Mon site est redirigé vers une autre url

[Apou]

Bonjour,
Mon site semble victime d'une attaque. Je ne comprends pas. Voilà les symptômes :

Il redirige mon site vers un site porno. Sur certains navigateurs (il aime bien les ipads mais ça peut être internet explorer aussi, voire mozilla) et jamais deux fois de suite. Je veux dire qu'il le fait une fois et après on est tranquille pour... 24 heures peut-être un truc comme ça, ça dépend des ordis/ip...
Mon htaccess a été fait via crawlprotect.
J'ai viré tous les javascript sauf google analytics et adsense.
Aucune image n'est hébergée sur un autre site que le mien.

Help !!!

 

[zeb]

htaccess ou frontal vérolé

 

[Apou]

qu'entends tu par frontal ?

 

[Apou]

tu veux parler d'un utilisateur lançant une requête ?
j'ai viré les commentaires, la base de donnée est vide !!!
pas possible !

 

[zeb]

beaucoup de site on un script dit "frontal" qui gère toutes les requêtes c'est souvent là que tu peux gérer des redirections discrètes sous conditions.

 

[Apou]

ce script (javascript ?) tu le trouves où ?
A la racine du site ou il peut être dans un dossier quelconque ?

 

[B-vibes]

essaie ça ou adapte
http://forum.ovh.com/showpost.php?p=104517
tu verras ce qui a pu se passer assez rapidement
je ne sais pas si ça peut t'aider moi ça m'a souvent aidé

 

[Apou]

Merci mais mon site n'est pas un cms. il est construit simplement. C'est du php mais limite il fonctionne comme un site vitrine maintenant.
Aucun fichier n'a changé, j'en suis quasi sûr...

J'ai juste un fichier dont je ne suis pas certain à 100%.
Voyez-vous une faille ?

<?php
$url = ($_POST['url']) ? $_POST['url'] : $_GET['url'];
$headers = ($_POST['headers']) ? $_POST['headers'] : $_GET['headers'];
$mimeType =($_POST['mimeType']) ? $_POST['mimeType'] : $_GET['mimeType'];

$session = curl_init($url);

// If it's a POST, put the POST data in the body
if ($_POST['url']) {
        $postvars = '';
        while ($element = current($_POST)) {
                $postvars .= key($_POST).'='.$element.'&';
                next($_POST);
        }
        curl_setopt ($session, CURLOPT_POST, true);
        curl_setopt ($session, CURLOPT_POSTFIELDS, $postvars);
}

// Don't return HTTP headers. Do return the contents of the call
curl_setopt($session, CURLOPT_HEADER, ($headers == "true") ? true : false);

curl_setopt($session, CURLOPT_FOLLOWLOCATION, true); 
//curl_setopt($ch, CURLOPT_TIMEOUT, 4); 
curl_setopt($session, CURLOPT_RETURNTRANSFER, true);

// Make the call
$response = curl_exec($session);

if ($mimeType != "")
{
        // The web service returns XML. Set the Content-Type appropriately
        header("Content-Type: ".$mimeType);
}

echo $response;

curl_close($session);

?>

Merci

 

[B-vibes]

bah cms ou pas tu aurais pu voir ce qui a été modifié quand même
ps mets dans des balises code ton code, pour la lisibilité

 

[Apou]

c'est fait

 

[UsagiYojimbo]

Si tu as un backup sain, tu récupère tous les fichiers en ligne en local et tu fais un diff entre les deux versions, via un soft comme Winmerge par exemple.

 

[zeb]

ce script (javascript ?) tu le trouves où ?

Tu parle d'une redirection donc a mon avis c'est côté serveur donc c'est du php pas du javascript le problème.
Si tant est que ce soit un problème javascript (j'en doute) désactive le et fait un test.

Sinon as tu une url qu'on voie comment ça se comporte ?

Passer ton PC a l'antivirus (si possible a jour et pas un truc de charlot)
Après le truc a faire si intrusion il y a c'est changer tous les mots de passe de l'hébergement (manager, ftp, sql etc ...)
Réuploader un backup propre.

 

[Apou]

je l'ai déjà fait, mais je vais sans doute m'y remettre ce week end :evil:

je t'ai envoyé mon url en mp, zeb

 

[Archaos-JdR]

Il n'y a aucun contrôle sur les variables. Peut-être faudrait-il en ajouter.

 

[longo600]

es-tu sur que ce soit côté serveur et non pas un virus du côté de ton navigateur ? il faudrait avoir testé sur +sieurs navigateurs et machines ... je crois qu'il y a pas mal de virus côté navigateurs en ce moment.