Articles|Commentaires

Tentative de hacking (piratage) de 2 de mes sites

J’ai eu la peur de ma vie ce matin en lançant mon navigateur qui s’ouvre sur Google, Avremesnil et le forum GeekEden dans 3 onglets. Un hymne puissant sort de mes hauts- parleurs. J’arrive sur le site d’avremesnil et voilà ce que j’aperçois :

Même chose sur noroit.fr, heureusement rien à signaler sur les sites de mes clients.

Un hacker (pirate) a profité d’une faille de sécurité chez l’hébergeur OVH pour remplacer le fichier index.html par le sien. Il m’a donc suffit de remettre les bons fichiers en ligne pour que le problème soit réglé, en attendant que la faille de sécurité ayant permis cette intrusion soit corrigée et en espérant que ça ne se reproduise plus.

J’ai gardé une sauvegarde du fichier piraté ici : http://www.noroit.fr/indexhack.html si vous voulez vous faire une idée de ma frayeur du matin.

Je ne suis pas le seul à avoir été victime de cette attaque comme on peut le constater sur les forums d’OVH : http://forum.ovh.com/ et même sur un plan encore plus large si on tape « ByLenis was here » sur Google

Cet article a été écrit par Michel RECHER, le 6 février 2010 à 12:44. Il est classé dans la catégorie Actualité, Sécurité avec le(s) mots(s) clés(s) . Sauvegarder le permalien. Suivre les commentaires pour ce billet avec le fil RSS. Ecrire un commentaire ou laisser un trackback.

4 commentaires

Ecrire un commentaire»
  1. Totoro
    Publié le 6 février 2010 à 15:01 | Permalien
    1

    Idem, un copain pour qui j’ai fait un site et qui est chez ovh a eu la même frayeur que toi… et moi aussi d’ailleurs, persuadé que j’avais une faille dans un des mes trucs… pour finalement me rendre compte que le pb venait d’ovh…

    Bref, je te comprends tout à fait!!!

  2. alain
    Publié le 6 février 2010 à 21:18 | Permalien
    2

    J’ai connu la même frayeur ce matin pour mon site http://www.chamrousseweb.info dont la page d’accueil était dirigée vers cet autre site (turc ?). La hot line OVH que j’ai appelée n’était au courant de rien et je ne suis même pas sûr que mes interlocuteurs (appelés deux fois) m’aient pris au sérieux !

  3. Michel RECHER
    Publié le 7 février 2010 à 17:13 | Permalien
    3

    A priori, l’attaque viendrait du robot Microsoft URL Control – 6.00.8862 qui m’a renu visite depuis des adresses IP en Turquie.

    2 visites sur noroit.fr :

    88.236.9.194 noroit.fr – [06/Feb/2010:10:04:42 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 noroit.fr – [06/Feb/2010:10:44:26 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″

    et 7 visites dur avremesnil.com :

    88.236.9.194 http://www.avremesnil.com – [06/Feb/2010:10:05:19 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″
    88.236.9.194 avremesnil.com – [06/Feb/2010:10:07:57 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 avremesnil.com – [06/Feb/2010:10:31:28 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 http://www.avremesnil.com – [06/Feb/2010:10:56:41 +0100] « GET / HTTP/1.1″ 200 1006 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 http://www.avremesnil.com – [06/Feb/2010:11:07:39 +0100] « GET / HTTP/1.1″ 200 27598 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 AVREMESNIL.COM – [06/Feb/2010:13:16:30 +0100] « GET / HTTP/1.1″ 200 28067 « - » « Microsoft URL Control – 6.00.8862″
    88.244.7.204 AVREMESNIL.COM – [06/Feb/2010:13:22:40 +0100] « GET / HTTP/1.1″ 200 28067 « - » « Microsoft URL Control – 6.00.8862″

    Mon site d’avremesnil est monitoré par InternetVista qui m’a alerté vers 10h30

  4. Tchat
    Publié le 29 septembre 2010 à 12:48 | Permalien
    4

    Ce ne m’est jamais arrivé.. mais ça arrivera bien un jour…

Ecrire un commentaire

Votre adresse mail ne sera jamais rendue publique ni utilisée. Les champs obligatoires sont indiqués par un astérisque *.

*
*

  • NOROIT Services