RETOUR À LA NORMALE PASSIONAUTO: PIRATAGE DÉJOUÉ!!!! !!!!

[gedeon25]

alors même si c'est chiant pour toi, fais un backup de ton site, supprime le carrément de l'hébergeur, et met y juste une page temporaire jusqu'à ce que le ménage soit fait !

[jeanbibi]

Citation :Message original : McBel

Citation :Message original : gedeon25
le site de Fabien commence par WWW.passionauto.com

le site pirate est sans les WWW !!!!!

www n'est en quelque sorte qu'une sous-section du site passionauto.com. L'admin du site décide ou pas de réorienter les visites du lien http://passionauto.com vers http://www.passionauto.com.

Dans ce cas là je pense que quelqu'un est entré sur le serveur, a créé la page http://passionauto.com/mailing/Passion/U...pdate.html et a également créé un script php http://passionauto.com/mailing/Passion/U...pdate1.php qui renvoie vers la page de saisie des coordonnées bancaires

Fabien, il faudrait que tu accèdes à ton serveur et que tu vires les fichiers en question et biensûr que tu changes les codes d'accès.

Il me semble que dans le cas du phishing, le lien affiché (avec le bon nom de domaine) pointe vers un autre site qui n'a rien à voir avec celui dont l'identité a été usurpée.

Peut être que des spécialistes peuvent en dire plus si la forfaiture est bien plus complexe

Bon courage !

Ali c'est pas toi au moins

[Mascotte]

Fabien, si cela peut t'aider, j'ai revu ton texte d'annonce/alerte sécurité (corrigé quelques fautes et d'autres ajouts).


ALERTE SECURITE
Attention, plusieurs de nos clients subissent depuis le 01 septembre 2012 une attaque de phishing par mail visant à leur dérober leur informations confidentielles de carte bancaire.
Le mail reçu est celui-ci-dessous :

<>

Ce mail pirate vous envoie sur une page vous demandant de saisir vos coordonnées, puis une seconde demandant les informations de votre carte bancaire. Ces pages sont des leurres qui envoient les informations saisies au pirate. Nous travaillons actuellement à la résolution de ce problème.
RAPPEL: PASSIONAUTO.COM ne vous demandera jamais de telle informations en dehors d'une page sécurisée de paiement d'une commande au moment de la saisie de celle-ci.

En conséquences:
Si vous avez reçu un tel e-mail :
- Ne cliquez pas sur le lien contenu dans cet e-mail il vous envoie vers une page pirate insérée sur le site.
- Supprimez l'e-mail.

Si vous avez reçu un e-mail, et cliqué sur un des liens:
- Ne saisissez aucune information et fermez la page Web correspondante (ces pages n'injectent pas de virus).
- Supprimez l'e-mail de votre messagerie.

Si vous avez cliqué sur un lien et saisi vos informations de carte bancaire :
- Contactez immédiatement votre banque pour l'informer du vol de vos identifiants de carte bancaire.

[fabien37]

Citation :Message original : gedeon25
alors même si c'est chiant pour toi, fais un backup de ton site, supprime le carrément de l'hébergeur, et met y juste une page temporaire jusqu'à ce que le ménage soit fait !

j'aimerais bien Ged, mais je ne peux ni modifier, ni supprimer les quelques pages implantées par les pirates

[Mascotte]

Fabien, si tu as les accès, rien ne peut t'empêcher de supprimer. Ou si cela t'empêche de supprimer, essaies au moins de les renommer.

Ils ont
- soit utilisé un autre utilisateur que celui que tu as --> listes les fichiers en mode complet pour voir ce point
- soit modifié les permissions sur les fichiers (donc remets les permissions et ensuite supprimes le fichier)
- soit modifié les permissions sur le répertoire contenant les fichiers.


Dans tous les cas, tu dois normalement pouvoir travailler "plus haut" dans l'arborescence, et donc renommer le répertoire supérieur: http://passionauto.com/mailing -> http://passionauto.com/mailing_PIRATE par exemple, désactivant du même coup l'ensemble


[Édite le 1-9-2012 par Mascotte]

[Mascotte]

Fabien, je t'envoie un MP.

[Mascotte]

Si tu n'y arrives pas d'un côté (via l'interface WEB), essaies d'un autre (FTP/SFTP/SSH/???)

[McBel]

Citation :Message original : jeanbibi

Citation :Message original : McBel

Citation :Message original : gedeon25
le site de Fabien commence par WWW.passionauto.com

le site pirate est sans les WWW !!!!!

www n'est en quelque sorte qu'une sous-section du site passionauto.com. L'admin du site décide ou pas de réorienter les visites du lien http://passionauto.com vers http://www.passionauto.com.

Dans ce cas là je pense que quelqu'un est entré sur le serveur, a créé la page http://passionauto.com/mailing/Passion/U...pdate.html et a également créé un script php http://passionauto.com/mailing/Passion/U...pdate1.php qui renvoie vers la page de saisie des coordonnées bancaires

Fabien, il faudrait que tu accèdes à ton serveur et que tu vires les fichiers en question et biensûr que tu changes les codes d'accès.

Il me semble que dans le cas du phishing, le lien affiché (avec le bon nom de domaine) pointe vers un autre site qui n'a rien à voir avec celui dont l'identité a été usurpée.

Peut être que des spécialistes peuvent en dire plus si la forfaiture est bien plus complexe

Bon courage !

Ali c'est pas toi au moins

Belle diversion Jean. C'est toi qui est en offshore, pas moi

Tu aurais pu faire un effort sur l'orthographe "Formulair de Miss A jour"

[fabien37]

Citation :Message original : Mascotte
Dans tous les cas, tu dois normalement pouvoir travailler "plus haut" dans l'arborescence, et donc renommer le répertoire supérieur: http://passionauto.com/mailing -> http://passionauto.com/mailing_PIRATE par exemple, désactivant du même coup l'ensemble

[Édite le 1-9-2012 par Mascotte]

Mascotte là tu viens de gagner plus que ma considération

Modif du nom du répertoire faite à l'instant, leur page est devenue inaccessible

Bon je fais des quarts tous les combiens pour voir s'ils reviennent cette nuit ... à mon avis ils reviennent pas, ils continuent ailleurs ...

[gedeon25]

Et regarde si tu as des logs avec adresse IP!!!!!!!!!!

Ou si on peut décortiquer le hack pour voir ou ça envoie les infos!!!!