Discussion :

[teraDev]

Bonjour à tous,

En cherchant mon site dans un moteur de recherche, je me suis aperçu dans la description que mon site avait été piraté.

A l'affichage de la page, tout parait normal, mais lorsqu'on affiche la source, juste après la balise body, du code html dans une div positionnée à l'extérieur de la page, contient tout une page html sur différents produits de viagra,...
La page sur mon disque local comme chez mon hébergeur ne présente aucun symptôme. Il semblerait que lors de la requête d'affichage de la page, après le retour de l'hébergeur, le code de la page soit intercepté, modifié puis transféré au client.

Quelqu'un a-t-il une idée de ce qu'il se passe et comment résoudre ce problème ?

Merci de vos réponses rapides.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Code frauduleux après la balise body :
<body bgcolor="#000000" topmargin="3" leftmargin="0"><div style="position:absolute;left:-69982px;top:-56983px"><!--96697656--

><h1>LIPITOR DRUG SIDE EFFECTS</h1>....

[Sayrus]

Tu n'aurais pas une faille XSS sur ton site?

[teraDev]

ça en a tout l'air oui !
Je connais pas trop ce truc de XSS, mais je vais étudier ça de plus près.

Si tu as des pistes pour me guider dans ma recherche, ça serait super cool !

Merci.

[Sayrus]

Regarde si tu as sur ton site des choses comme des formulaires, un système de commentaire, forum, livre d'or etc... Enfin, tout ce qui te permet de soumettre des infos via formulaire...

C'est ça qu'il faut analyser

[teraDev]

ça doit être dans les pages qui contiennent le code malicieux ou ça peut être n'importe où dans le site ?

Dans les pages contenant du code malicieux, y'a pas vraiment de formulaire. L'utilisateur ne saisie rien.

Si tu veux voir la page, c'est http://www.mamamia.com.mx
Le problème se situe juste après la balise body.

Merci.

[Sayrus]

Il y a un programme payant mais qui offre en version d'essai gratuitement le test des failles XSS. Recherche acunetix dans google. Ca marche très bien

[FoxLeRenard]

Ce serait du genre HTACCESS
Hors si vos htaccess sont non protégés en écriture c'est facile !!
rewriting d'url

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Options +FollowSymlinks
RewriteEngine on
RewriteRule ^voir-([0-9]*)\.html$  ../forumfox_voir_sujet.php?suj=$1 [L]

Voir http://www.webrankinfo.com/analyses/...-rewriting.php

[teraDev]

Salut,

Sayrus : merci pour ta recommandation du soft acunetix. Cela n'a pas résolu mon probleme, mais il m'a permis de voir que j'avais 3 failles XSS dans une des pages de mon site. Au passage, Acunetix est gratuit pour la detection de failles XSS; payant pour le reste.

FoxLeRenard : mon .htaccess est protegé en écriture et je viens d'en vérifier son contenu : pas de trace d'URL Rewriting.

Je cherche toujours d'autres failles possibles.

Merci en tout cas pour votre participation.

[teraDev]

Après pas mal de recherche, je peux maintenant confirmer que je suis DESESPERE !!!

J'ai recherché du côté des .htaccess .... rien.
J'ai cherché dans les failles XSS non permanente et permanente ... rien.
J'ai cherché dans les failles include(), mail(), .... rien.

Dans mon site, j'ai des pages principales (index et 7 autres pages) toutes infectées par des intrusions de pages HTML cachées. J'ai aussi des pages privées protégées par mots de passe qui elle ne sont pas infectées.
Parmis toutes ces pages, 1 seule permet de la saisie utilisateur pour l'inscription à la newsletter (Pseudo + email). Ces 2 champs sont protégés par des htmlentities

Le contenu des pages provient d'une base de données.

Si je duplique la page index en index2, la nouvelle page index2 est propre et ne contient pas le HTML caché.
Le code n'est donc pas inscrit dans la base.
Le code de mes pages sur le serveur d'hébergement est strictement identique à celui de mes pages en local qui ne sont pas infectées.

Avez vous d'autres idées ???

[Sayrus]

Regarde si l'attaque ne vient pas du serveur, ou d'un autre site (si mutualisé), change tous tes mots de passe, refait un tour page par page...

Je ne vois pas d'autre solution... (regarde aussi si le phénomène s'effectue ailleurs que depuis ta machine... on sait jamais que ce soit ta machine qui soit infectée...)

[FoxLeRenard]

Regarde si l'attaque ne vient pas du serveur, ou d'un autre site (si mutualisé), change tous tes mots de passe, refait un tour page par page...

Je ne vois pas d'autre solution... (regarde aussi si le phénomène s'effectue ailleurs que depuis ta machine... on sait jamais que ce soit ta machine qui soit infectée...)

Je suis bien d'accord avec toi, du reste il semblerait que l'on puisse facilement contourner son PHP ici je n'ais pas écris une seule ligne de son Index.PHP, mais jele lis, et en élimine ce que je veux !! ça laisse a réfléchir sur la soliditée de son serveur !!

url enlevee


Je réédites pour mentionner le message que vous auriez du avoir ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5

Warning: file(http://www.mamamia.com.mx/index.php) [function.file]: 
failed to open stream: Connection refused in 
/var/www/Domaines/fox-infographie.com/0jpfic2.php on line 7

[teraDev]

Pour ce qui est du test avec d'autres machines, j'y avais pensé aussi dès le début et j'ai bien vérifié que le problème apparaît sur les autres machines. Donc ça ne vient pas d'une infection au niveau de ma machine.

Je teste de changer tous les mots de passe sur le serveur. Le problème c'est que vu que le code de mes pages sur le serveur n'est pas modifié, je ne comprend pas comment un intrus pourrais modifier le code sans que ça se voit sur le serveur.

Je vous tiens au courant de la suite des évènements...

[FoxLeRenard]

Pour ce qui est du test avec d'autres machines, j'y avais pensé aussi dès le début et j'ai bien vérifié que le problème apparaît sur les autres machines. Donc ça ne vient pas d'une infection au niveau de ma machine.
Je teste de changer tous les mots de passe sur le serveur. Le problème c'est que vu que le code de mes pages sur le serveur n'est pas modifié, je ne comprend pas comment un intrus pourrais modifier le code sans que ça se voit sur le serveur.
Je vous tiens au courant de la suite des évènements...

Tu te trompes, c' est bien dans tes PHP que se trouve ce code, du reste ce n' est pas exactement le même dans les autres pages.

Pourquoi ne l'as tu pas retiré ? et puis tu vois que ton serveur est mal paramétré, je ne devrais en aucun cas ourvoir faire un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4

$QUOI="http://www.mamamia.com.mx/index.php";
$TabX=file($QUOI);

depuis mon site !!!

[teraDev]

Tu te trompes, c' est bien dans tes PHP que se trouve ce code, du reste ce n' est pas exactement le même dans les autres pages.

Pourquoi ne l'as tu pas retiré ?

J'ai beau ouvrir mes fichiers PHP directement sur le serveur, avec l'éditeur de l'hébergeur, je ne vois aucune intrusion dans le code. Tout semble correct. Je compare mes fichiers locaux avec les distants.... aucune différence.

et puis tu vois que ton serveur est mal paramétré, je ne devrais en aucun cas pouvoir faire un

Code :

$QUOI="http://www.mamamia.com.mx/index.php";
$TabX=file($QUOI);

depuis mon site !!!

Je ne vois pas bien en quoi c'est dangereux ça ! Tu ne fais que récupérer dans un tableau le résultat de ma page php... en gros en faisant afficher la source de ma page, tu as la même chose. Et il n'y a rien de bien dangeureux dans ça.

Si tu peux m'expliquer pourquoi c'est dangereux, pourrais-tu me dire aussi comment dois-je paramétrer mon serveur pour corriger cela ?

[FoxLeRenard]

J'ai beau ouvrir mes fichiers PHP directement sur le serveur, avec l'éditeur de l'hébergeur, je ne vois aucune intrusion dans le code. Tout semble correct. Je compare mes fichiers locaux avec les distants.... aucune différence.

Justement alors pourais tu nous afficher ton PHP ?
Et puis as tu fait un test sans les modules Google ?

Je ne vois pas bien en quoi c'est dangereux ça ! Tu ne fais que récupérer dans un tableau le résultat de ma page php... en gros en faisant afficher la source de ma page, tu as la même chose. Et il n'y a rien de bien dangeureux dans ça.
Si tu peux m'expliquer pourquoi c'est dangereux, pourrais-tu me dire aussi comment dois-je paramétrer mon serveur pour corriger cela ?

Essais de faire ça et tu verras sur fox-infographie.com que la porte est fermée !! mais a toi de voir

[teraDev]

J'ai essayé en enlevant les modules Google.... toujours rien.

Cependant, j'avance petit à petit sur mon problème.

Le contenu de ma page (texte) est stocké dans une base de données MySQL. Lorsque je coupe la connexion à la base, la page sort des erreurs, mais les intrusions de codes disparaissent.

J'ai donc refait ce que j'avais déjà fait : exporter ma base pour chercher du code éventuel dans mes valeurs, mais rien.... ma base n'est pas très grande, donc j'ai pu examiner les valeurs une par une. Mais je n'ai rien trouvé.

De plus, comme je l'avais déjà mentionné et qui m'avait détourné de cette éventualité, j'ai dupliqué le fichier index.php en index2.php sans rien modifier, et là, dans le index2, pas de code malicieux.

Si ça ne m'énervait pas autant, je féliciterais presque les hackers pour leur réussite !

Qu'en pensez-vous ?

[edit] Je viens aussi d'essayer d'écrire les résultats de mes select de ma page dans un fichier texte : pas de trace de code malicieux !

[teraDev]

Les dernières nouvelles de mes aventures !

1 bonne et 1 mauvaise nouvelle :
La bonne : j'ai réussi à virer le code malicieux !
La mauvaise : je n'ai pas vraiment compris comment !

Comme je l'ai dit plus haut, il y a quelques heures, en desactivant l'include du fichier qui recolte les infos de la BDD, le problème disparaissait. Mais en cherchant de ce côté là, un peu plus tard, le problème est apparu plus bas dans un autre include d'un autre fichier.
Mes includes ne prennent pas de variable en paramètre, mais directement en chaîne de caractère le chemin des fichiers à inclure.
Mes includes était au format

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include ('fichier.php');

que j'ai remplacé par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include ('./fichier.php');

ce qui revient au même.

Ca a l'air de fonctionner maintenant, mais pour combien de temps...

Si vous avez une idée d'explication, je suis prenneur !!

J'attends demain pour voir si ça a vraiment disparu ou si c'est provisoire....

[Sayrus]

Perso, je ne vois pas vraiment ce qui clocherait dans tes includes... (si le chemin est codé en dur, y a pas de souci. Cependant, si tu es sous linux, vérifie bien les permissions sur tes fichiers...

[teraDev]

Mes includes sont codés en dur.
Mon serveur web est sous linux et mes fichiers ont des permissions 644, ce qui me semble correct.

Sans doute la combination de plusieurs tests (changement des password + modification de certains elements du code meme s'il n'ont rien à voir + remise à jours des fichier du site ...) a resolu le problème.

En tout cas merci a tout les deux Sayrus et FoxLeRenard pour vos conseils bien utiles !

[teraDev]

Après 2 mois de répit, me revoilà face au même problème !

Si je change le nom de ma page index en index_.php, le code malicieux disparait !
Étrange, non ??

C'est donc que le code de ma page ne semble pas en cause...
Par ailleurs, j'ai 3 include dans ma page : 2 en début, 2 en fin de page.
Lorsque je met en commentaire les deux premiers, le code disparaît. Avec le dernier, ça ne change rien.
Cela pourrait donc venir des pages que j'inclus, mais elle semble tout à fait correcte. J'ai refait des tests de vulnerabilité avec Acunetix, il dit que c'est tout bon !

Je vais chercher, je vous donne plus d'info plus tard.

Si vous avez de nouvelles idées, je suis preneur !