Mon site est hacké !

[fredm]

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred

[Ohax]

-> http://www.fire-soft-board.com/fsb/sujet-6536-1.html

[fredm]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

[amazigh25]

J'ai vu un site hacké de la même manière, il y'a quelques minutes, c'est un wrinaute aussi (je fouillais dans l'annu !)

Sinon bon courage

[Daktari]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

[Ohax]

Merci pour les infos.

Je suis chez sivit en dédié mais je fais quand même une backup en vitesse au cas ou.

Je vous conseille de faire de même.

[fredm]

non apparemment le virus remplace tous les fichier index* par le sien, donc il faut parcourir tous les répertoire pour le remplacer.
La base de donnée n'est pas affectée.
Il y a un javascript dedans qui semble générer les pages.

Voici le contenu de ce fichier:

Code: Tout sélectionner

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML><HEAD><TITLE>Hacked By DeviL </TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><STYLE>BODY {
   SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}
</STYLE><STYLE>.page {
   BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE><META content="MSHTML 6.00.2900.2180" name=GENERATOR><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR>
<META content="Microsoft FrontPage 6.0" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId><TITLE>.:: HaCkeD By DeviL ::.</TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><META content="MSHTML 6.00.2900.2180" name=GENERATOR><STYLE>.layermensaje {
   FONT-SIZE: 10pt; COLOR: #ff0000; LINE-HEIGHT: 10pt; FONT-FAMILY: "Courier New"
}
</STYLE><TITLE>Hacked By DeviL </TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<STYLE>BODY {
   SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}</STYLE>
<STYLE>.page {
   BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE>


<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center><img border="0" src="kanakisi.gif" width="532" height="24"><img border="0" src="578d9466c1.gif" width="475" height="40">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">D</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">e</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">v</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">i</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">L</font><FONT face="ACS  Almass Extra Bold"
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold"
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<span style="font-weight: 700">
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">&amp;</font></span></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>a</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>u</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>d</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>i</FONT><FONT
face="ACS  Almass Extra Bold" color=#ff0000 size=6> </FONT>
<FONT
face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT
face="ACS  Almass Extra Bold" color=#FF0000 size=6>p</FONT><FONT
face="ACS  Almass Extra Bold" color=#99CC00 size=6>y</FONT><FONT face="ACS  Almass Extra Bold"
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold"
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
&nbsp;</p>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center><img border="0" src="578d9466c1.gif" width="475" height="40"><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">&nbsp;<HTML><BODY bgColor=#000000 onload=teclear(); background></BODY></HTML><img border="0" src="kanakisi.gif" width="532" height="24"><P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center>
<OBJECT height=0 width=0 align=right
classid=clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA><PARAM NAME="controls" VALUE="PlayButton"><PARAM NAME="autostart" VALUE="-1">
   <PARAM NAME="src" VALUE="http://www.bahraindrag.com/M6roDe.ram" ref><PARAM NAME="SHUFFLE" VALUE="0"><PARAM NAME="PREFETCH" VALUE="0"><PARAM NAME="NOLABELS" VALUE="0"><PARAM NAME="LOOP" VALUE="0"><PARAM NAME="NUMLOOP" VALUE="0"><PARAM NAME="CENTER" VALUE="0"><PARAM NAME="MAINTAINASPECT" VALUE="0"><PARAM NAME="BACKGROUNDCOLOR" VALUE="#000000"><PARAM NAME="_ExtentX" VALUE="609"><PARAM NAME="_ExtentY" VALUE="661"></OBJECT><img border="0" src="saudieye.jpg" width="225" height="200">ONT-SIZ<HTML><HTML><HTML><BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background><P align=center><B><FONT size=5> &nbsp;</FONT></B><SCRIPT language=JavaScript>
if (document.all){
Cols=10;
Cl=24;
Cs=100;
Ts=10;
Tc='#ff0000';
Tc1='#ff0000';
MnS=5;
MxS=10;
I=Cs;
Sp=new Array();S=new Array();Y=new Array();
C=new Array();M=new Array();B=new Array();
RC=new Array();E=new Array();Tcc=new Array(0,1);
document.write("<div id='Container' style='position:absolute;top:0;left:-"+Cs+"'>");
document.write("<div style='position:relative'>");
for(i=0; i < Cols; i++){
S[i]=I+=Cs;
document.write("<div id='A' style='position:absolute;top:0;font-family:Arial;font-size:"
+Ts+"px;left:"+S[i]+";width:"+Ts+"px;height:0px;color:"+Tc+";visibility:hidden'></div>");
}
document.write("</div></div>");


for(j=0; j < Cols; j++){
RC[j]=1+Math.round(Math.random()*Cl); 
Y[j]=0;
Sp[j]=Math.round(MnS+Math.random()*MxS);
for(i=0; i < RC[j]; i++){
B[i]='';
C[i]=Math.round(Math.random()*1)+' ';
M[j]=B[0]+=C[i];

}
}
function Cycle(){
Container.style.top=window.document.body.scrollTop;
for (i=0; i < Cols; i++){
var r = Math.floor(Math.random()*Tcc.length);
E[i] = '<font color='+Tc1+'>'+Tcc[r]+'</font>';
Y[i]+=Sp[i];


if (Y[i] > window.document.body.clientHeight){
for(i2=0; i2 < Cols; i2++){
RC[i2]=1+Math.round(Math.random()*Cl); 
for(i3=0; i3 < RC[i2]; i3++){
B[i3]='';
C[i3]=Math.round(Math.random()*1)+' ';
C[Math.floor(Math.random()*i2)]=' '+' ';
M[i]=B[0]+=C[i3];
Y[i]=-Ts*M[i].length/1.5;
A[i].style.visibility='visible';
}
Sp[i]=Math.round(MnS+Math.random()*MxS);
}
}
A[i].style.top=Y[i];
A[i].innerHTML=M[i]+' '+E[i]+' ';
}
setTimeout('Cycle()',20)
}
Cycle();
}
// -->
</SCRIPT><SCRIPT src="Hacked By DeviL "
type=text/javascript>
</SCRIPT><SCRIPT type=text/javascript>
_uacct = "UA-231925-2";
_udn="jeeran.com";
urchinTracker();
</SCRIPT><SCRIPT src="Hacked By DeviL "
type=text/javascript>
</SCRIPT><P>&nbsp;</P></BODY></HTML>
<HTML>
<BODY bgColor=#000000 onload=teclear(); background>
<FONT style="FONT-SIZE: 1pt"
face="Courier New" color=#66ff33>
&nbsp;<SCRIPT language=javascript>
<!--
// mensaje elite
mensaje=

'<p align="lef"><font size="2" face="Courier New">Connecting To The Server, Please Wait . . . . . .  </font></p>'+'     <br>'+
'<br>           '+
'YouR Site HaCkeD By DeviL AnD Saudi Spy<br>'+
'                    <br>'+
'CoNtAcT Me : DeviL-HackEr-x@hotmail.com   or saudi.spy@hotmail.com       <br>           '+
' '+
'                    <br>'+
'DonT Tell Me To Stop<br <br>'+


' <br>'+
' NoW iM tHe CoNtRoLlER & ThE LeADeR <br>'+
'  <br>'+


'   <br>'+
'sh-2.05b$ E x i t <br>'+
'<p align="center"> <b><font size="3">   "Copyright © DeviL 2007"          </font></b> <br>'
line=0
cursor='_'
function teclear(){
if(line==mensaje.length) cursor=''
ttecleado.innerHTML=mensaje.substring(0,line)+cursor
if(line++<mensaje.length) setTimeout("teclear()",60)
}
//-->
</SCRIPT></FONT><DIV class=layermensaje id=ttecleado ?>
   <p align="left"></DIV>
<p align="left">
</FONT>
</p>
<P align="left"></P>
<p align="center">
<SCRIPT src="../_%20HaCkeD%20By%20sabirano_files/weborama.js"
type=text/javascript></SCRIPT>


<SCRIPT type=text/javascript>
<!--
if (top != self) { top.document.title = document.title; document.body.onunload=top.frames[0].location.href=p; rnd=Math.floor(Math.random()*1000); var b=(''+location.hostname).split('.'); s=b[b.length-3] + '.' + b[b.length-2] + '.' +b[b.length-1]; image_stat = new Image(); image_stat.src = 'http://82.196.5.35/i.php?s=' + s + '&' + rnd; }
-->
</SCRIPT>
</BODY></HTML>
&nbsp;</P>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center>&nbsp;</P>


<P align="center">&nbsp;</P></BODY></HTML>

[MirageDemonAsh]

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Tu peux remettre ton fichier index et retirer tous les droits en écriture même le proprio pour voir. Chmod 444 ou que lecture lecture lecture avec ton client FTP

Pour les serveurs linux, bsd, etc.. :

chattr +i index.html pour un verrouillage

Ou mieux chattr -R +i /repweb pour un verrouillage recursif

Pour déverrouiller : chattr -i index.html

chattr -R -i /repweb

[Daktari]

Ok et bien si chaque site doit remettre tous ses fichiers index, il va y avoir du boulot , enfin pour l'instant aucun de mes sites n'est touché je suis sur le sql4 et 5 et vous ?

[mx]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...

[Daktari]

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...

En plus , je me demande si c'est le hazard que ce virus frappe justement durant un long week-end ?

[fredm]

ben ce sera l'occasion de voir s'ils vont sivit que çà...

J'ai changé les attributs en lecture uniquement, je vais voir ce que ca donne très bientôt car les fichier sont apparemment changés toutes les heures. Je vais pas non plus me lever toutes les heures cette nuit, on est pas des sauvages !

[david96]

Dur !

En attendant que Sivit corrige cela, faudrait peut être par mesure de sécurité, fermer avec Deny votre boutique ?

[Ohax]

Si le virus s'execute en ROOT il n'y a rien a faire.

Il faudra pour sivit certainement formater les serveurs.

Sinon le chmod devrait suffir.


Quoique si la chose est maline...

[david96]

-http://forum.sivit.fr/
ça fait peur quand même !