Discussion :

[heretik25]

Bonjour,

Suite à une alerte de mon antivirus, je me suis rendu compte que ma page index.php était corrompue.

En téléchargeant et en l'analysant, je n'ai pas eu de difficulté à trouver - à ma grande surprise - un code php après l'inclusion de mon footer.

• J'ai supprimé ce code et renvoyé la page.
• J'ai modifié le mot de passe d'accès à mon compte FTP
• J'ai modifié le mot de passe de ma base de données
• J'ai modifié le mot de passe d'accès à mon compte hebergeur

La question qui me taraude l'esprit est comment ?

Comment car c'est en comprenant ce comment que je ne ferai plus avoir par cette injection de code malveillant. J'ai trouvé des personnes qui ont eu le même code d'injecté sur des CMS...

Après quelques recherches, il semblerait que Filezilla aurait une faille dans le stockage de la connexion FTP. Le fichier stockant ces informations laissant le tout en clair.

Est-ce que cela pourrait-être la cause du problème ?

Autre possibilité : avoir accès à mon compte hebergeur ?

Si vous avez d'autres propositions, je suis très intéressé !

Merci beaucoup pour votre aide.

[redoran]

Salam ; si vous avez un formulaire d'identification , est ce que vous avez bien protégé vos champs ,?
est ce que vous avez bien protégé vos fichier d'administration avec .htaccess?

[heretik25]

Bonjour,

Le formulaire d'authentification est géré par un forum qui se nomme FSB2 et je pense qu'il est très secure.

L'administration est protégée par une SESSION qui détecte si l'utilisateur et connecté et si il est administrateur. Il n'y a que moi qui peut avoir accès à cette partie.

Est-ce que poster le code malveillant aiderait en quoi que ce soit ?

[redoran]

Re , je ne suis pas expert dans la sécurité mais comment le code php a pus arrivé au niveau du serveur (exécuté) certainement y'a une faille.
les formulaire sont souvent des portes d'entrées plus les fichiers non protégés.
donc je pense qu'il faut revoir pas a pas la sécurité de votre site.

[heretik25]

Ce pourrait-être tout simplement un accès à mon FTP et/ou un accès à mon compte admin hebergeur et donc un accès au téléchargeant/modifications de mes fichiers sources.

Mais je vais effectivement, regarder vers une réflexion sur la sécurisation de mon site.

Je doit partir, nous pourrons reprendre la discussion ce soir.

Merci pour votre aide.

[heretik25]

De retour pour dialoguer sur mon souci.

Merci de me dire comment faire pour trouver la ou les failles qui permettent d'injecter du code php dans mes fichiers sources.

[spoutbe]

Il y a de grandes chances que ce soit un trojan sur le PC qui pique les identifiants FTP de Filezilla.
-http://forum.webrankinfo.com/filezilla-est-cancer-dans-securite-vos-sites-internet-danger-t132686.html

[heretik25]

Bonjour,

Effectivement, j'utilise la connexion automatique sur plusieurs postes et je vais vérifier chaque pc.

Dorénavant, je n'utiliserai plus la sauvegarde des mots de passes sur filezilla

C'est tout de même incroyable que filezilla, un logiciel de renommé mondiale ne sécurise pas la gestion des mots de passes !


Mais je continue à creuser. Existe t-il d'autres solutions pour injecter du code php (autre que celui d'avoir accès au FTP).

Merci !

[heretik25]

Je viens d'analyser les logs de mon compte FTP.

Une IP tracée aux Etats-Unis a accédé tranquillement sur mon compte FTP sans faire plus de dégâts que d'ajouter sur deux fichiers index.php ce code malveillant.

C'est donc bien une modification par Filezilla suite à une récupération du compte par un trojan.

Il y a des personnes qui n'ont que ça à faire j'imagine...

Sujet clos merci !