Discussion :

[Page35]

Bonjour à tous,
J'ai effectué une maj des fichiers à la racine de mon site et maintenant les pages hackées sont propres.
Il subsiste entre autre le message d'erreur suivant qui apparait après un enregistrement PhpMyAdmin du manager Ovh:

Notice in ./libraries/insert_edit.lib.php#1924
Undefined index: submit_type
Backtrace
./tbl_replace.php#325: PMA_executeSqlQuery(
array,
array,
)

Pourriez vous m'indiquer quelle est la procedure à suivre pour nettoyer mon site.
Par avance merci de votre aide.

[rawsrc]

Salut,

Il faudrait quand même être plus loquace.
Environnement de production, cms, version mysql...
Bref filer un peu plus d'infos parce que te dire juste de recréer les index sur toutes les tables me parait léger.

[Page35]

Hello,
Merci de ton aide rawsrc. C'est avec grand plaisir que je peux être plus loquace.....mais je n'ai pas la ligne de conduite à suivre. Il s'agit d'un site (agence immobiliere) que j'ai créé de AàZ sur DreamWeaver et que j'héberge chez OVH. Le Back-office basé sur des questionnaires permet la Maj des pages/textes/et photos.
Le serveur OVH: Serveur: mysql51-87.bdbBase de données: xxxmaisonxxxxxxxxTable: mh_datas_site.
Historique de la panne: page accueil supprimée et remplacée par Black_Space Hacked, maj des photos impossible à cause fichiers corrompus dans ftp://xxxmaison@ftp.xxx-immo.com/www...ySource/server. La base de données fonctionne maintenant mais avec le message de défaut cité plus haut.
Pas de problème pour te donner plus d'infos, selon mes possibilités. Merci pour ta patience.
à+.
Gérard

[rawsrc]

Ok, merci.

As-tu trouvé la porte d'entrée utilisée par l'attaquant ? Si oui, l'as-tu fermée ?
N'oublie pas de comparer les signatures des fichiers en ligne avec la dernière version qui était en production avant l'attaque, ceci devrait faciliter la détection d'ajout de lignes de code moisi sans éveiller l'attention. J'ai eu a nettoyer un site wordpress et les pingouins avaient glissé du code foireux dans des fichiers anodins genre juste une ligne...
Vérifie bien que le trou n'est pas présent dans d'autres scripts.
Vérifie très scrupuleusement les fichiers javascript et css surtout les valeurs du type url(...).

Combien de temps avant la découverte du piratage ?

Il faudrait aussi poster le code de insert_edit.lib.php autour de la ligne 1924

[Page35]

L'attaquant avait totalement remplacé la page "index" à la racine du site. J'ai supprimé cette page et réintégré ma sauvegarde.
L'autre intrusion était dans JquerrySource utilisé dans le BackOffice pour la Maj des images.
Voila l'état d'avancement aujourd'hui.
Merci encore.

[Page35]

Pourrais-tu me dire comment retrouver le code Sql de "insert_edit.lib.php autour de la ligne 1924" étant donné que je suis sur un serveur mutualisé Ovh et pas certain d'avoir les droits d"édition.