Comment fonctionne ce genre de piratage ?

Bonjour,
ce matin je découvre qu'un site que je connais a été piraté. le contenu du site est remplacé par une page de revendications islamistes.
En tapant le nom du pirate (auto-revendiqué), je tombe sur cette page

zone-H sur laquelle figure une liste de ses (2444) exploits.

Comment ce type de piratage fonctionne t-il?

- l'Url entière est redirigée vers un autre site?
- le site lui même (hébergement ftp) est modifié?
- c'est un piratage au niveau de l'hébergeur?

merci

sw: url retirée on va éviter la pub sur le forum pour un pirate
Modifié par Stéphanie W. (11 Jan 2015 - 14:14)

il y a 2 possibilités, soit il y a une faille dans la création du site avec l'oublie d'une page index (cela arrive souvent), soit cela proviens du serveur FTP (nom et mots de passes qui circulent sur le net, ou l'ajout d'un fichier robot.txt)

Zone-h répertorie tous les hackers (et non un seul) avec date et url du site piraté, la forme de piratage (remplacement page d'accueil, suppression totale du site...) et même une capture écran.

Ce que je remarque pour les cas de piratages que je rencontre, c'est que cela concerne des sites dont je ne suis pas le seul à disposer et à gérer les codes d'accès. Et on s'envoie les codes par email puis ce même email devient un fil de discussion, se duplique sur les messageries en ligne entre les intervenants (et qui me dit que dans ces intervenant, il n'y en a pas un qui a une messagerie avec un mot de passe "toto23" donc sécurité 0)... je pense donc qu'il y a des fuites de ce côté là et le hacker arrive à récupérer des codes transitant par email.

Ensuite il peut aussi y avoir des failles si il s'agit d'un CMS. Par je ne sais quel moyen (un programmeur PHP doit en savoir plus) on peut créer une requête php dans l'URL : on écrit un code derrière l'URL et ce code serait capable de générer une page ou de remplacer du code dans le CMS. C'est pour cela que l'on a parfois dans Analytics des URL à rallonge qui génèrent des erreurs 404.

Bref, lorsque cela arrive, je mets tout de suite le CMS à jour et je modifie tous les mots de passe : comptes Admin du CMS, mais aussi le compte de l'hébergement, FTP, MySql, Google (si il y a un analytics, on sait jamais...) Il y a aussi pour les CMS, des outils de sécurité qui bloquent les URL à rallonge.
Modifié par Newzic (11 Jan 2015 - 17:15)

On m'a déjà piqué une liste de code ftp, j'ai jamais su si c'était via les mails ou directement sur un ordi. Aussi, si vous avez 50 comptes ftp enregistrés dans FileZila tout est visible en clair dans un simple fichier texte donc attention.

Généralement les attaques se font par des failles connues et de manière automatisé. Je connais pas particulièrement les failles mais ça peut être des trucs bête comme tenter des connexions avec "admin/admin" sur wordpress puis il suffit d'uploader un thème pour modifier le site, chose qui m'est déjà arrivé. Worpress n'a aucune protection contre le brute-force d'ailleurs.
Modifié par bzh (12 Jan 2015 - 19:12)

ON peut ajouter à ça que parfois, les hébergeurs eux-mêmes peuvent avoir des failles et être victimes d'exploits, permettant aux pirates de modifier les index.php de tous les sites sans passer par les FTP. Bon, en général quand ils en sont-là il cassent carrément tout le serveur ou ils le transforment en botnet et ils n'en ont rien à cirer des 300 sites hébergés. C'est rare avec les bons hébergeurs mais ça m'est déjà arrivé il y a longtemps... je ne recommanderais plus l'hébergeur que j'avais à l'époque par contre, ils n'étaient pas très sérieux.

Je crois qu'ovh a eu une immense faille récemment comme quoi personne n'est à l'abri.