« Article précédent : Article suivant : »

Plusieurs sites hébergés chez 1&1 ont été hackés, attention au vôtre !

Par 21 juil, 2009

grey Plusieurs sites hébergés chez 1&1 ont été hackés, attention au vôtre !Si vous suivez les actualités du blog sur Twitter (ici), j’ai notamment publié ce tweet le 9 juillet :

Le fichier index.php de geekeries.com a été modifié aujourd’hui… Bug applicatif ou hacking ?? :-S

Suivi quelques minutes après de celui-ci :

J’ai ma réponse : FTP hacké par l’IP 91.212.198.37. Quels sont mes recours ?

En réalité, que s’est-il passé ?

Chez 1&1, l’hébergeur mutualisé de Geekeries.com, il y a une faille de sécurité dans les serveurs FTP qui a été exploitée par au moins un hacker dont je donne l’IP ci-dessus. Mon blog Geekeries.com a été hacké, mais en vérifiant sur d’autres sites web que je gère, 3 d’entre eux avaient également été hackés de la même façon le lendemain !

Pour remonter à cette information, il m’a été nécessaire de me connecter sur mon compte FTP.

1er indice : le blog ne fonctionnait plus. Le fichier index contenait un code javascript obfusqué (c’est à dire plus difficile à lire) qui tentait de rediriger vers un site web (qui ne fonctionnait pas heureusement).

2nd indice : le fichier index.php avait été modifié récemment alors que je n’avais pas effectué d’opération sur le blog depuis quelques temps.

3ème indice : en consultant les fichiers de logs du FTP (chez 1&1, il s’agit d’un fichier ftp.log dans le répertoire /logs), je découvre parmi toutes les opérations effectuées qu’il y a une IP différente des autres au beau milieu :

91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:40 +0200] « PASS (hidden) » 230 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:40 +0200] « PWD » 257 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:40 +0200] « TYPE A » 200 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:40 +0200] « PASV » 227 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « LIST / » 226 3617
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « TYPE I » 200 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « PASV » 227 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « SIZE index.php » 213 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « RETR index.php » 226 397
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:41 +0200] « TYPE I » 200 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:42 +0200] « PASV » 227 -
91.212.198.37 UNKNOWN uXXXXXXX [09/Jul/2009:13:40:42 +0200] « STOR index.php » 226 941

J’avais ma confirmation : l’IP 91.212.198.37 avait accédé à mon compte FTP le 9 juillet à 13h40 en utilisant le bon mot de passe (qui a du être découvert via une faille de sécurité, sachant que je ne l’ai partagé à personne et qu’il s’agit de caractères alphanumériques générés aléatoirement).

En recherchant l’origine de l’adresse IP, je découvre la provenance de l’IP :

91.212.198.37 server location: Russian Federation

Une IP russe.

Après avoir restauré le fichier index.php, j’ai directement contacté 1&1 via leur support pour leur signaler qu’une faille de sécurité chez eux avait permis à quelqu’un d’accéder à mon FTP.

La réponse a été très rapide mais la pertinence du message (probablement automatique) m’a fait frémir : il m’était conseillé de consulter la FAQ pour comprendre comment me connecter à mon compte FTP…

Les précautions à prendre dès maintenant si vous êtes hébergé chez 1&1

Si vous êtes hébergé chez 1&1, il faut donc suivre les étapes suivantes :

  • vérifiez que votre fichier index n’a pas été modifié récemment
  • vérifiez si une IP tierce a accédé à votre FTP, grâce à la consultation des logs
  • si possible, restaurez votre fichier
  • si vous n’avez pas fait de sauvegarde… essayez de supprimer le code javascript incriminé en priant pour que ça remarche (vous pouvez laisser un commentaire pour me demander de l’aide sur ce point)

Conclusion

Voilà, cette petite mésaventure qui a rendu le blog indisponible durant quelques heures, m’a permis de tirer les leçons suivantes :

  1. toujours faire une sauvegarde périodique de son site web (heureusement, j’y avais pensé)
  2. changer d’hébergeur (mais chez qui ?)

J’espère que cet article sera utile à quelques lecteurs !

Vous avez aimé cet article ? Vous aimerez sûrement aussi...

 

Vous devriez nous suivre sur Twitter ici et rejoindre notre groupe sur Facebook ici.

Catégories : blog, news
26 commentaires

J’ai oublié de rajouter que votre site est un cms. WordPress n’est pas le csm le plus  sécurisé, bien au contraire….

nomisconception (le 30 novembre -0001)  - #1

bonsoir
juste pour votre information:

Je suis hebergé chez 1and1 et je m’occupe d’autre site hebergé chez 1and ou encore ovh
Tous on été hacké un par un entre le moi de mai et le moi de juillet 2009… Sans aucune sauvegarde des login et pass sur le http://ftp... Mon ordi conteé aucune trace de virus ou quoi que se soit.
1and1 n’y est en rien là dedans, juste des russe qui se sont éclaté….ou a voir récupéré des donées à droite ou a gauche….

Bonne soirée,

nomisconception

nomisconception (le 30 novembre -0001)  - #2

Cela arrive sur tout les hébergeurs… un virus qui arrive sur votre ordi et op… Il faut arrêter de croire que c’est la faute toute particulière d’un hébergeur… en me renseignant, plusieurs amis chez ovh et coeur-internet on eux aussi étaient vérolés!!
A vous de ne pas sauvegarder vos login et mot de passe sur votre ftp, de bien préparer vos htaccess et vos permission… Le fameux 444….
Un anti-virus ne vous met pas a l’abri de virus, de spam ou de logiciel espions!! à vous de vous mettre à l’informatique et de faire bien plus qu’une simple analyse via votre anti-virus….

Pepperboy22 (le 30 novembre -0001)  - #3

Bonjour,

merci pour l’info … concernant la réponse, elle est automatique, mais il devrais suivre un autre mail normalement, sinon moi je préfère leur téléphoner !

Dany (le 21 juillet 2009)  - #4

Ca serait pas plutôt dû au virus Gumblar plus qu’à 1&1 ? Vu qu’il utilise du javascript (entre autres) pour modifier l’index d’un site en infectant le corps, le header et le footer en y mettant des iframes et autres cochonneries, tout ça grâce au vol des identifiants http://ftp... Perso, j’ai effacé les logins et mots de passe de mon ftp et je les entre manuellement à chaque fois. C’est chiant, mais avec ce genre de virus, c’est quand même plus sûr…

Len (le 21 juillet 2009)  - #5

Ca ressemble en effet beaucoup à ce que j’ai eu. Cependant, je pense que la faille provient de 1&1 étant donné que mon client FTP ne contient pas les identifiants de tous les sites qui ont été infectés. De plus, après avoir effectué les tests expliqués ici et ici, mon PC ne semble pas contenir le virus Gumblar, ou Conficker, son prédécesseur.

Soso (le 21 juillet 2009)  - #6

Ah oui, effectivement, si tous les identifiants n’y étaient pas… Je vais d’autant plus me méfier que je suis aussi chez 1&1 pour tous mes sites~

Len (le 21 juillet 2009)  - #7

Je vous recommande un hebergeur pro et efficace , infomaniak.ch , apres diverses mesaventures chez 1&1, j’ia demenager mon site un peu partout (ovh, hiwit, rapidomaine, gandi, ect …)

Seul infomaniak.ch est offre une solution claire et ultra complete ( pas 12 formule au choix) , c’est certes plus chere que 1&1 mais je n’ai plus jamais eu de probleme !

jarodxxx (le 22 juillet 2009)  - #8

Eh merde je venais juste de souscrire à une offre pour passer mon site en.com… Sinon pour un truc pro les gens disent infomaniak ou OVH.

Actu-Geek (le 22 juillet 2009)  - #9

moi je suis chez Viaduc hébergement et je suis super satisfait … le service commercial est super sympa et les devs (même si il ne sont consultables que par ticket ou mail) prennent le temps de passer un p’tit coup de grelot quand on est dans la panade… cool

etienne (le 22 juillet 2009)  - #10
etienne (le 22 juillet 2009)  - #11

Merci à tous pour vos conseils. Je suis allé voir Viaduc et Infomaniak. En effet, ces services sont plus chers que 1&1… reste à voir s’ils sont plus efficaces.
Par contre, je ne sais pas exactement le quota qu’il me faut. Comment faire le calcul, des idées ?

Soso (le 22 juillet 2009)  - #12

Chez infomaniak , tu n’a pas besoin de calculer , l’offre comprend 50 giga d’hébergement et la seul offre disponible, ce qui te laisse une immensse marge de manœuvre

Jarodxxx (le 22 juillet 2009)  - #13

Bonjour,

Après analyse, nous vous confirmons que vos coordonnées FTP ont fait l’objet d’une surveillance par un tiers via un virus sur votre pc (Keylogger) ou sur un autre poste.

Le département sécurité de 1&1 Internet affirme après vérification d’usage qu’il n’existe aucune faille en interne vis à vis de votre cas.

Cf log à partir de [07/Jul/2009:12:04:35 +0200] 213.173.176.199 UNKNOWN …

En outre, nous vous conseillons de ne pas publier votre nom d’utilisateur comme vous l’avez fait ci-dessus dans un post.

Cordialement,

Sylvain LEBEDEL
Responsable Communication

1&1 Internet (le 22 juillet 2009)  - #14

Bonjour Sylvain, merci pour votre analyse.
Je comprends votre point de vue mais il m’est difficile de croire qu’un keylogger ait pu voler mes identifiants sachant que les comptes piratés ne sont pas stockés sur les mêmes machines. A-t-on une idée du virus qui peut faire ça ?

Merci également pour votre remarque, j’en tiens compte et masque mon nom d’utilisateur dès maintenant.

Soso (le 22 juillet 2009)  - #15

Re-
En consultant vos logs, vous remarquerez que la première tentative de mot de passe a été la bonne, ce qui démontre que le hacker connaissait déjà vos IDs
La méthode traditionnelle (brut force / dictionnary attack) n’a pas été employée (consistant à émettre x mot de passe avant d’arriver aux bons) – c’est pourquoi la piste keylogger est sans aucun doute la plus probable.
Bien à vous,
Sylvain

1&1 Internet (le 22 juillet 2009)  - #16

OK c’est probable mais tant qu’on n’a pas découvert comment le hacker a fait, il n’y a aucune certitude…

Soso (le 22 juillet 2009)  - #17

rohh mais les gards… renseigner vous … enfin du moin j’ai ma petite idee sur la question…! je vous redirais ca…

hackall (le 23 juillet 2009)  - #18

c’est pas rassurant tout ça…

Olivier (le 23 juillet 2009)  - #19

Comme je l’ai dit, en effet, il est difficile de déterminer d’où provient la faille. Peut-être s’agit-il d’un analyseur de cookies, d’un keylogger mais j’ajoute cet élément à « l’enquête »: cela n’explique pas pourquoi un autre compte FTP sur OVH, stocké dans mon client FTP a été laissé indemne jusque là…

Soso (le 23 juillet 2009)  - #20

Bonjour,

je suis chez 1&1 et je n’arrive pas à mettre mon deuxième site, en plus mon premier site ne veut plus apparaitre en ligne, quelqu’un pourrait m’aider ?

Isa (le 6 août 2009)  - #21

Ben moi aussi j’ai été piraté en août, et je suis aussi chez 1and1, et google m’a mis un beau message comme quoi mon site était dangereux…
d’autres témoignages?

Paul (le 26 août 2009)  - #22
Paul (le 26 août 2009)  - #23

Je pense que la base de données de 1and1 a été compromise. Chez 1and1, les mots de passes FTP ne sont pas crypté, et stockés en plaintext(on peut bien les voir via l’outil admin), l’attaquant a pu se connecter via FTP et injecter son code malveillant dans le fichier index.php

Il faut attirer l’attention sur un petit détails: Observant ton fichier LOG FTP :

91.212.198.37 … [13:40:40 +0200] « PWD » 257 -
…………
91.212.198.37 … [13:40:42 +0200] « STOR index.php »

13:40:42 – 13:40:40 = 00:00:02

Le temps écoulé qu’a mi l’attaquant pour effectuer toute l’opération est seulement 2 secondes! on comprends alors qu’il s’agit d’un robot, et puisque tes 3 autres sites ont également été compromis on pourra confirmer notre théorie: la base de données FTP 1and1 est compromise et il s’agit peut être d’un exploit puisque les russes sont doués pour coder de tels trucs ;)

Ce qui est recommandé pour l’instant c’est de modifier tous les passes FTP de vos comptes 1and1, il y a de fortes chances que la base de données circule dans les milieux « underground » :)

Mohammed CHERIFI (le 27 août 2009)  - #24

Merci Mohammed pour cette démonstration !

Paul (le 31 août 2009)  - #25

En juin 2009, nos serveurs chez 1and1 ont aussi été hackés avec vol de la base de données (2 sites e-commerce), sans parler du fishing. D’après les hackers (d’Afrique du Nord) 1and1 est une passoire.
Avis aux amateurs

Pierre (le 28 septembre 2010)  - #26

Désolé, les commentaires sont fermés pour le moment.