redirection sur un autre site de l'url de mon site

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] redirection sur un autre site de l'url de mon site

    Bonjour,
    j'ai l'adresse de mon site :
    www.alab.fr qui est redirigé vers http://www.addfound.ru/

    j'ai regardé les index, et les htaccess et j'ai modifié les fichiers mais cela n'a rien changé

    même problème en admin

    je viens de télécharger le patch 1.5.15 je suis en 1.5.14

    quelqu'un sait quels fichiers ont été modifiés ?

    Merci d'avance de votre aide.

  • #2
    Bonjour

    Voir dans le fichier configuration.php

    Mais question ton site est-il blindé et sécurisé?

    @+
    SVP pas de MP pour de l'aide, le forum est l’outil idéal

    Commentaire


    • #3
      Peux tu m'énumérer les divers choses pour sécuriser le site ?

      Commentaire


      • #4
        Pas de problème...il te suffit de lire dans ce forum les différents post parlant de sécurisation de joomla exemple .htaccess...sentinelle...secure etc...

        pour résumer déjà pour moi ton site est hacké donc le petit malin même si tu redéfinis ton fichier config va revenir.

        Ensuite il te faut trouver par ou il est passé...pour cela faire une recherche avec tes plugins et tes composants installé sur le site et dans le forum pour voir si nous avons déjà une faille répertorié.

        @+
        SVP pas de MP pour de l'aide, le forum est l’outil idéal

        Commentaire


        • #5
          il n'y a rien de modifier dans le fichier config.

          j'ai restauré la base de données mais cela n'a rien changé.

          composants :
          ricettario
          phocagallery
          phocagallery random image

          j'ai transféré les fichiers décompressés du patch 1.5.15 à la racine de mon site.

          Là, je suis en train de récupérer le site infecté sur mon ordi et je suis en train de faire une recherche dans un répertoire où sont stockés les fichiers du site infecté avec notepad++ pour trouver une ligne de programme contenant "addfound.ru".

          Commentaire


          • #6
            Et bien que te dire...

            Bon courage et @+
            SVP pas de MP pour de l'aide, le forum est l’outil idéal

            Commentaire


            • #7
              j'ai regardé les logs de novembre et j'ai vu ceci pour le samedi 14 novembre ou je ne suis pas intervenu sur le site :
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8966] [alabdhjc] FTP response: Client "195.88.191.41", "331 Please specify the password."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8966] [alabdhjc] FTP command: Client "195.88.191.41", "PASS <password>"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8965] [alabdhjc] OK LOGIN: Client "195.88.191.41"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "230 Login successful."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "PASV"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "227 Entering Passive Mode (213,186,33,210,128,244)"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "TYPE I"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "200 Switching to Binary mode."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "SIZE .htaccess"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "550 Could not get file size."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "RETR .htaccess"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "550 Failed to open file."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FAIL DOWNLOAD: Client "195.88.191.41", "/.htaccess", 0.00Kbyte/sec
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "SITE CHMOD 777 .htaccess"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "550 SITE CHMOD command failed."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FAIL CHMOD: Client "195.88.191.41", "/.htaccess 777"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "PASV"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "227 Entering Passive Mode (213,186,33,210,122,185)"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "STOR .htaccess"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "150 Ok to send data."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] OK UPLOAD: Client "195.88.191.41", "/.htaccess", 64 bytes, 2.11Kbyte/sec
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "226 File receive OK."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "SITE CHMOD 444 .htaccess"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] OK CHMOD: Client "195.88.191.41", "/.htaccess 444"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "200 SITE CHMOD command ok."
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP command: Client "195.88.191.41", "QUIT"
              [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "221 Goodbye."
              apparemment une intervention sur le htaccess

              que signifie 200 SITE CHMOD command ?

              bon j'ai réussi à remettre mon site en place et à être en 1.5.15 maintenant mais ça ne résout pas le problème d'incursion.
              comment le résoudre ?
              le log au dessus veut il dire que la personne connait le login et le mot de passe du ftp ?

              Je n'ai pas pu mettre le log du 15 novembre où apparemment c est amusé à modifier les index.html ou php et les htaccess car le fichier texte était trop lourd.

              le pirate peut il modifier le fichier config pour rediriger vers une autre base de ce fameux site russe ?

              quelqu'un peut il m'indiquer un post répertoriant les différentes manips pour sécuriser le site ? et si oui, est ce que tous les conseils empêchent tout de même les incursions ?
              Dernière édition par Waldham à 16/11/2009, 16h09

              Commentaire


              • #8
                quand on regarde le log de ton FTP

                d'entrée >>>
                Code:
                [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8966] [alabdhjc] FTP response: Client "195.88.191.41", "331 Please specify the password."
                [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8966] [alabdhjc] FTP command: Client "195.88.191.41", "PASS <password>"
                [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8965] [alabdhjc] OK LOGIN: Client "195.88.191.41"
                [2009 Nov 14 14:59:33] vsftpd: Sat Nov 14 14:59:33 2009 [pid 8967] [alabdhjc] FTP response: Client "195.88.191.41", "230 Login successful."

                Login successful >>>> very nice !!!

                Intrusion a été faite directement par FTP si cette IP ne t'appartient pas !!

                comment cela est il possible ?

                3 possibilités à entrevoir :

                - faille de la configuration du serveur donc htaccess n'est pas fonctionnel et ne protège pas les fichiers sensibles.

                -faille Joomla qui permet d'obtenir les information de connexion FTP (je dis faille joomla ou faille modules, composant tiers) dans ce cas il a été récupéré les informations sensibles par redirection (voir l'état du register global)

                -faille de la gestion des accès sur le serveur (linux n'est pas infaillible et les accès root ont fait l'objet de plusieurs failles de sécurité ces derniers mois) donc dans ce cas mise à jour du serveur à faire.


                bon courage


                note :

                origine de l'attaquant:
                inetnum: 195.88.190.0 - 195.88.191.255
                netname: BIGNESS-GROUP-NET
                descr: Bigness group Ltd. Network
                country: RU
                org: ORG-BGL6-RIPE
                admin-c: BO429-RIPE
                tech-c: BO429-RIPE
                status: ASSIGNED PI
                mnt-by: RIPE-NCC-END-MNT
                mnt-by: BIGNESS-GROUP-MNT
                mnt-lower: RIPE-NCC-END-MNT
                mnt-routes: BIGNESS-GROUP-MNT
                mnt-domains: BIGNESS-GROUP-MNT
                source: RIPE # Filtered

                organisation: ORG-BGL6-RIPE
                org-name: Bigness Group Ltd
                org-type: OTHER
                address: 25 Nevsky broad str, office 96
                address: S-Petersburg, Russia
                e-mail: cardiro@cardiro.org
                admin-c: BO429-RIPE
                tech-c: BO429-RIPE
                mnt-ref: HOSTER-RIPE-MNT
                mnt-by: BIGNESS-GROUP-MNT
                source: RIPE # Filtered

                person: Bogenov Oleg
                address: Russia, S-Petersburg
                phone: +79212290843
                nic-hdl: BO429-RIPE
                mnt-by: BIGNESS-GROUP-MNT
                source: RIPE # Filtered

                % Information related to '195.88.190.0/23as49093'

                route: 195.88.190.0/23
                descr: IPs
                origin: as49093
                mnt-by: BIGNESS-GROUP-MNT
                source: RIPE # Filtered
                comment le bloquer :

                par .htaccess comme ceci :

                Code:
                RewriteEngine on 
                RewriteCond %{REMOTE_ADDR} ^195\.88\.*
                RewriteRule ^.* - [F]
                là c'est mort tu l'obliges à changer de serveur et c'est là que commence la traque

                si tu parles RUSSE tu peux toujours signaler l'intrusion au +79212290843 , mais ça m'étonnerais beaucoup que tu ais gain de cause

                note2 :de toute façon si la faille est côté serveur la protection par .htaccess ne te servira à rien mais comme tu ne sais pas par ou ni comment il a réussi à obtenir les accès FTP , t'es bien obligé de continuer à surveiller le log FTP ...
                Dernière édition par Thorhax à 16/11/2009, 19h37
                adaptations|conceptions

                Commentaire


                • #9
                  -faille Joomla qui permet d'obtenir les information de connexion FTP (je dis faille joomla ou faille modules, composant tiers) dans ce cas il a été récupéré les informations sensibles par redirection (voir l'état du register global)
                  Mon hébergeur est OVH. start10g

                  Modules :
                  mod_phocagallery_random_image
                  mod_tcnewsscroller
                  phocagallery
                  ricettario

                  joomla 1.5.15

                  on vient de me rajouter un htacess en dehors du répertoire racine www qui lorsque je le supprime me permet de retourner sur mon site et non sur la redirection vers le site dudit pirate.

                  A 19 h 06 hier soir :
                  [2009 Nov 16 19:06:32] vsftpd: Mon Nov 16 19:06:32 2009 [pid 20767] [alabdhjc] FTP response: Client "59.125.229.74", "331 Please specify the password."
                  [2009 Nov 16 19:06:32] vsftpd: Mon Nov 16 19:06:32 2009 [pid 20767] [alabdhjc] FTP command: Client "59.125.229.74", "PASS <password>"
                  [2009 Nov 16 19:06:32] vsftpd: Mon Nov 16 19:06:32 2009 [pid 20766] [alabdhjc] OK LOGIN: Client "59.125.229.74"
                  [2009 Nov 16 19:06:33] vsftpd: Mon Nov 16 19:06:33 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "230 Login successful."
                  [2009 Nov 16 19:06:33] vsftpd: Mon Nov 16 19:06:33 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "TYPE I"
                  [2009 Nov 16 19:06:33] vsftpd: Mon Nov 16 19:06:33 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "200 Switching to Binary mode."
                  [2009 Nov 16 19:06:33] vsftpd: Mon Nov 16 19:06:33 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "SYST"
                  [2009 Nov 16 19:06:33] vsftpd: Mon Nov 16 19:06:33 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "215 UNIX Type: L8"
                  [2009 Nov 16 19:06:34] vsftpd: Mon Nov 16 19:06:34 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "PORT 59,125,229,74,5,46"
                  [2009 Nov 16 19:06:34] vsftpd: Mon Nov 16 19:06:34 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "200 PORT command successful. Consider using PASV."
                  [2009 Nov 16 19:06:34] vsftpd: Mon Nov 16 19:06:34 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "LIST"
                  [2009 Nov 16 19:06:34] vsftpd: Mon Nov 16 19:06:34 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "150 Here comes the directory listing."
                  [2009 Nov 16 19:06:35] vsftpd: Mon Nov 16 19:06:35 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "226 Directory send OK."
                  [2009 Nov 16 19:06:35] vsftpd: Mon Nov 16 19:06:35 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "PORT 59,125,229,74,5,77"
                  [2009 Nov 16 19:06:35] vsftpd: Mon Nov 16 19:06:35 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "200 PORT command successful. Consider using PASV."
                  [2009 Nov 16 19:06:35] vsftpd: Mon Nov 16 19:06:35 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "STOR .htaccess"
                  [2009 Nov 16 19:06:35] vsftpd: Mon Nov 16 19:06:35 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "150 Ok to send data."
                  [2009 Nov 16 19:06:36] vsftpd: Mon Nov 16 19:06:36 2009 [pid 20773] [alabdhjc] OK UPLOAD: Client "59.125.229.74", "/.htaccess", 1106 bytes, 1.15Kbyte/sec
                  [2009 Nov 16 19:06:36] vsftpd: Mon Nov 16 19:06:36 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "226 File receive OK."
                  [2009 Nov 16 19:06:36] vsftpd: Mon Nov 16 19:06:36 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "CWD www"
                  [2009 Nov 16 19:06:36] vsftpd: Mon Nov 16 19:06:36 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "250 Directory successfully changed."
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "PORT 59,125,229,74,5,158"
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "200 PORT command successful. Consider using PASV."
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "STOR .htaccess"
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "553 Could not create file."
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FAIL UPLOAD: Client "59.125.229.74", "/www/.htaccess", 0.00Kbyte/sec
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP command: Client "59.125.229.74", "CDUP"
                  [2009 Nov 16 19:06:37] vsftpd: Mon Nov 16 19:06:37 2009 [pid 20773] [alabdhjc] FTP response: Client "59.125.229.74", "250 Directory successfully changed."

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins
                  Travaille ...
                  X