4.1 Forum hacké, recherchons de l'aide svp

[ToToff13 2]

Bonjour,

 

Nous avons notre forum qui est hébergé chez OVH et celui-ci subi des attaques par injections.

En regardant les logs, nous arrivons à les voir sans trouver la solution pour pallier à cela.

Nous avons, en principe, fait toutes les mises à jours possibles.

 

Ne trouvant pas la solution et ayant notre forum inaccessible depuis maintenant quelques temps, nous recherchons une personne qui voudrait bien nous aider.

 

Nous sommes en votre entière disposition pour vous fournir tous les éléments qui pourrons vous servir à trouver la solution.

 

Voici quelques screens des logs si cela peut vous aider dans un premier temps :

 

https://screenshots.firefox.com/7moC0uMEf1dz2FXL/logs.ovh.net

https://screenshots.firefox.com/tKDIWkcD2QP1pe1A/logs.ovh.net

https://screenshots.firefox.com/G6ATURdjMNQYYJHQ/logs.ovh.net

 

Notre forum Last Warriors : http://forum.last-warriors.fr/

 

Nous vous remercions par avance.

 

La team Last Warriors

[Youp3 1,144]

Bonjour ToToff13,

 

le premier problème que je vois est que vous utilisez une version qui n’est plus supportée par IPS. Même si nous parvenons à rétablir la situation, la situation risque de se reproduire. Donc avant de tenter toute réparation, avez-vous envisagé de passer à la dernière version de la suite communautaire ? Car sinon il vaut mieux envisager de passer sur une autre technologie de forums.

[ToToff13 2]

Bonjour Youp3

 

Désolé, je n'avais pas mis à jour mon profil, nous sommes bien sur la version 4 d'IPS, la dernière mise à jour avait été faite avant le mois de juillet, depuis nous avons été hackés.

[Youp3 1,144]

Ok, donc le sujet n’a pas été posté au bon endroit.

 

Même en ayant la dernière branche installée, il est important de suivre les mises à jour de sécurité publiées par IPS, pour éviter ce genre de mésaventure.

Donc avant toute chose, je te propose de récupérer l’archive complète de la dernière version depuis ton compte IPS.

Après il faut je pense s’inspirer de cet article :

Il a été réalisé pour les versions 3.x, mais les principes s’appliquent pour les versions 4.x.

 

Si tu ne t’en sors pas, je pourrais essayer de regarder. Dans ce cas, il faudra me communiquer un accès administrateur au PC Admin (y compris l’identifiant htaccess qui protège le PCA), un accès FTP ou SSH et un accès au PHPMyAdmin.

[ToToff13 2]

Merci pour ta réponse, nous allons regarder le post et si vraiment on ne trouve pas la solution nous reviendrons vers toi.

 

Encore merci de prendre du temps pour nous

[ToToff13 2]

Bonjour,

 

Nous avançons doucement dans les mises à jours et nettoyage de notre forum, et nous avons, dans un premier temps, interdit toutes possibilités aux "invités" de pouvoir faire quoi que ce soit sans s'inscrire avant.

 

Là, je bloque pour effectuer la mise à jour en 4.2.5 que j'ai téléchargé en fichier Zip, quand je suis sur le PC Admin, dans Caractéristiques du site / Applications et que je clique sur "Installer" il me demande un fichier en .tar que je n'ai pas dans le Zip.

 

J'ai surement mal cherché ici car je n'ai pas trouvé de tuto sur l'installation d'une mise à jour, d'où ma demande.

 

A moins qu'il faut tout simplement transférer le contenu du Zip via le FTP pour remplacer les dossiers existants ?

 

Merci par avance.

Edited October 12, 2017 by ToToff13

[Youp3 1,144]

Bonjour,

 

Transfert le contenu du zip sur ton serveur en écrasant les fichiers existants, puis lance directement la mise à jour en entrant l’url de mise à jour : url_de_ton_forum/admin/upgrade

[ToToff13 2]

Salut,

 

J'ai bien transféré le contenu du Zip, mais quand je rentre https://forum.last-warriors.fr/admin/upgrade

J'ai l'erreur 404 Not found, si je met mon pseudo c'est pareil https://forum.last-warriors.fr/ToToff13/upgrade

 

Désolé si je suis vraiment "mauvais" et que je passe devant quelque chose d’évident ...

 

EDIT : je crois que je viens de trouver

 

 

Edited October 13, 2017 by ToToff13

[ToToff13 2]

J'ai bien trouver comment faire, par contre, j'ai 2 erreurs :

If you are sure the files have been uploaded correctly, make sure the permissions are set correctly on them.

• /home/lastwarr/www/forum/applications/core/sources/DeletionLog/DeletionLog.php
• /home/lastwarr/www/forum/applications/core/tasks/deletecontent.php

J'ai de nouveau transféré les 2 fichiers et les droits sont bien sur 705 comme de partout, donc là je ne vois pas, je les remplace par les même fichiers d'avant la mise à jour que j'ai sauvegardé ?

[madmic59 2]

Bonjour, à tu pansais avant la mis a jour a désactivé tout plugin et application pour évité les problème avant la mis a jour ?

 

 

Cordialement,

[ToToff13 2]

Salut,

 

Non, pas du tout, je ne savais pas qu'il fallait le faire.

 

EDIT : je viens de voir que je n'ai pas ces 2 fichiers dans mon backup

 

Edited October 13, 2017 by ToToff13

[ToToff13 2]

Bonjour,

 

Les nouvelles du jour ^^

 

Après avoir de nouveau téléchargé le Zip chez IPS et uploadé par le FTP, la mise à jour a bien voulu ce faire cette fois-ci.

 

Nous allons suivre la procédure de nettoyage proposé par Youp3

[Youp3 1,144]

Bonjour,

 

attention, il semblerait que la version actuellement en place est une version warez. Il vaut mieux utiliser une technologie de forum gratuite que d’utiliser une version pirate d’un forum payant.

[ToToff13 2]

Bonjour,

 

Je ne comprends pas, c'est quoi qui serait en version warez ( je ne sais pas ce que c'est), nous avons une licence chez IPS à jour et le thème du forum est lui aussi a été acheté chez IPS et est aussi à jour.

 

Sinon, nous avons suivi votre tuto, mais il y a des parties qui ne corresponde plus car il n'y a pas les options décrites dans le PC Admin.

C'est les parties 6, 7 et 8 il me semble.

 

Cdl

[Youp3 1,144]

Il y a quelque chose dans le thème qui me fait penser à une version warez. Et comme il n’est pas laissé la possibilité de mettre le thème par défaut…

 

Cela ne m’étonne pas que certaines parties de l’article ne correspondent pas du tout à la v4, vu qu’il avait été écrit pour la v3.x.

[ToToff13 2]

C'est peut-être parce que nous avons mal configuré les paramètres qu'il n'est pas proposé d'autres thèmes non ?

 

Voici ce qu'il y a dans la panel :

 

https://screenshots.firefox.com/u9fi36z0s0MHqpjY/forum.last-warriors.fr

 

Si vous avez un exemple de thème à nous proposer, je le rajouterais pour voir ce que cela donne.

 

Cdl

Edited October 18, 2017 by ToToff13

[Youp3 1,144]

Visiblement tu as supprimé le thème par défaut, ce qui n’est pas conseillé (quand tu rencontres un problème, tu peux ainsi voir s’il vient du thème ou non).

Du coup le plus simple est de créer un nouveau thème en mode facile et d’autoriser temporairement tout le monde à le choisir.

[ToToff13 2]

D'accord, je vais essayer le trouver le thème de base et je l'installerais, merci bien.

 

Après, si tu a le petit lien qui va bien je suis preneur

[ToToff13 2]

Bonjour,

 

Après recherche, j'ai trouvé comment activer un nouveau thème de base, il est bien dans les options d'en bas.

 

Il devrait être visible pour tous.

 

Cordialement.

[PersonalMode 374]

Il y a clairement ou soucis au niveau du thème qui supprime le copyright d'IPS

Ce qui est étonnant c'est que ce thème est dispo à l'achat sur le marketplace, et que même la démo ne contient pas le lien du copyright

IPS n'a probablement rien remarqué, et a validé cela sur son marketplace

C'est peut être un bug ou une erreur du concepteur aussi

EDIT: Le problème apparaît sur certains thèmes, et pas sur d'autres.

[brazoka 47]

Bonjour tu doit encore avoir un soucie car

 

Avertissement : problèmes potentiels

Whaou !

Voulez-vous vraiment aller ici ?

https://forum.last-warriors.fr/ risque de tenter de vous voler des informations.

[ToToff13 2]

il y a une heure, brazoka a dit :

Bonjour tu doit encore avoir un soucie car

 

Avertissement : problèmes potentiels

Whaou !

Voulez-vous vraiment aller ici ?

https://forum.last-warriors.fr/ risque de tenter de vous voler des informations.

Salut, tu te sers de quel navigateur, j'ai essayé avec Chrome, Mozilla, Edge et depuis mon phone avec Chrome aussi et SBrowner de Samsung et j'ai aucun message d'avertissement.

 

@Youp3, de toute manière j'ai encore des problèmes de configuration car on ne voit pas quand il y a une réponse dans un post, la réponse y est quand in l'ouvre, elle y est dans de suivi des nouveaux messages, mais pas quand on regarde dans la liste des sujets :

https://forum.last-warriors.fr/index.php?/forum/118-logiciels/

Il y a eu une réponse dans température.

[brazoka 47]

il y a 16 minutes, ToToff13 a dit :

Salut, tu te sers de quel navigateur, j'ai essayé avec Chrome, Mozilla, Edge et depuis mon phone avec Chrome aussi et SBrowner de Samsung et j'ai aucun message d'avertissement.

C'est l'anti virus qui me donne ce message . McAffee

 

voila le message en entier

 

McAfee WebAdvisor

Avertissement : problèmes potentiels

Whaou !

Voulez-vous vraiment aller ici ?

https://forum.last-warriors.fr/inde… risque de tenter de vous voler des informations.

 

Pourquoi êtes-vous redirigé vers cette page ?

Lorsque nous avons visité ce site, nous avons remarqué qu'il avait peut-être été conçu pour vous inciter à donner vos informations financières et personnelles à des escrocs en ligne. Cette menace grave est susceptible d'être à l'origine de vol d'identité, de pertes financières et d'utilisation frauduleuse d'informations personnelles.

 

 

Edited October 20, 2017 by brazoka

[ToToff13 2]

J'ai Kaspersky et il me dit rien, j'ai demandé aux collègues et ils ont rien eu non plus.

[brazoka 47]

il y a 4 minutes, ToToff13 a dit :

J'ai Kaspersky et il me dit rien, j'ai demandé aux collègues et ils ont rien eu non plus.

Ok bin je sais pas mais à mon avis tu devrais regarder de plus prés.

 

Si ça peut aider je te montre ce que j'ai dans le .htaccess un ami qui me l'avais fait .

 

####################################
#	  Sécurisation des fichiers    #
####################################		

# You may need to un-comment the following lines
# Options +FollowSymlinks
# To make sure that rewritten dir or file (/|.html) will not load dir.php in case it exist
# Options -MultiViews
# REMEBER YOU ONLY NEED TO STARD MOD REWRITE ONCE
RewriteEngine On
# REWRITE BASE
RewriteBase /
# HERE IS A GOOD PLACE TO FORCE CANONICAL DOMAIN
# RewriteCond %{HTTP_HOST} !^www\.entraide-solidaire\.fr$ [NC]
# RewriteRule ^(.*)$ https://www.entraide-solidaire.fr/$1 [QSA,L,R=301]

# DO NOT GO FURTHER IF THE REQUESTED FILE / DIR DOES EXISTS
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule . - [L]

 

Edited October 20, 2017 by brazoka

[ToToff13 2]

D'accord, merci pour l'info, je vais voir cela avec mon collègue qui en sait plus que moi