Piratage de mon site, intrusion c99shell

[Cam88]

Bonsoir,

Depuis quelques jours mon site était mis en mode "Hacké" par OVH, car :

Vos scripts consomment trop de CPU et surchargent nos serveurs

Je sais que j'ai un script qui n'est pas légé, donc je suis parti à la recherche de quelques optimisation (mise à jour, j'ai enlever des mods trop gourmand).

Mais là je suis allé sur les statistiques d'ovh et je vois aujourd'hui qu'on est allé plusieurs fois sur :
/nadhir.php

Késako ? Hien ?
Je suis allé sur ce fichier et ça ma donné (quelque chose comme ça, je ne donne volontairement pas mon screen) :

Header :

Footer :


Je tappe dans google ce qui est écrit dans le footer : c99shell

Exemple de contenu (pris sur Google) :




Personnellement, je n'y connais rien à la sécurisation des sites, je travail quasiment que avec Wordpress, 4images.

J'ai supprimer le fichier nadhir et un fichier include_ads

Que dois-je faire maintenant ?

J'avais envie d'appeler OVH pour qu'ils m'aident, mais bon un n° surtaxé non merci.

Pouvez-vous m'aider ?

Je ne pensais pas que mon pti' site pouvait se faire emmerder par des c*nnards comme ça.

Merci mille fois à ce qui pourrait m'aider/me conseillé

Edit de la nuit :

Sur google avec "c99shell ovh" on retrouve souvent que l'intrusion viens d'un script non mis à jour, souvent phpbb, j'ai phpbb v2 qui est visible et phpbb3 en préparation, j'ai fais ça :

- Tous les fichiers ont les droits 404
- Tous les dossiers ont les droits 505.

sur les deux dossiers ( des scripts phpbb2 et phpbb3)


Edit de la nuit (2):
- j'ai mis à jours les sous-domaine géré par Wordpress
- idem pour phpbb3
- idem pour les autres scripts

[vitalizo]

pour ovh ca t'aide pas ca ?
http://nonsurtaxe.com/coordonnees-numero-de-telephone-non-surtaxe-de-O ... cident.php

Quasimment tous ont des équivalent gratuits de numero surtaxés (j'apelle priceminister, sfr, orange) comme si j'appelais un 08

[Cam88]

Désolé, je ne connaissais pas, je téléphonerai demain matin

[forty]

tu as plusieurs choses a faire : supprimer tout ce qui a pu être ajouté sur ton site puis d'ajouter dans ton fichier .htaccess :

Code: Tout sélectionner

SetEnv REGISTER_GLOBALS 0
SetEnv ALLOW_URL_FOPEN 1
SetEnv ALLOW_URL_INCLUDE 0
SetEnv MAGIC_QUOTES 0

ca va déjà éviter la plupart des problèmes. Le plus dur c'est de supprimer tout ce qui a pu être installé par des hackers. Il faut aussi mettre à jour les scripts dont le code est public style wordpress, phpbb et autre plugins.

[Cam88]

tu as plusieurs choses a faire : supprimer tout ce qui a pu être ajouté sur ton site puis d'ajouter dans ton fichier .htaccess :

Code: Tout sélectionner

SetEnv REGISTER_GLOBALS 0
SetEnv ALLOW_URL_FOPEN 1
SetEnv ALLOW_URL_INCLUDE 0
SetEnv MAGIC_QUOTES 0

ca va déjà éviter la plupart des problèmes. Le plus dur c'est de supprimer tout ce qui a pu être installé par des hackers. Il faut aussi mettre à jour les scripts dont le code est public style wordpress, phpbb et autre plugins.

Je viens de finir par vérifier que tous les scripts étaient bien à jour (j'ai mis à jours 3 scripts et supprimer un autre).

J'ai changer les mots de passes ftp, sql

forty à quoi va servir ces codes dans htaccess ?
Merci

[forty]

le plus important c'est REGISTER_GLOBALS qui permet d'enregistrer des variables POST et GET en global. Conjugué à ALLOW_URL_INCLUDE ca permet d'inclure des programmes externes avec des scripts contenant une faille. Avec ces deux paramètres activés un hacker peut exécuter n'importe quel code sur ton serveur et donc installer des scripts, envoyer des mails, ...
Un petit passage par la doc apache te permettra d'en savoir plus.

[Cam88]

Merci, j'ai rajouté ce bout de code

Pour le moment ça va, je vais voir sur le long terme, je vous tiens au courant !
Merci encore