Hacking récriture des pages avec des iframes

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Suggestion] Hacking récriture des pages avec des iframes

    Dernièrement j'ai eu droit à du hacking sur mes sites, en gros un petit malin à réussie à insérer une redirection par iframe.
    Il semble qu'il repère les balises body et y insére le code suivant

    [EDIT MOD (infograf768)] Une fois pour toute: merci de ne pas afficher des hacks sur nos forums. Inutile de donner des idées à d'eventuels imbéciles ni de faire de la pub aux crackers]

    Bien sur il affiche de façon aléatoire les différentes ligne dans le body

    J'espère que cela vous aiderez à effacer le tout par un trouver et remplacer et surtout changer les droits sur les fichiers et dossier.
    Une fois vos sites en production faire un chmod 555 sur tout les fichiers et uniquement 777 pour les répertoires d'upload d'images ou de fichiers.
    Dernière édition par infograf768 à 29/08/2009, 07h16
    Ne pas faire demain ce que tu peux faire aujourd'hui !!!
    www.imars.fr

    Webdesigner - Graphiste - Développeur

  • #2
    Conseiller du CHMOD 777 en général est une mauvaise idée.
    Jean-Marie Simonet / infograf768
    Joomla co-fondateur. Joomla Production Working Group.
    Sauf demande explicite de ma part, merci de ne pas utiliser de Message Privé pour poser des questions. Le forum est là pour ça.

    Commentaire


    • #3
      Bonjour,
      tous tes fichiers index sont atteints ? Fais une recherche sur ce forum avec iframe et tu te sentiras moins seul. Tu devrais aussi trouver la cause la plus probable et la façon de traiter. En gros : il se pourrait bien que tu aies une saloperie sur ton poste de travail qui exploite tes comptes FTP...
      Schtroumpfe toi le Schtroumpf t'aidera.
      Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

      Commentaire


      • #4
        hacké

        Bonjour
        joomla s'était vraiment le paradis juqu'à ce que je sois victime d'un hack...

        Injection par iframe >> Je n'ai toujours pas trouvé la solution

        J'ai fait les recommandations de bases, nettoyage du pc,changement de mes codes bdd, etc

        Si vous avez une solution simple et efficace

        Cordialement
        Cordialement spekulos

        Commentaire


        • #5
          C'est sur quand regardant dans le frum on se sent moin seul mais bon
          Cordialement spekulos

          Commentaire


          • #6
            Bonjour,
            changement de mes codes bdd, etc
            changement des comptes bdd = aucun impact sur ce qui nous intéresse ici. Etc : utilisation d'une machine "sûre", changement des comptes/mots de passe FTP, abandon de Filezilla ?
            Si tu es certain que ton PC est "propre", éteins-le, et depuis un autre poste ("sûr") modifie tes comptes FTP et nettoie les index. Si ça revient, tu auras la confirmation qu'il n'y est pour rien. Si ça ne revient pas...
            Schtroumpfe toi le Schtroumpf t'aidera.
            Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

            Commentaire


            • #7
              Haking

              Salut grand schtroumpf , héros de mon enfance vient me sauver...

              Je suis sous mac et pc. Apparement c'est du haking iframe.....mais je ne trouve rien.

              J'utilise filezilla et cyberduck

              J'ai nettoyer mes ordis, mais non ça revient

              Je suis héberger chez ovh...j'ai fait une installe manuel etautomatique mais non c'est rédibitoire.

              Je préférerai passer mon temps à autre choses
              Cordialement spekulos

              Commentaire


              • #8
                Re bjr
                Est ce que SetEnv REGISTER_GLOBALS peut un probléme de sécurité?

                Autre chose ?
                Sur mon serveur A LA BASE
                J'ai les dossiers suivants :
                lisez-moi,copying,www,cgi-bin ..

                Ils en manque pas un..??:;

                Cordialement
                Cordialement spekulos

                Commentaire


                • #9
                  Re,
                  héros de mon enfance vient me sauver...
                  volontier, mais commence par répondre à la question. Est-ce que tu as fait ça :
                  Etc : utilisation d'une machine "sûre", changement des comptes/mots de passe FTP, abandon de Filezilla ?
                  et par faire le test que j'ai demandé :
                  Si tu es certain que ton PC est "propre", éteins-le, et depuis un autre poste ("sûr") modifie tes comptes FTP et nettoie les index. Si ça revient, tu auras la confirmation qu'il n'y est pour rien. Si ça ne revient pas...
                  (une machine sure, c'est *ailleurs* : chez un pote etc...)
                  Schtroumpfe toi le Schtroumpf t'aidera.
                  Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                  Commentaire


                  • #10
                    abandon de Filezilla ? pas encore.. il faut utiliser quel type de ftp serveur à part filezilla , je connais pas...

                    Des potes j'en ai pas en magasin en ce moment ils sont loin,loin de chez moi???


                    Je vais tout de même écouter tes conseilles de vieux sage
                    Cordialement spekulos

                    Commentaire


                    • #11
                      @Grand Schtroump

                      D'aprés toi il y une chance sur combien que ce soit mon ordi ?

                      1sur 2 ou 1 sur 1
                      Cordialement spekulos

                      Commentaire


                      • #12
                        Re,
                        je crois que avant que je donne un jour du 1/1 sur un diagnostic en cours, je serai vieux. Comment ça je suis déjà vieux ?

                        Bon tu n'as pas trop détaillé les symptômes alors je te donne ceux que je connais :
                        > modification de tous les fichiers index dans les 3 premiers niveaux de l'arborescence des dossiers
                        > insertion d'un bout de javascript plus ou moins tordu qui se ramène à un iframe
                        > l'instertion concerne la totalité d'un site ou au moins une suite contigue de dossiers d'un site et finit tôt ou tard par atteindre tous les sites gérés depuis le poste de travail.
                        > après nettoyage ça revient dans les 24h comme une fleur
                        > se moque totalement de la protection par chmod des fichiers

                        C'est ce dernier point qui amène à penser que la bête utilise les comptes FTP...

                        Circonstances : utilisation de Filezilla avec mot de passe stockés, sans qu'on soit sur pour ce dernier point que ce soit ce qu'utilise la bête (plutôt que les sniffer à la volée). On n'a pas non plus établi la corélation inverse càd que seuls les sites ayant été mis à jours récemment sont attaqués... Par contre Filezilla est un point commun. Mais c'est peut-être seulement parce que c'est le client FTP le plus répendu chez les webmasters mal protégés...

                        Donc si tu as ces symptômes, je donnerais du 0,95/1 pour mon diagnostic.

                        Le remède :
                        1. virer Filezilla
                        2. Sur une machine sûre modifier tous les comptes FTP, nettoyer le(s) site(s). Fais une recherche sur le forum, quelqu'un a parlé récemment d'un "antivirus" serveur qui détecte les fichiers corrompus, ça peut aider.
                        3. Nettoyer la machine : Hijackthis + publication pour avis du résultat sur un forum spécialisé et/ou Malwarebytes.
                        4. Installer un autreclient FTP (cuteFTP, SCP...) et ne plus mémoriser les mots de passe.

                        Je ne sais pas dire ce qui là dedans est utile (enfin 2 et 3 pas trop de doute) et ce qui relève du domaine de la pure parano. Mais ça a marché pour le cas que j'ai traité personnellement et pour pas mal de cas par ici. Et dans le doute...
                        Schtroumpfe toi le Schtroumpf t'aidera.
                        Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                        Commentaire


                        • #13
                          ok

                          @grand schrtroumpf

                          Merci pour tes infos ...

                          je te file mon url
                          Merci de tes conseils
                          Cordialement spekulos

                          Commentaire


                          • #14
                            @grand schrtroumpf

                            j'ai 2 sites comme ça...1 joomla et 1 wordpress
                            Je voulais prendre une autre hébergement mais je vais essayer tous tes conseils.
                            Si ça ne marche pas , j'ai un arbre pas loin et une bonne corde c'est déja ça
                            Cordialement spekulos

                            Commentaire


                            • #15
                              Peut-être le fameux virus des pdf...
                              Jean-Marie Simonet / infograf768
                              Joomla co-fondateur. Joomla Production Working Group.
                              Sauf demande explicite de ma part, merci de ne pas utiliser de Message Privé pour poser des questions. Le forum est là pour ça.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X