inhibée.

Il existe des gentils pirates ; il est de tradition, bien que délictuel mais à finalité bien intentionnée, de venir remplacer la page d'accueil pour signaler à leur façon que le serveur ou le site a une faille de sécurité et qu'il serait bien de s'en préoccuper avant que des personnes mal intentionnées s'en servent à de mauvaises fins.

Néanmoins, j'ai demandé à l'hébergeur de vérifier - car je n'ai pas les outils diagnostic pour cela - qu'il n'y ait pas eu d'autre part de vol de données personnelles outre cette altération de fichier.

Le site fruitiers.net (hors page d'accueil altérée) a été mis en mode maintenance. Greffer.net laissé en service pour vous tenir informé de la situation, mais par précaution ne sait-on jamais, vous invite toujours à ne pas l'utiliser en mode connecté. En cas de nécessité, vous pouvez toujours me contacter contact@greffer.net

A très bientôt pour la suite.



patrice a écrit le 05/04/2019 17:09 (ref msg # 64844 )
Encore en attente du diagnostic de l'hébergeur pour remettre en service le site.
Merci pour votre patience.
patrice a écrit le 06/04/2019 07:47 (ref msg # 64846 )
Toujours en attente de réponse.
J'ai fini par réinstaller les pages d'accueil, les autres sites touchés chez cet hébergeur semblant remis en service et fonctionnels. Je laisse en mode maintenance la bourse néanmoins en attente de leur réponse.
A suivre.
Message modifié 3 fois ; la dernière fois le 06/04/2019 07:52 par patrice
patrice a écrit le 06/04/2019 08:19 (ref msg # 64847 )
D'autres sites de l'hébergeur semblent encore hs tel aifi.ch.
Ne considérez pas l’événement terminé bien que l'aspect axiogène des pages d'accueils ait été supprimé.
patrice a écrit le 07/04/2019 10:00 (ref msg # 64848 )
Toujours en attente.
Il est important d'avoir un diagnostic précis, savoir si la faille vient de mot de passe d'accès au serveur qui ont été hackés, d'applications installées dans les espaces d'hébergement qui ont une faille, ou si ce sont des logiciels du serveur, et dans un tel cas, attendre la confirmation du bon rétablissement de service.

Message modifié 2 fois ; la dernière fois le 07/04/2019 10:08 par patrice
patrice a écrit le 08/04/2019 09:48 (ref msg # 64849 )
L'hébergeur a procédé au diagnostic.
Il indique que ce n'est pas par piratage/usurpation de mon mot de passe serveur mais pense plutôt à une faille de sécurité dans un logiciel installé dans l'espace d'hébergement. Il n'y a pas d'élément affirmatif quant à ce qui s'est passé. Des recommandations ont été apportées quant à la correction de supposées failles qui avaient déjà été faites entre temps pour ma part.
patrice a écrit le 10/04/2019 10:45 (ref msg # 64865 )
En souvenir de cet événement, la capture d'écran de la page d'accueil des sites :



clow a écrit le 11/04/2019 01:33 (ref msg # 64867 )
Bonjour Patrice.
Je vois que tout est revenue dans l'ordre, c'est une bonne chose que cela n'est rien était de grave.
En plus du petite souvenir fond d'écran j'ai remarquer que lorsque l'on fait une recherche par google du forum on tombe sur :

Greffer.net - HACKED BY ALABÖRÜTİM

C'est un autre souvenir que tu a tenu à garder en mémoire de ce moment ?
Ceci dit tout est bien qui fini bien.
Et bon travail à l'hébergeur et à toi pour avoir résolu le problème, merci.
patrice a écrit le 11/04/2019 09:12 (ref msg # 64868 )
"clow" a écrit :

Je vois que tout est revenue dans l'ordre, c'est une bonne chose que cela n'est rien était de grave.


J'ai remarqué encore quelques coquilles suite à une restitution de sauvegarde du logiciel, par exemple les emails de notification de réponse dans sujet mal configurés (manque une redirection car provoque un 404 not found), je vais m'en préoccuper.
Mais j'ai surtout consacré mon temps à repasser en revue les logs en ma possession pour vérifier que je n'y vois pas de trace de copie de fichiers sensibles et surveiller un peu l'activité des sites pour voir si cela tourne normalement.

j'ai remarquer que lorsque l'on fait une recherche par google du forum on tombe sur :
Greffer.net - HACKED BY ALABÖRÜTİM
C'est un autre souvenir que tu a tenu à garder en mémoire de ce moment ?


Chez moi google est à jour :





Tout comme pour d'autres sites remarqués hackés (screenshot de ce qu'il en était à ce moment là) :








Message modifié 1 fois ; la dernière fois le 11/04/2019 09:14 par patrice
clow a écrit le 11/04/2019 16:16 (ref msg # 64870 )
Je te transmet ce que cela donne chez moi



patrice a écrit le 13/04/2019 07:08 (ref msg # 64878 )
Je ne saurais dire, cela relève d'un prestataire tiers.

Ce qui m'interpelle le plus est la multitude de sites affectés, dont le logiciel générant le contenu est diversifié (WordPress, Joomla, logiciel "maison"...) donc posant la question de ce qu'il y a en commun qui a permis l'attaque (une librairie commune?), et surtout pourquoi visiblement ciblé chez cet hébergeur (et là encore, il faut de la prudence dans l'interprétation, car j'ai déterminé plusieurs sites visés à partir d'un moteur de recherche, cela ne veut pas dire que d'autres hébergeurs n'ont pas été attaqués, chacun a ses propres parades logicielles contre les attaques ou procédures de mise en quarantaine en cas d'attaque avérée), sans compter bien sûr que la liste renvoyée par le moteur de recherche est limitée au regard du nombre de sites hébergés.



belinsecte a écrit le 13/04/2019 09:53 (ref msg # 64880 )
sur fruitiers.net je ne vois que la page cherchant des traducteurs, et rien ne se passe quand je clique sur français; par le lien d'un mail de notification de message, je vois la discussion mais rien non plus qui me permette de m'identifier ni accéder à mon verger et mes transactions. est-ce "normal" ?
patrice a écrit le 13/04/2019 11:28 (ref msg # 64881 )
Avant tout, merci pour vos signalements de ce qui paraît anormal.
En l'état, bien que l'ensemble des sites aient été incontestablement hackés, la décoration de la page d'accueil en témoigne, je n'ai pas d'élément matériel indiquant que des données ont été volées ; dans un tel cas il faudrait suivre la procédure RGPD : emails à tous les usagers, procédure auprès de la CNIL, ... Même si dans notre cas les types de données sont anodines (email, ip, coordonnées perso) c'est toujours embêtant et ne dispense en rien de cela .... Je n'ai pas pour ma part touts les éléments de traçabilité existants (ce que l'on nomme techniquement "logs") avec mon hébergement, que certains, d'où le fait que j'avais demandé au prestataire qui lui a l'ensemble des données de bien vouloir vérifier. C'est un peu, par analogie, comme lorsque si vous rentrez chez vous, trouvez la porte ouverte, un graffiti "Gogo" taggé sur le mur du salon, ce qui n'implique pas pour autant que quelque-chose vous a été dérobé dans la maison. C'est l'hébergeur qui a, en terme d'équivalence, tous les enregistrements de surveillance permettant, pas toujours, de détecter si quelque-chose est arrivé, aussi bien sur les fichiers des logiciels, de la base de données, etc.
Tel indiqué sur la page RGPD, la base de données a été mise à la norme souhaitée par le RGPD, c'est-à-dire, bien que maigre protection, que les données personnelles sont chiffrées dans la base de données : votre IP, vos MP, votre email... S'il y a eu intrusion dans la base de données, pour déchiffrer, il faut que le pirate ait aussi dérobé la clef de déchiffrement qui ne se situe pas dans la base de données, donc il faut qu'il y ait eu deux effractions et non une seule. Des données de traçabilité que j'ai de ce jour là, je n'ai pas vu de récupération de ce fichier. Mais tel indiqué, il existe différents moyens d'accès à ce fichier et je n'ai la traçabilité que d'un seul.

"belinsecte" a écrit :

sur fruitiers.net je ne vois que la page cherchant des traducteurs, et rien ne se passe quand je clique sur français


J'ai pour ma part le résultat escompté en cliquant dessus :





"belinsecte" a écrit :

; par le lien d'un mail de notification de message, je vois la discussion mais rien non plus qui me permette de m'identifier


Cela me parait normal ? Si la discussion est lisible, c'est que la connexion est déjà réalisée, sinon la page de demande de saisie d'identification apparaîtrait. J'ai testé ces deux cas et cela fonctionne normalement.

"belinsecte" a écrit :

ni accéder à mon verger et mes transactions. est-ce "normal" ?


Sauf à être dans un écran de faible largeur (résolution) tel tablettes, etc, où par défaut le menu n'apparaît pas, et il faut cliquer sur le dit et ergonomiquement horrible "menu hamburger"





pour faire apparaître le menu, tout fonctionne bien chez moi :




Message modifié 1 fois ; la dernière fois le 13/04/2019 16:44 par patrice
belinsecte a écrit le 13/04/2019 11:35 (ref msg # 64882 )
Merci, le menu apparait en effet quand je clique sur le "logo" constitué de 3 traits horizontaux à gauche du titre "fruitiers.net" (dessin de millefeuilles, hamburger ou de sédiments) en haut à gauche.

je n'aurais jamais deviné! j'avais pensé à cliquer sur le titre, mais pas sur ce "logo"

bravo pour tout
Message modifié 2 fois ; la dernière fois le 13/04/2019 11:44 par belinsecte
patrice a écrit le 13/04/2019 12:36 (ref msg # 64883 )
"belinsecte" a écrit :

" (dessin de millefeuilles, hamburger ou de sédiments) en haut à gauche.
je n'aurais jamais deviné! j'avais pensé à cliquer sur le titre,

J'ai cherché aussi longtemps à la première utilisation d'un smartphone, cette aberration ergonomique est un standard sur les terminaux tactiles. Il n'est pas anormal de ne pas avoir l'évidence de cliquer sur cette chose pour y déployer un menu sans avoir été formé à ce sujet.
Généralement appelé menu "hamburger", il présente bien d'autres noms : https://fr.wikipedia.org/wiki/Menu_lat%C... .


greffer.net >> La vie du site