Hack : modification du htaccess et ajout de dossier
16 messages • Page 1 sur 2 • 1, 2
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
Hack : modification du htaccess et ajout de dossier
le Jeu Jan 17, 2008 18:46
Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée?
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée?
- bozoleclown
- WRInaute passionné
- Messages: 893
- Inscription: Jeu Nov 24, 2005 19:08
le Jeu Jan 17, 2008 19:21
Serious a écrit:adjuvants (plugins)?
greffons ?
Re: Hack : modification du htaccess et ajout de dossier
le Jeu Jan 17, 2008 19:22
jojose a écrit:Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée?
Cherche dans tes logs pour voir s'il y a des choses louches?
Jacques.
le Dim Jan 20, 2008 0:38
Désolé de resortir ce sujet/de répondre si tardivement mais j'ai eu le même problème.
Je suis également sur un mutualisé d'OVH (90plan).
Je présente exactement les mêmes symptômes mais tout mon site est coder par mes propres mains.
Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture. J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker qui malheureusement changent tout le temps et certaines renvoient sur un site d'une langue inconnu : europe de l'est je dirais (surement un proxy).
Dans un premier temps j'ai supprimé les dossiers/textes ajoutés dans le htacces mais rien de concluant.
Je l'ai ensuite contrer longtemps en feintant le htaccess : en ajoutant à la dernière ligne une condition infaisable (vu que part la suite il récrit dedans). Mais maintenant il s'amuse à écrire sa condition un peut n'importe où dans le htaccess et du coup il me fait planter tout le site régulièrement.
Le fait de pouvoir écrire sur un dossier en protection d'écriture mais laisse douter sur son origine... un vers chez OVH? (bien que j'en doute).
Je suis également sur un mutualisé d'OVH (90plan).
Je présente exactement les mêmes symptômes mais tout mon site est coder par mes propres mains.
Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture. J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker qui malheureusement changent tout le temps et certaines renvoient sur un site d'une langue inconnu : europe de l'est je dirais (surement un proxy).
Dans un premier temps j'ai supprimé les dossiers/textes ajoutés dans le htacces mais rien de concluant.
Je l'ai ensuite contrer longtemps en feintant le htaccess : en ajoutant à la dernière ligne une condition infaisable (vu que part la suite il récrit dedans). Mais maintenant il s'amuse à écrire sa condition un peut n'importe où dans le htaccess et du coup il me fait planter tout le site régulièrement.
Le fait de pouvoir écrire sur un dossier en protection d'écriture mais laisse douter sur son origine... un vers chez OVH? (bien que j'en doute).
le Dim Jan 20, 2008 1:12
muelsaco a écrit:Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture.
Euh, ne pas avoir de droit d'écriture sur un dossier ça veut dire qu'on ne peut pas créer de fichier dedans, ça ne veut pas dire qu'on ne peut pas écrire dans des fichiers qui sont déjà dedans. Il faut vérifier les droits sur le .htaccess lui-même...
muelsaco a écrit:J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker
Ca veut dire que tu as trouvé comment il fait alors, logiquement? Probablement un petit peu d'injection de code tout bêtement, non?
Jacques.
le Dim Jan 20, 2008 12:43
Je vais expliquer tout ce que j'ai compris de sa méthode de hack :
Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci). Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).
Ce fichier php (qui a généralement un drôle de nom) effectue, pour simplifier, un eval d'un fichier posté en http.
Je suppose donc que je code du fichier posté en http permet donc de modifier le htaccess et de s'adapter à la situation.
A noter qu'il créé également un dossier qui contiendra la page de contournement lorsqu'un visiteur arrive depuis un moteur de recherche.
Les logs apaches m'ont juste permis de voir l'heure à laquelle il a éxécuté le fichier php indésirable sur l'hébergement. Mais vu que l'ip change tout le temps je n'ai pas pu remonter plus loin et voir qu'elle page du site il a visiter (anfin de trouver une éventuelle faille sur mon site).
Il semblerait que cette méthode de hack ce développe de plus en plus.
Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci). Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).
Ce fichier php (qui a généralement un drôle de nom) effectue, pour simplifier, un eval d'un fichier posté en http.
Je suppose donc que je code du fichier posté en http permet donc de modifier le htaccess et de s'adapter à la situation.
A noter qu'il créé également un dossier qui contiendra la page de contournement lorsqu'un visiteur arrive depuis un moteur de recherche.
Les logs apaches m'ont juste permis de voir l'heure à laquelle il a éxécuté le fichier php indésirable sur l'hébergement. Mais vu que l'ip change tout le temps je n'ai pas pu remonter plus loin et voir qu'elle page du site il a visiter (anfin de trouver une éventuelle faille sur mon site).
Il semblerait que cette méthode de hack ce développe de plus en plus.
le Dim Jan 20, 2008 13:16
muelsaco a écrit:Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci).
En regardant l'heure à laquelle ce fichier a été créé, tu dois pouvoir trouver dans tes logs comment il a été créé, non?
muelsaco a écrit:Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).
C'est quoi exactement les droits sur le dossier (r-xr-xr-x?, propriétaire, groupe) et sur le fichier créé (propriétaire et groupe principalement)?
Ton Apache il tourne sous quel user? Tu as quoi d'autre sur comme serveurs sur cette machine? FTP, SMTP, POP, IMAP, IRC, mysql...?
EDIT: flûte, c'est un mutualisé, donc il y a beaucoup de choses complètement hors de ton contrôle (voire de ta visibilité)
Jacques.
le Dim Jan 20, 2008 14:11
Pas bête du tout pour l'heure de création du fichier ! Je regarderais la prochaine fois qu'il se créé (car je l'avais supprimé).
Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).
Mais le fichier créé n'est pas toujours dans www (un peu embêtant pour le retrouver d'ailleurs).
Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).
Mais le fichier créé n'est pas toujours dans www (un peu embêtant pour le retrouver d'ailleurs).
le Dim Jan 20, 2008 14:16
muelsaco a écrit:Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).
L'un comme l'autre sont accessibles en écriture par l'utilisateur qui les possède (vraisemblablement celui du process apache), donc il n'y a vraiment rien qui nous dise que ce n'est pas un bug au niveau du code dans les applis web (très probablement une mauvaise protection contre de l'injection de code quelque part).
Jacques.
le Dim Jan 20, 2008 14:31
muelsaco, on a visiblement exactement le même problème.
Parcours tes dossiers et vois s'il n'a pas ajouté de fichier. J'ai retrouvé un de ces fichiers dans mon dossier photos bien planqué, peut-être par là qu'il agissait. Mais je n'arrive toujours pas à comprendre où est la faille.
Parcours tes dossiers et vois s'il n'a pas ajouté de fichier. J'ai retrouvé un de ces fichiers dans mon dossier photos bien planqué, peut-être par là qu'il agissait. Mais je n'arrive toujours pas à comprendre où est la faille.
le Dim Jan 20, 2008 18:17
Oui les fichiers il les créé n'importe où sur l'hébergement.
Je suis entrain de bosser sur les logs et je peux trouver énormément d'ips (qui changent en même pas 1mn) :
195.117.159.226
202.153.26.3
202.162.34.211
catv77026.tac-net.ne.jp
mx.andromeda.e-ducativa.com
200.72.204.156
163.19.8.4
64.34.166.175
Ces ips sont des proxy et il ne fait pas 2 actions avec la même ip... Si tu mettais les tiennes on pourrait les croisées et avec un peu de chance trouver l'origine de la faille.
Dis moi si tu ne sais pas comment aller voir tes logs que je te l'explique.
Je suis entrain de bosser sur les logs et je peux trouver énormément d'ips (qui changent en même pas 1mn) :
195.117.159.226
202.153.26.3
202.162.34.211
catv77026.tac-net.ne.jp
mx.andromeda.e-ducativa.com
200.72.204.156
163.19.8.4
64.34.166.175
Ces ips sont des proxy et il ne fait pas 2 actions avec la même ip... Si tu mettais les tiennes on pourrait les croisées et avec un peu de chance trouver l'origine de la faille.
Dis moi si tu ne sais pas comment aller voir tes logs que je te l'explique.
16 messages • Page 1 sur 2 • 1, 2
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Sortie officielle de GoogleStats v2.0 !
- Article sur le fichier .htaccess
- Sortie de GoogleStats v2.01
- Suite de l'article sur le fichier .htaccess : l'URL rewriting
- Tous les services de Google expliqués en 31 pages
- Modification de vos sites dans l'annuaire
- Google Health : votre dossier médical géré par Google...
- Google SiteMaps : guide pratique en français
- Résultats des élections présidentielles du 1er tour 2007
- La toolbar pour Firefox de Google
Consultez la description détaillée des produits ou services de Google suivants : Google Health
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité