Site visité ?

[oliver70]

Bonjour,

Ce matin, j'ai eu la désagréable visite d'une personne sur mon site qui à changer ma page d'accueil par celle ci :



J'ai un forum, une galerie photo, un agenda et tous sont misent à jour. Que j'aille sur le forum, sur la galerie ou sur le site, j'avais toujours cette même page plus haut. Tous le site était présent chez mon hébergeur sauf les pages index qui ont été modifiées.

N'y connaissant rien, comment puis je trouver la source du problème afin d'éviter que cela recommence ?

Merci à vous

 

[UsagiYojimbo]

En étudiant tes logs serveur par exemple ?

 

[oliver70]

En étudiant tes logs serveur par exemple ?

bonjour UsagiYojimbo,

Je viens d'aller sur mon hébergeur (celeonet) pour voir où on trouve ce que tu me dis sans rien trouver.

Comment ce présente ces fameux logs (des fichiers ?)

merci de ton aide

olivier

 

[UsagiYojimbo]

Ne connaissant pas celeonet et les interfaces et données auxquels tu peux avoir accès, je ne pourrais malheureusement pas t'aiguiller plus en avant.

A priori certaines offres disposent, dans l'interface client de Celeonet, d'un onglet statistiques sur lequel tu peux peut-être avoir accès à ce genre d'infos.

 

[oliver70]

Rebonjour,

Après avoir remis mes fichiers, cela vient juste de recommencer. Toute les pages index avaient été remplacé par une autre (avec la photo du dessus).

Je viens juste de déposer un fichier htaccess sur le site en attendant mais là je ne sais pas quoi faire étant complètement débutant et impossible de trouver ses fichiers logs.

a +

 

[UsagiYojimbo]

Déjà change tes accès FTP (login et mot de passe).

 

[Maxide]

Comme tu l'as remarqué, ton site à simplement été cracké. Les premières choses à faire sont donc les suivantes :

Modifier les identifiants FTP
Modifier les identifiants Base de données
Mettre à jour tous les CMS que tu utilises (blog, forum, galerie photo etc...)
Vérifie le contenu de ton ftp, le chmod des fichiers/dossiers les plus importants.
Regarde aussi ce qu'a indexé Google, on a parfois la surprise de voir tout le contenu d'un dossier (exemple le plus connu est /FileZilla/), voire d'un fichier(Filezilla.xml), parfaitement lisible.

Après ça, remet l'intégralité de ton site en ligne.

Si ça recommence, la faille est ailleurs, il faut que tu contactes ton hébergeur pour leur en faire part.

 

[oliver70]

Bonjour Maxide,

Comme tu l'as remarqué, ton site à simplement été cracké.

Tu me rassure en utilisant le mot "simplement" :wink:

Donc j'ai fais ce que tu m'as dit pour les changements de mot de passe (SQL et FTP).

Mon forum et ma galerie photo sont à jour. J'ai simplement supprimer un livre d'or (au cas ou) car il avait quelques années et plus de mise à jour.

Je vais aller voir le contenu maintenant.

Petite question : étant donné que ce matin, je me rend compte du problème donc panique à bord, j'envoie une copie de mon site chez mon hébergeur. Là, tous fonctionne et 30 minutes après, rebelote.... cela veut dure que c'est un code malveillant automatique ou autres ?

merci à vous

olivier

 

[UsagiYojimbo]

cela veut dure que c'est un code malveillant automatique ou autres ?

C'est fort possible que le hacker t'ai laissé un petit souvenir. C'est pour ça qu'il vaut mieux tout enlever, nettoyer tout ce qui ne te semble pas clair, et tout renvoyer sur le serveur.

 

[oliver70]

Rebonjour,

Après avoir essayé de faire le ménage. Pour le moment, rien de nouveau mais depuis j'ai ce message d'erreur quand les personnes vont sur mon forum ? :

Erreur du serveur!
Le serveur a èté victime d'une erreur interne et n'a pas été capable de faire aboutir votre requête.

Message d'erreur:
Premature end of script headers: php4

Si vous pensez qu'il s'agit d'une erreur du serveur, veuillez contacter le gestionnaire du site.

Error 500

Cela vient de mes fichiers ou de Celeonet ?

J'ai aussi regardé si j'avais accé aux logs mais a moins de n'avoir pas trouvé, je pense que l'on ne peut pas chez Celeonet en mutualisé.

Je rajoute : je suis allé par hasard sur le site où un de leur membre m'avait "gentiment" :evil: pirater, j'ai traduit la page avec Google et je suis tombé sur un message dans une partie du forum qu'ils nomment "exploit...etc" et je suis tombé sur un message (le titre du message) qui indiquait une faille trouver dans un livre d'or. Comme j'ai effacé mon livre d'or (qui n'était plus mise à jour car il n'existe plus), je pense que le problème venait de là.

Olivier

 

[cr500]

la sécurité web ce n'est pas forcement changer les mdp ou les logins toutes les semaines,

l'attaque décrite ressemble a une faille vulgerement appelé upload,
le but est d'uploader une page a la racine (grace a un partage de photo par exemple heumm)
si le fichier uploader est a la racine et se nomme index.html le site est defacé