14
septembre
2008
Site hacké ? Comment « bien » réagir

Publié par Yann [Celeonet], Il y a 11 années | Conseils

Pour éviter que votre site ou votre CMS ne soit un jour hacké, le plus simple est bien entendu de le mettre à jour régulièrement.

Lorqu’un hack se produit, il est nécessaire de se poser les bonnes questions et de réagir de façon à rétablir le site dans son état de fonctionnement normal.

Les choses à ne surtout pas faire si votre site a été hacké :

– Rétablir son site depuis la dernière sauvegarde : si votre site a été hacké, c’est qu’il présente une faille. Le rétablir dans sa configuration initiale ne sert à rien, la faille sera toujours présente.
– Supprimer la manifestation du hack : comme pour le point précédent, il ne suffit pas de supprimer les méfaits du hackeur pour combler la faille.
– Écraser son site avec la dernière version du CMS utilisé : mauvaise idée, rien ne vous garantit que le hackeur ne s’est pas ouvert une porte sur votre site pour le modifier à sa guise.
– Prendre pour parole d’évangile les solutions « miracles » de certains contributeurs. Ils sont tous biens intentionnés mais peuvent parfois manquer de compétences. Par précaution, travaillez toujours sur un espace de test pour vos mises à jours.

Les choses à faire si votre site a été hacké :

1. Faites un état des lieux de votre site

Avant même de tenter de comprendre ce qui s’est passé, faites un état des lieux de votre site et notez tous les points anormaux (qui sont anormaux pas qui vous semble anormaux) :
– Une page a-t-elle été modifiée ?
– La base de données est-elle toujours intègre ?
– Des pages ou des fichiers ont-ils été ajoutés sur le site ?
– Etc.

2. Activez ou consultez les logs Apache

Activez dans votre panel client l’accès aux logs Apache si cela n’est pas déjà fait. Cette opération ne vous permettra pas d’avoir de l’information sur le hack qui vient de se produire mais vous permettra d’en obtenir s’il se reproduisait.
Si vos logs sont déjà actifs et s’ils ne sont pas trop volumineux, fouillez les à la recherche de requêtes webs anormales ou générant de nombreuses erreurs 404. Attention ceci peut être long et laborieux, c’est peut-être la dernière étape à réaliser.

3. Rendez-vous sur le site de la communauté éditant votre CMS

Dans 99.9% des cas vous constaterez que vous n’êtes pas un cas isolé et que d’autres utilisateurs rencontrent le même problème. Une faille est en général corrigée par une nouvelle version du CMS. N’hésitez pas à réinstaller complètement la nouvelle version « vierge » sur un emplacement de test : nous vous permettons de créer des sous-domaines et des bases de données distinctes, c’est le moment de mettre à profit cette fonctionnalité. Cette procédure est plus longue mais aussi plus sûre. Vous pourrez ensuite mettre en production cette nouvelle version en modifiant la cible de votre domaine depuis votre interface client.

4. Sauvegardez le site et vos bases de données hackés en local sur votre PC

Il pourra toujours vous être utile pour récupérer vos thèmes personnalisés ou vos bibliothèques d’images.

5. Changez vos mots de passe

Changez vos mots de passe en respectant les règles suivantes :
– Longueur minimale de 8 caractères,
– Un ou plusieurs caractères spéciaux,
– Un ou plusieurs chiffres,
– Mixez minuscules et majuscules.
N’oubliez pas qu’il va vous falloir vous en souvenir, optez pour un moyen mnémotechnique.

Que faire quand tout se passe mal ?

Garder son calme :) C’est primordial. Il se peut que rien ne se passe bien lors de votre mise à jour. Si elle est majeure, ce risque est une quasi-certitude : changement de format de la base de données, perte d’éléments graphiques, plugins utilisés non compatibles avec la nouvelle version, modifications majeures dans le fonctionnement du CMS, perte du design, etc. Il n’y a alors pas de solution miracle, du temps vous sera nécessaire pour que votre site soit à nouveau totalement fonctionnel.

Pour éviter ce cas de figure, nous vous conseillons vivement de vous tenir au courant des sorties des mises à jour et autres patchs correctifs de vos CMS.

  • By peter, 23 octobre 2008 @ 17:36

    Merci d’avoir abordé le sujet. Je suis chez Celeonet et en début 2008, j’ai été hacké. Le pirate avait changé ma page d’accueil. Il m’a ensuite laissé tranquille mais en me prévenant qu’il avait eu accès à mes comptes MySQL, à mon FTP et à la gestion de mon CMS. Ma question à Celeonet : que se passe-t-il si le pirate s’emparait de mon compte Celeonet, si cela arrive comment reprendre l’accès ?

    >> Il faut dans ce cas contacter Celeonet, via le formulaire de contact par exemple. Il est en général assez simple de vérifier que les mots de passe ont été changés. Nous pouvons alors les rétablir mais il vous sera alors impératif de les changer. En complément, comme indiqué dans l’article, supprimer le résultat du hack ne suffit pas. Il faut corriger la faille.

  • By willykean, 6 septembre 2009 @ 11:53

    BOnjour, je constate des choses bizarres sur mon blog depuis quelque temps. Et ce matin en tapant mon pseudonyme sur google ce matin, j’ai vu en deuxième ou troisième position, une partie de mon url (willykean.com entouré de plusieurs point d’interrogation comme ceci:
    ????????????willykean.com?????????
    Puis je le retrouve aussi dans le technorati japonais
    [willykean]
    Pouvez vous vérifier ce qu’il en est?
    J’aimerais savoir si j’ai été hackée et si quelqu’un peut m’aider à reparer le problème.
    Merci d’avance.

    >> Le blog de notre société n’est pas un forum d’entre-aide pour utilisateurs, contactez votre hébergeur il pourra peut-être vous renseigner :)

  • By Stab, 17 novembre 2009 @ 19:27

    Bonjour,

    Je suis le webmaster du site http://www.xxxxx.fr qui est hébergé chez celeonet. Nous somme victime d’un piratage de notre compte celeonet. Le site a été effacé (comme vous pouvez le voir) et le mot de passe a été changé.
    Quelle est la marche à suivre pour retrouver l’accès à notre site ??
    Étant dans l’impossibilité de nous connecter à notre interface de support, les e-mail a celeonet sont notre seule issue… Si toute fois ils répondent!

    Merci d’avance pour votre aide.
    Cordialement

    >> Vos mails ont tous reçus une réponse, hier à 18:22 et 18:26.

Other Links to this Post

  1. Celeonet » Archive du blog » Suite à l’attaque du site de l’un de nos clients — 28 avril 2011 @ 14:58

  2. Celeonet » Phishing et routines de saturation — 11 octobre 2011 @ 14:45