Bonjour,

Je me suis fais hacké de nouveau hier (VB + Joomla 1.0.11) et il a modifié deux choses dans VB et la base sql:
- javascript avec redirection vers une des pages du hacker dans la table sql forum, en modifiant le titre d'un de mes forums
- javascript avec redirection idem dans forumcache

J'ai modifié dans la base sql le contenu des deux tables en reprenant les contenus originaux. Maintenant je n'ai plus la redirection vers le site du hacker, mais une page blanche...

Suite à la première modife, l'accès au forum était possible avec redirection au bout d'une seconde vers le site du hacker.

Suite à la modife sur le forumcache, page blanche...

Est-ce un problème entre les deux tables modifiées si les infos n'étaient pas cohérentes ou identiques ?

Merci d'avance de votre aide.

Jerome

Bonjour,

J'ai doute sur le lien forum. Le lien qui appel la page d'accueil du forum est :

http://www.paradise-plongee.com/forum/

C'est bien cela ????

Merci d'avance de votre aide, car je suis vraiment bloqué.

Jerome

Salut Jerome,

1. J'espère que t'as fait un backup total de ton site/forum, si ouï, je te conseillerai plutôt d'importer ce backup, si tout marche nickel, tu mets ensuite à jour directement ton forum version 3.5.4 vers 3.5.5 ou bien vers 3.6.1 et t'oublies pas "d'enlever ou mettre à jour un Hack X installé" sur ton forum si tu mets à jour ton forum vers version 3.5.5 !

2. Changer le mot de passe avec un le plus compliqué ainsi que l'identifiant pour les bases de données ou son accès et le FTP.

3. Protéger par un mot de passe et identifiant ton dossier "/admincp/" et "/modcp/" >> http://www.paradise-plongee.com/forum/admincp/ !


Envoies-moi un MP si t'as besoin que je fais cettes démarches.
A+

Merci beaucoup pour ta réponse et ta proposition d'aide.

Je viens de recevoir un mail de réponse du Hacker: la source de la faille "serait" peut être liée au serveur (shell).

Pour éviter les mises à jour inutiles, j'attends une réponse de l'hébergeur pour voir les fichiers logs et surtout si c'est lié au serveur, à joomla ou ... VB (je ne penses pas...).

Je vous tiens au courant.

A bientôt

Jerome

Ton profil indique la version 3.5.4. Or, une faille de sécurité existe dans celle-ci. Comme Alt te l'a suggérée, pour éviter que ce ne soit une faille du à vBulletin, mets-toi à jour :)

Ton profil indique la version 3.5.4. Or, une faille de sécurité existe dans celle-ci. Comme Alt te l'a suggérée, pour éviter que ce ne soit une faille du à vBulletin, mets-toi à jour :)

Oui, surtout s'il a installé le hack "Top X Stat", ça deviendra grave ;)

A+

Oui, surtout s'il a installé le hack "Top X Stat", ça deviendra grave ;)

J'ai d'ailleurs testé cette modification sur vB 3.0.x et elle contient aussi la faille de sécurité. J'ai envoyé un message privé à Marco qui, je pense, a du faire le nécessaire (comme il m'a répondu) ;)

Sur vB 3.0.x, c'est assez loin :)

Bonjour,

Bon c'est de pire en pire de mon côté....

Je viens de m'apercevoir que ma sauvegarde sql avait dû planter en cours de PHP Admin et je n'ai qu'une partie de la base...

Suite au hack enlevé dans 2 tables VB (forumcache et forum), j'ai toujours une page blanche quand je clic sur le lien pour accéder au forum:
http://www.paradise-plongee.com/forum/

Quand je souhaite accéder à ma console Admin VB, il ne reconnait pas mes identifiants et me jette:
http://www.paradise-plongee.com/forum/admincp/index.php

Est-ce que VB3.5.4 est compatible sur les serveurs dont le register_globals est sur "OFF" ???? Car cela a été fait par mon hébergeur au niveau sécurité de joomla.

Je penses ou j'imagines que le problème est simplement une valeur fausse, une erreur de paramétrage ou une donnée manquante qui explique la page blanche.

Quelqu'un serait dispo pour jeter un oeuil sur mes fichiers et/ou répertoires ?

Je galère énormément sur joomla suite aux attaques répétées et maintenant c'est VB qui me pose des problèmes. Je commence à fatiguer et me sentir bien seul..

Merci d'avance si quelqu'un pour me donner un coup de main. :confused:

Jerome

Je précise aussi qu'après des tentatives de connexion sur le forum, j'ai reçu plusieurs messages par mail, du type:

Database error in vBulletin :

mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Accès refusé pour l'utilisateur: '1970jhautier1970'@'@www34.celeonet.fr' (mot de passe: OUI)
/home/www/paradise/www/forum/includes/class_core.php on line 279

MySQL Error :
Error Number :
Date : Tuesday, September 26th 2006 @ 12:30:53 AM
Script : http://www.paradise-plongee.com/forum/
Referrer :
IP Address : 82.67.228.192
Username :
Classname : vb_database

Un tuyau peut être pour expliquer le problème du post avant ?

Jerome

Est-ce que VB3.5.4 est compatible sur les serveurs dont le register_globals est sur "OFF" ???? Car cela a été fait par mon hébergeur au niveau sécurité de joomla.

Je penses ou j'imagines que le problème est simplement une valeur fausse, une erreur de paramétrage ou une donnée manquante qui explique la page blanche.

Désactive déjà tous les produits (config.php -> après <?php, mets : define('DISABLE_HOOKS', true); et essaye de voir si tu as un soucis quelconque.

vBulletin est 100% compatible avec les register_globals à on ou off [register_globals à off permet d'utiliser $_GET['variable'] / $_POST['variable'] / $_REQUEST['variable'] au lieu de $variable, donc qui permet de définir exactement la source et évite tout soucis de cookies (get pour les url, post pour les formulaires et request = get + post)] :)

mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Accès refusé pour l'utilisateur: '1970jhautier1970'@'@www34.celeonet.fr' (mot de passe: OUI)
/home/www/paradise/www/forum/includes/class_core.php on line 279

Nom d'utilisateur / mot de passe invalide.

Bonjour,

Je viens de faire le test avec la ligne define('DISABLE_HOOKS', true); dans le fichier config.php et que ce soit le lien page accueil forum ou le lien pour se connecter à la console admin, toujours une page blanche.

Pour le problème de mail avec error database, j'ai trouvé c'était le nom+mot d passe à actualiser dans VB suite à tous les mots de passe que j'ai changé après le hack.

Une autre idée pour la page blanche ????
Si un admin du forum souhaite un accès FTP à mon répertoire FORUM ou même ma base Sql pour jeter un oeuil, je suis ok.

Si je dois me déplacer chez quelqu'un ou autre, je suis prêt à tout pour éviter de repartir à zéro et perdre les centaines de messages de mon forum.

Merci de votre solidarité.

Jérôme

Re-Bonjour,

Question: j'ai vu dans le répertoire d'installation (Lors de l'achat VB) qu'il y avait un fichier tools.php (a script to help you fix (login) problems and rebuild caches for usergroups, bitfields, etc.): peut-il aider à corriger des problèmes ?

Sinon, je peux aussi envoyer par mail un export de ma base ou un export des tables touchées (forum case et user) ? Ou même graver et poster ou apporter un CD avec mon répertoire "Forum" ?

Je précise que je n'ai pas l'habitude d'être assisté et fais déjà les démarches pour solutionner les problèmes. Mais quand je suis totalement bloqué...

Jerome

Jerome

Une autre idée pour la page blanche ????
Si un admin du forum souhaite un accès FTP à mon répertoire FORUM ou même ma base Sql pour jeter un oeuil, je suis ok.

Essaye d'abord de remettre tous les fichiers par défaut de vBulletin sans aucune modification dedans, sinon je peux te voir ça si tu veux :)

Bonsoir,

Ok pour tester en remettant tous les fichiers.

Juste deux précisions:
- Cela ne devrait pas écraser tous les messages postés, paramétrages du forum (en-tête, sous-forums créés... ?
- Suite au remplacement des fichiers, il y aurait juste le fichier config.php à paramétrer pour le nom et mot de passe accès à la base ?

J'attend juste la précision pour effectuer l'opération.

Merci.

Jerome

- Si tu as jamais touché dans les fichiers, ça ne touchera en rien le contenu de ton forum.
- Je pense que tu peux laisser config.php, c'est le seul fichier auquel tu connais les données dedans, puisqu'elles correspondent à ton compte MySQL :)

Peut être une aide de dernière minute:

Mon hébergeur vient de m'adresser une sauvegarde .sql du 24/09.
Celle-ci contient encore le javascript du hackeur dans la table, mais sans les modifs de ma part ayant entraîner le problème cité cidessus):

-- Dumping data for table `forum`
/*!40000 ALTER TABLE `forum` DISABLE KEYS */;
LOCK TABLES `forum` WRITE;
INSERT INTO `forum` VALUES (...le hack est glissé ici)

Peut être est il possible de supprimer délicatement le hack et importer les tables dans la base ?

Qu'en pensez-vous ? Le cas échéant je peux vous adresser le fichier .sql pour regarder (le script est simple à retrouver avec la fonction rechercher et le mot clé "m4nn3r"). Si oui par email ?

Jerome

- Si tu as jamais touché dans les fichiers, ça ne touchera en rien le contenu de ton forum.
- Je pense que tu peux laisser config.php, c'est le seul fichier auquel tu connais les données dedans, puisqu'elles correspondent à ton compte MySQL :)

Non je n'ai pas touché les fichiers, sauf ajout de smileys et avatars.

J'ai intégré dans l'admin VB un module complémentaire (ou hack ?) qui m'a été conseillé sur le site pour ajouter un pavé en haut du forum.

J'ai modifié ensuite uniquement le template, le header, bas de page.

Jerome

Envoie-moi ce fichier à pitchoune@vbulletin-fr.org pour que je te dise ça. Merci :)

J'ai intégré dans l'admin VB un module complémentaire (ou hack ?) qui m'a été conseillé sur le site pour ajouter un pavé en haut du forum.

C'est une modification (ou un hack). J'ai un doute sur ce que c'est, je vais me le confirmer avec ton fichier .sql :)

Envoie-moi ce fichier à pitchoune@vbulletin-fr.org pour que je te dise ça. Merci :)

Ok envoyé par mail:
- 1 fichier zip .sql (base hackée)
- 1 fichier zip .sql (Ancienne sauvegarde de début sept.)

Pour comparer juste les tables qu'il a modifié.

Bonne réception et restant à ta disposition.

Jérôme

A première vue, il a simplement modifié le titre et description de ton forumid 2 (celui des médias).

Je vais tenter d'importer la bdd chez moi et de voir ce qui est faisable :)

Il a également (tu as du le voir) modifié mon email admin en mettant le sien.
Il a pas également modifié les mots de passe des membres inscrits ?

Merci pour le test que tu envisage de faire. C'est sympa.

A tout'

Jerome

Déjà, ce que tu peux faire, c'est d'exécuter cette requête sur ta base de données :
UPDATE forum SET title = 'Médias: Photo et Vidéo', title_clean = 'Médias: Photo et Vidéo', description = 'Discussions sur les matériels, techniques, expériences en photo et vidéo sous-marines', description_clean = 'Discussions sur les matériels, techniques, expériences en photo et vidéo sous-marines' WHERE forumid = 2;Ceci règlera déjà ton soucis niveau forum. Dis-moi si ça arrange déjà quelque chose ou non :)

Je viens de lancer la requête.
Suite à la requête PHAdmin affiche:

Nombre d'enregistrements affectés : 0 (traitement: 0.0010 sec.)
requête SQL:
UPDATE forum SET title = 'Médias: Photo et Vidéo',
title_clean = 'Médias: Photo et Vidéo',
description = 'Discussions sur les matériels, techniques, expériences en photo et vidéo sous-marines',
description_clean = 'Discussions sur les matériels, techniques, expériences en photo et vidéo sous-marines' WHERE forumid =2

Est-ce ok ?

Si oui, le problème est toujours là: page blanche (j'ai bien vidé le répertoire session et surtout les caches)

Aie !!!!!!!!!!

Que peut-on tenter d'autre ?
Peut être un fichier modifié autre part ?

Jerome

Salut Pitchoune,

J'ai vu un poste sur le forum similaire: page blanche dont l'origine serait un hack (http://forum.vbulletin-fr.org/showthread.php?t=10147&page=2&highlight=page+blanche).

Dommage qu'il n'explique pas la solution pour corriger le problème !!!

Si tu veux, je peux t'adresser le config.php ou l'index.php qui posent peut être problème au niveau de l'accès ?

jerome

Salut,

Selon Philou 76 (pb. hack et page blanche également), ce serait les thèmes qui aurait été touchés: saréponse :

"C'était les thèmes qui ont été touchés. En remettant le theme par défaut, ça fonctionne mais très mal. Une réinstallation complète et restauration de la base de données a été nécessaire..."

Qu'en penses-tu ?

A +

jerome

J'ai restauré la base de données hacké chez moi, et en dehors de l'entrée hacké de la table forum, tout fonctinne (index, nouveau message, inscription, etc...).

Si tu veux, tu peux me fournir un accès FTP ainsi qu'à ta base de données en privé. Ceci ne sera pas révélé. Merci :)

Bonjour Pitchoune,

Ok, identifiants envoyés par email.

Pour info et suite à ma demande, mon hébergeur (sympa et réactif), m'a envoyé les sauvegardes de la base sql du 22/09 et même du 21/09, donc avant le hack.

Dis moi si celles-ci tintéressent ?

A +

Jerome

Pour l'instant, non, mais je te dirais à l'avenir :)

Corrigé ;)

Le problème était assez simple en fait : il ne faut pas le moindre espace avant <?php ni après ?> dans config.php, ça fait tout planter par la suite.

Sinon, les mots de passe des 10 premiers utilisateurs ont été mis en clair dans la base de données (dont ton compte). Va sur la page login.php?do=lostpw pour en régénérer un et ainsi retrouver ton compte (ainsi que les autres comptes incriminés) :)

PS : ton identifiant dessus, c'est la même chose qu'ici ou non ?

Ok

Jerome

Corrigé ;)
Le problème était assez simple en fait : il ne faut pas le moindre espace avant <?php ni après ?> dans config.php, ça fait tout planter par la suite.
Sinon, les mots de passe des 10 premiers utilisateurs ont été mis en clair dans la base de données (dont ton compte). Va sur la page login.php?do=lostpw pour en régénérer un et ainsi retrouver ton compte (ainsi que les autres comptes incriminés) :)
SUPER, SUPER..... Merci énormément... je revis !!!!!!
Ok j'ai regenéré le premier mot de passe (le mien...) et ça fonctionne, super.

PS : ton identifiant dessus, c'est la même chose qu'ici ou non ?
C'était le même, je l'ai gardé mais changé le mot de passe.

Merci pour tout Pitchoune. C'est toujours super de compter sur des personnes passionnées, dévouées et réactives.
Ce me confirme dans le choix de VB et je ne manque pas de faire de la pub autour de moi.

Je vais passer en version 3.6.0 et regarder comment cela se déroule car pas encore fais de migration. Je vais regarder les posts du forum sur la procédure à suivre, je penses que c'est indiqué quelque part.

Merci pour tout de nouveau :confused:

Jerome

C'est une modification (ou un hack). J'ai un doute sur ce que c'est, je vais me le confirmer avec ton fichier .sql :)

Re-bonjour,

Comme je vais effectuer une mise à jour VB sais tu s'il s'agit d'une modification ou d'un hack ? Je crois que c'est important au niveau de la migration.

Pour finir, conseillez-vous de migrer de ma version 3.5.4 vers la version 3.6.0 ou 3.6.1, sachant que c'est ma première migration et que je souhaite la faire avec un minimum de problèmes...

Merci pour vos conseils.

Jerome

3.6.1. Je dirais même vBulletin 3.6.2 qui sera disponible dans moins d'une semaine (voir la dernière annonce) :)

Pour le problème, je pense que le hackeur sait qu'en mettant des espaces avant <?php ou après ?>, ça faisait planter. Il a du se servir de Joomla pour accéder à ton FTP et te créer ce soucis. Si, au niveau de Joomla, c'est corrigé, je ne pense pas à de futurs soucis :)

3.6.1. Je dirais même vBulletin 3.6.2 qui sera disponible dans moins d'une semaine (voir la dernière annonce) :)

Pour le problème, je pense que le hackeur sait qu'en mettant des espaces avant <?php ou après ?>, ça faisait planter. Il a du se servir de Joomla pour accéder à ton FTP et te créer ce soucis. Si, au niveau de Joomla, c'est corrigé, je ne pense pas à de futurs soucis :)

Ok je vais partir sur la 3.6.1

Juste une dernière précision: la migration est-elle particulière si j'ai:
* installé un produit: welcome_headers 4.0.7
* Les 3 modules associés à welcome_headers 4.0.7
* Modifié mon template (header, bas de page...)

Un tuto actualisé / migration 3.5.4 > 3.6.1 est-il présent pour limiter les risques ?

Après promis, je ne vous embête plus ;)

Merci

Jerome

Ton produit n'influera en rien sur ta mise à jour. Ferme ton forum juste avant de faire une sauvegarde et ouvre le une fois la mise à jour finie.

Pas besoin de didacticiel pour ça, c'est comme si tu mettais à jour à une autre version 3.5.x :)

Ok, donc en résumé si je migre vers la 3.6.1 je peux suivre les explications sur le thread ICI (http://forum.vbulletin-fr.org/showthread.php?t=9944) et je retrouverais bien mon module, mon template personnalisé et le fichier langue traduction FR que j'avais importé.

Merci pour la réponse.

Je me lance sur la migration et j'indiquerai quand c'est ok pour cloturer ce post.

Bonne journée à tous. :)

Jerome