Piratage, je fais quoi maintenant

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Piratage, je fais quoi maintenant

    Bonjour,

    je viens de recevoir ce mail de OVH........quelle est la marche à suivre pour ne pas faire de bêtise supplémentaire ?

    > Problème rencontré : Hidden PERL script
    > Commande apparente : [eth0]
    > Exécutable utilisé : /usr/bin/perl
    > Horodatage: Sat Apr 4 11:16:14 CEST 2009
    >
    > Ceci n'est pas autorisé sur nos installations,
    > car c'est une tentative potentielle de piratage.
    >
    > Si ce n'est pas vous qui avez lancé ce script, cela signifie
    > qu'il y a une faille sur votre site et qu'un hacker s'en
    > est servi pour réaliser cette opération.
    >
    > Nous avons désactivé l'accès web temporairement pour éviter tout
    > risque de nouveau piratage.

  • #2
    As tu accès à ce répertoire: /usr/bin/perl ?

    Regarde donc dedans si une bouse n'y a pas été déposé.

    Quelles sont tes protections actuelles selon toi ?
    Dernière édition par Sirius à 04/04/2009, 12h07
    Apprendre à apprendre........
    www.octeam.fr
    Pas de support par MP

    Commentaire


    • #3
      Envoyé par Sirius Voir le message
      As tu accès à ce répertoire: /usr/bin/perl ?

      Regarde donc dedans si une bouse n'y a pas été déposé.

      Quelles sont tes protections actuelles selon toi ?
      Je ne sais même pas ou se trouve ce répertoire, je ne le vois pas à la racine de mon site via filezilla.

      Mes protections actuelles sont nulles.......(c'est pas de la critique en vers les protections...)
      j'ai le plugin jssecure et sh404sef.
      Je ne m'était pas encore attaqué au htaccess car n'y connaissant rien voulais d'abord bien comprendre de peur de planter mon site.

      je sais que j'ai accès à des logs sur ovh mais je ne sais pas quoi chercher en fait.......

      Commentaire


      • #4
        Ok, envois moi ton htaccess par MP
        Apprendre à apprendre........
        www.octeam.fr
        Pas de support par MP

        Commentaire


        • #5
          je suis entrain de regarder mes logs ovh et en ce moment même je vois ça

          90.42.212.233 www.perfect-bijoux.com - [04/Apr/2009:13:23:14 +0200] "GET /Strass/Voir-tous-les-produits.html HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:42:48 +0200] "GET /modules/mod_virtuemart/vm_transmenu/transmenu.js HTTP/1.1" 403 210 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:42:48 +0200] "GET /robots.txt HTTP/1.1" 403 182 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:48:20 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Sautoir_breloque _49b2aae213253.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:49:03 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Montre_grand_mod _49bfbb873cdf2.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:53:39 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=resized%2FBoucle s_d_oreill_49aec27e597bd_120x120.jpg&newxsize=140& newysize=140&fileout= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:00 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Parure_haute_qua _49b51b29ed421.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:31 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Bracelet_perle_m _49b4049aa379e.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:35 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Bague_carr__e_to _49bf72336ba43.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
          66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:57:44 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Portefeuilles_zi _49


          mon site est hors ligne et mon ip du moment est 90.42.212.233

          cela veut donc dire que l'ip 66.249.71.154 se balade sur mon serveur ?????

          Commentaire


          • #6
            Oui,

            Mais pas de panique c'est juste le googlebot (robot d'indexation de google)
            Apprendre à apprendre........
            www.octeam.fr
            Pas de support par MP

            Commentaire


            • #7
              Envoyé par gregmour Voir le message
              je suis entrain de regarder mes logs ovh et en ce moment même je vois ça

              90.42.212.233 www.perfect-bijoux.com - [04/Apr/2009:13:23:14 +0200] "GET /Strass/Voir-tous-les-produits.html HTTP/1.1" 403 199 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:42:48 +0200] "GET /modules/mod_virtuemart/vm_transmenu/transmenu.js HTTP/1.1" 403 210 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:42:48 +0200] "GET /robots.txt HTTP/1.1" 403 182 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:48:20 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Sautoir_breloque _49b2aae213253.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:49:03 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Montre_grand_mod _49bfbb873cdf2.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:53:39 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=resized%2FBoucle s_d_oreill_49aec27e597bd_120x120.jpg&newxsize=140& newysize=140&fileout= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:00 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Parure_haute_qua _49b51b29ed421.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:31 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Bracelet_perle_m _49b4049aa379e.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:55:35 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Bague_carr__e_to _49bf72336ba43.jpg&newxsize=140&newysize=140&fileo ut= HTTP/1.1" 403 215 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
              66.249.71.154 www.perfect-bijoux.com - [04/Apr/2009:13:57:44 +0200] "GET /components/com_virtuemart/show_image_in_imgtag.php?filename=Portefeuilles_zi _49


              mon site est hors ligne et mon ip du moment est 90.42.212.233

              cela veut donc dire que l'ip 66.249.71.154 se balade sur mon serveur ?????

              arf...........66.249.71.154 c'est l'ip du robot de google non ?????

              Commentaire


              • #8
                Envoyé par Sirius Voir le message
                Oui,

                Mais pas de panique c'est juste le googlebot (robot d'indexation de google)
                je viens de voir ça.........

                finalement je finis par comprendre pourquoi certains paient des fortunes pour faire faire leur site par des professionnels.....

                Commentaire


                • #9
                  Je cherche une âme charitable qui pourrait eplucher quelques lignes de logs pour m'expliquer ce qui s'est passé.

                  J'ai épluché tous mes logs de la nuit de OVH et j'ai repéré 2 ip qui venaient d'allemagne et d'indonesie ...........à priori d'après ce que je comprends c'est le composant com_ martlanguages qui est à la base de mes soucis, d'ailleurs dans mes logs il y est fait allusion a un fichier or ce dossier est vide sur mon serveur.....

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins
                  Travaille ...
                  X