RETOUR À LA NORMALE PASSIONAUTO: PIRATAGE DÉJOUÉ!!!! !!!!

[yastefris]

Superbe solidarité

[Seb_95]

Bon courage !!

[993ttruf]

c une remise club sur les prochains achat ?

[jean claude]

Super et merci Claude

[DAIGURAS]

Citation :Message original : jean claude
Super et merci Claude

+1

[JEANNOTCUP35]

Ahhhhhh les Fumassiers !!!!!

Comme si c'était pas, déja, assez compliqué

Bravo à Claude et bon courage pour Fabien

Jeannot

[McBel]

Citation :Message original : gedeon25
le site de Fabien commence par WWW.passionauto.com

le site pirate est sans les WWW !!!!!

www n'est en quelque sorte qu'une sous-section du site passionauto.com. L'admin du site décide ou pas de réorienter les visites du lien http://passionauto.com vers http://www.passionauto.com.

Dans ce cas là je pense que quelqu'un est entré sur le serveur, a créé la page http://passionauto.com/mailing/Passion/U...pdate.html et a également créé un script php http://passionauto.com/mailing/Passion/U...pdate1.php qui renvoie vers la page de saisie des coordonnées bancaires

Fabien, il faudrait que tu accèdes à ton serveur et que tu vires les fichiers en question et biensûr que tu changes les codes d'accès.

Il me semble que dans le cas du phishing, le lien affiché (avec le bon nom de domaine) pointe vers un autre site qui n'a rien à voir avec celui dont l'identité a été usurpée.

Peut être que des spécialistes peuvent en dire plus si la forfaiture est bien plus complexe

Bon courage !

[fabien37]

Citation :Message original : JEANNOTCUP35
Ahhhhhh les Fumassiers !!!!!

Comme si c'était pas, déja, assez compliqué

Jeannot

comme tu le dis Jean !

sur les derniers 24 mois, 3 piratages sur le site
sur les derniers 12 mois, 2 cambriolages de nos locaux

mais on continue de payer taxes, impots, cotisation, i tutti quanti, en plus d'investir dans toujours plus de systèmes informatiques, alarmes, surveillance à distance, et j'en passe.

En attendant on bosse sur le pb de ce soir, fort heureusement les gens sont de plus en plus au fait des attaques de phishing par mail, mais quand même ça fait mauvais genre, et on a mieux à faire ...

THAT'S LIFE

[Mascotte]

Par où sont ils passés? Faille logicielle (et donc un exploit, 0dayz ou non)? Faille d'hébergement? ou problème de mot de passe/accès?
Ont-ils pu avoir accès à des informations sensibles clientes ou non? Si tu as besoin d'aide, n'hésites pas, je dois pouvoir aider

-> Petite checklist (de mémoire)
- verrouiller le site
- prévenir l'hébergeur
- sauvegarder l'ensemble code, logs, ... pour le mettre "sous surveillance mais non actif"
- restaurer à partir d'une sauvegarde l'ensemble code, pages et base de données
- évidemment changer l'ensemble des identifiants et comptes associés. Vérifier la boite d'envoi/"sent items"
- faire un diff entre la sauvegarde et la restauration. Analyser les différences pour savoir si des captures frauduleuses ont pu avoir lieu (insertion de code malveillant, avec logging, ...)
- effectuer une mise à jour complète des différents frontaux (php, mysql, ...) et moyens d'accès (ssh, ...)
- Effectuer un mailing d'informations aux clients, expliquant le périmètre, et l'ampleur du piratage

[fabien37]

Citation :Message original : McBel
Fabien, il faudrait que tu accèdes à ton serveur et que tu vires les fichiers en question et biensûr que tu changes les codes d'accès.

tu as tout compris McBel, mais ils sont aujourd'hui suffisamment malins pour que même avec mes codes d'accès et assez de connaissance en programmation je ne puisse pas supprimer leurs pages, ils ont mis des verrous ...

Merci à Mascotte de la liste, je fais suivre à l'hébergeur.

Et pas de chance pour nous, nous travaillons sur le passage à un nouveau site qui aurait dû sortir début Juillet, mais à cause du retard du développeur a été reporté et ne sera lancé que début Octobre ...