Mon site est redirigé vers des sites publicitaires... !?!

[Sirius13]

Bonjour,

Cela fait à peu près 5 ans que je gère un site d'annonces marines: Puces-nautiques.net

Depuis 1 semaine, lorsqu'on se connecte au site, les visiteurs sont automatiquement redirigé vers des sites comme turkescortlar.net ou filmkalesi.net.

La redirection est du type "parent", donc mon site disparait pour laisser aparaitre d'autre sites.

Je ne sais pas pourquoi, je n'ai fait aucune modification à ce site depuis plus d'un an. Es-ce du hacking? ou un problème de DNS chez OVH?

J'aimera bien savoir à quel moment et quel script vire mon site. J'ai l'impression que c'est dans le footer, car la page se charge au complet avant de disparaitre... Y a t-il un outil qui permet de savoir ce qui se passe sur la page index.php progressivement? Pour savoir à quel moment l'autre site est lancé?

Avez-vous déja eu ce genre de problème?

Merci de me laisser vos avis....

 

[finstreet]

Un joli hack :

<meta http-equiv="Refresh" content="0; url=http://www.filmkalesi.net/">

tout en haut de ta page bien sur

 

[Sirius13]

Un grand merci!

Mais comment arrivent-ils à faire ça???

 

[UsagiYojimbo]

Sans doute une faille quelque part. Tu n'utiliserais pas Filezilla par hasard ? Tu as jeté un oeil à tes logs pour voir quand et par qui ce fichier a été modifié, et ce qui a précédé cette modification.

 

[Zecat]

Une solution que tu peux mettre en place pour parer a ce genre de truc (et aussi a l insertion de script type cheval de troie qui se font souvent a fin de spage de type index ...) :

1 - tu mets une copie saine de ta page index quelque part (ne la nomme pas index-quelquechose mais plutot mongoodind par exemple.... que ta copie saine ne soit pas verolée aussi !)
2 - tu fais un script qui compare regulièrement (*) la taille de ta page saine et la taille de ta page index
3 - Si différente, tu stockes la page verolée dans un coin pour analyse ultérieure et tu ecrases immediatement avec la page saine
4 - Tu t'envoies un petit mail pour te signaler l'attaque

(*) Pas besoin de cron ... il te suffit de faire faire le taf aux autres pages que l'index ... comme cela chaque visite declenche une verif ...

L'intéret est triple :

1 - tu es prevenu uimmediatement en temps réel
2 - ca ne laisse pas le temps a la verole d'etre vue par les bots et donc pas la redoutable mention "site dangereux" dans les pages de recherche
3 - tu peux ensuite analyser a tete reposée ou se trouve la faille

 

[Sirius13]

J'ai supprimé la balise "refresh" Lundi, et voilà qu'aujourd'hui Vendredi j'ai été à nouveau piraté sur cette même balise !

Zecat : J'ai lu ta technique, mais je me sent pas de recevoir des mails à chaques piratages, je veux juste stopper ce hack.

En cherchant un peu sur le net, il parrait que c'est une attaque de sql.
Je n'ai pas trouvé de solution, j'ai essayé de protéger en écriture le fichier header.tpl via les droit d'accès (555). Mais ça semble pas marcher....