Domaine hacké

[abouvard]

Hello !

Grande nouveauté pour moi : un domaine hacké.
Est-ce de la bienveillance , un site de bien moindre importance que mon site en www ...
http://www.once-upon-a-web.biz -----> EDIT : Résolu
Mais je suis plutôt inquiet pour mes autre sites

Quelque chose de possible pour le récupérer ???
Quelque chose à faire pour protéger les autres sites ???

Qques infos :
1- le domaine en question est géré chez Gandi, je n'ai rien vu d'anormal dans le WHOIS et à travers le tableau de bord...

.... A part peut-être ceci au niveau du Whois consulté cette fois non pas à partir de Gandi mais de mon espace de gestion chez NEXEN :

Code: Tout sélectionner

Sponsoring Registrar: GANDI SARL
Sponsoring Registrar IANA ID: 81  (?????????)

2 - il pointe d'abord vers des DNS de nexen, puis géré sous Nexen (redirection vers un repertoire)


EDIT 4/09 :
Alors pour les biques de la sécurité comme moi, voici ce que j'ai fait :
(et pour l'instant ca semble suffir)

- changement des pass ftp et sql
- changement du pass de l'administration de l'annuaire
- application du CHMOD le + restrictif possible sur le fichier contenant les données de connexion à la base
- changement du nom de dossier de l'administration (que j'avais laissé sous le nom d'admin - une connerie ! )
- application d'un htaccess sur ce dossier
- dans les scripts, ajout de strip_tags pour toutes les variables avant chaque UPDATE ou INSERT

[Nicobp]

J'ai l'impression que le hack en question c'est une redirection au bout d'une seconde mais que le site est intact; Est-ce que un .htaccess a été ajouté ou modifié sur ton hébergement?

[abouvard]

Est-ce que un .htaccess a été ajouté ou modifié sur ton hébergement?

C'est la première chose que j'ai maté :
Apparemment non.
c'est un htaccess à la racine d'un compte sur lequel pointent 3 domaines, et les 2 autres domaines sont accessibles normalement.
(enfin pour l'instant : d'où ma légère angoisse )

J'ai constaté comme toi le délai de redirection.
Dans le doute, j'ai supprimé le htaccess : c'est idem !

[keroin]

Oui c'est bien à une redirection, si tu as accès à ton ftp regarde ta page index si il n'y a pas du code qui n'y était pas avant !

[abouvard]

si tu as accès à ton ftp regarde ta page index si il n'y a pas du code qui n'y était pas avant

La page index est un script d'annuaire 1two.org
Compte tenu de sa longueur je n'ai pas encore décelé un ajout, mais on dirait que tu as raison :
Je viens de balancer un index.htm et pas de souci.

Bizarrement la date de dernière modif du fichier index.php est bien antérieure (plusieurs mois) au hacking

EDIT : Enfin le truc me parait assez pervers : en écrasant l'ancien fichier index.php en ligne par mon fichier index.php en local (non modifié) il ne devrait plus y avoir de pb si c'est une simple modif de mon index.
Or ce n'est pas le cas ...

Vais voir coté base mysql....

[Nicobp]

J'ai l'impression que quand ces crétins essayent de hacker un site et que ça rate il reste parfois cette balise dans le ode à la place du TITLE : <META HTTP-EQUIV='refresh' content='3;URL=http://www.milli-tas decrètins-harekat.org'>

[abouvard]

Non, ca ne semble pas être ça..
Je viens de supprimer le fichier de connexion à la base sql, et je ne suis plus redirigé..

Pourtant je ne décèle rien dans la base ni dans le fichier en question

[ En tout cas, merci les gars, pour votre aide et vos pistes de réflexion; si vous en avez d'autres, je reste preneur ]

[abouvard]

Bon, voila j'ai trouvé :
J'ai écumé tous les enregistrements en base sql concernés par ce script d'annuaire :
ils ont pénétré dans l'admin, et modifié un champ avec l'insertion d'une redirection.
J'ai rétrospectivement le sentiment que leur incursion aurait pû être plus violente.

[rolriam]

N'oublie pas de signaler cette éventuelle faille au développeur de ton système d'annuaires

[tryan]

Bonjour

Je ne sais pas si votre soucis est règlé ou en cours...
Certaines de vos catégories font des redirections et dans le titre de l'index on trouve ceci:

Code: Tout sélectionner

<HEAD><TITLE><script>location.href="http://neoneotheone11.netfirms.com/index/index.html";</script> - Accueil</TITLE>

[abouvard]

Merci Tryan.
Heureusement que tu es passé par là

Alors pour les biques de la sécurité comme moi, voici ce que j'ai fait :
(et pour l'instant ca semble suffir)

- changement des pass ftp et sql
- changement du pass de l'administration de l'annuaire
- application du CHMOD le + restrictif possible sur le fichier contenant les données de connexion à la base
- changement du nom de dossier de l'administration (que j'avais laissé sous le nom d'admin - une connerie ! )
- application d'un htaccess sur ce dossier
- dans les scripts, ajout de strip_tags pour toutes les variables avant chaque UPDATE ou INSERT

Saoulant, ce genre de connerie, quand on a autre chose à foutre