Bonjour,
J'espère que ce que vais raconter peut vous aider si cela vous arrive
Depuis le 26-01-2013 un pirate essaie de s’introduire dans mon site :
Il place un index.thml vérolé à la racine du site et je le vire aussitôt-> le site marche
Le 28-01-2013 il change l'index.php de la racine du site (voir ci-dessous le contenu du fichier) et en plus il me l'a passé de chmod 400 en chmod 705
Je remets l'index normal en chmod 400 et de changer le mot de passe du ftp.
Le site marche
Par curiosité je suis allé dans les logs chez OVH (voir cidessous) et j'ai trouvé une adresse ip bizarre (41.98.XX.XXX) qui intervient juste au moment du hackage (par whois ->adresse ip d’Algérie)
Dans les logs je vois qu'il m'a mis des fichiers bizarres dans images/stories qui n'y sont pas normalement (j'ai vérifié en local sur une sauvegarde et sur un autre site joomla en ligne)
Je pense qu'il a mis les fichiers vérolés avec l'instruction POST (voir les logs) je n'y comprends pas grand chose mais avec l'instruction GET il ne peut pas faire grand chose à part consulter (me semble-t-il)
Impossible d’envoyer 2 fichiers par mel à un ami super calé en php ils sont refusés par google pour cause de virus : joom****.php (9 Ko) et h2628.php (1 Ko)
Manipulations : je vire tous les fichiers bizarres et je mets le dossier images en chmod 555
Index.php vérolé 6 Ko (quelques détails)
Et voici la liste des fichiers que le pirate a installé dans images/stories joom****.php et h2628.php sont des virus (détectés par google mail mais pas par mon antivirus)
Liste des fichiers ajoutés dans images/stories : (par l’instruction POST)
Cpanel.php
domains.php
h2628.php
index.php(le même qu’à la racine du site)
joom****.php
mailer.php
php.ini
shell.php
shell2.php
shell3.php
shell4.php
sql.php
sym.php
whm.php
wp****.php
zone.php
Les logs chez OVH
28/Jan/2013:00:00:13 ->28/Jan/2013:00:04:20
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:13 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 5028 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:16 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4624 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:03:27 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4654 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
etc.....
Et pourtant j'ai le fameux Crawlprotect pour générer le .htaccess j'ai mis en chmod 555 quelques dossiers et en 444 les fichiers de la racine du site. Pour le moment ça marche.
Que feriez vous de plus à ma place ???
J'espère que cela ne vous arrivera pas mais je surveille très souvent les logs et le FTP.
Alber
J'espère que ce que vais raconter peut vous aider si cela vous arrive
Depuis le 26-01-2013 un pirate essaie de s’introduire dans mon site :
Il place un index.thml vérolé à la racine du site et je le vire aussitôt-> le site marche
Le 28-01-2013 il change l'index.php de la racine du site (voir ci-dessous le contenu du fichier) et en plus il me l'a passé de chmod 400 en chmod 705
Je remets l'index normal en chmod 400 et de changer le mot de passe du ftp.
Le site marche
Par curiosité je suis allé dans les logs chez OVH (voir cidessous) et j'ai trouvé une adresse ip bizarre (41.98.XX.XXX) qui intervient juste au moment du hackage (par whois ->adresse ip d’Algérie)
Dans les logs je vois qu'il m'a mis des fichiers bizarres dans images/stories qui n'y sont pas normalement (j'ai vérifié en local sur une sauvegarde et sur un autre site joomla en ligne)
Je pense qu'il a mis les fichiers vérolés avec l'instruction POST (voir les logs) je n'y comprends pas grand chose mais avec l'instruction GET il ne peut pas faire grand chose à part consulter (me semble-t-il)
Impossible d’envoyer 2 fichiers par mel à un ami super calé en php ils sont refusés par google pour cause de virus : joom****.php (9 Ko) et h2628.php (1 Ko)
Manipulations : je vire tous les fichiers bizarres et je mets le dossier images en chmod 555
Index.php vérolé 6 Ko (quelques détails)
Code:
<head> ................ <title>Hacked By XXXXXX</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> ...................... </head> ............................ <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By xxxxxxxxxxxxx</font> ........................... <font face="Courier New">HHH **** ALL USER FOR SITE</font> <font style="font-size:20pt; font-weight:700" color="#FFFFFF" face="Courier New"> MY EMAIL : [email]GJW@HOTMAIL.FR[/email]</font><font style="font-size:16px" color="#FFFFFF" face="Courier New"><br> </font></div> <div id="bv_Text13" style="position:absolute;left:221px;top:5px;width:439px;height:18px;z-index:10" align="left"> <font face="Courier New">sory admin ... hhh ... about for hacked</font> ................................................. <title>Hacked By MR JINZO</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> ............... <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By MR Jxxxxxx</font><font style="font-size:16px" color="#666666" face="Courier New">@</font><font style="font-size:16px" color="#FFFFFF" face="Courier New">hacker</font> .............................. <img border="0" src="http://" ............................. <font face="Courier New">HHH **** ALL USER FOR SITE</font></div> ................................................ <font face="Courier New">sory admin ... hhh ... about for hacked</font></div> .......................................... </body> </html>
Liste des fichiers ajoutés dans images/stories : (par l’instruction POST)
Cpanel.php
domains.php
h2628.php
index.php(le même qu’à la racine du site)
joom****.php
mailer.php
php.ini
shell.php
shell2.php
shell3.php
shell4.php
sql.php
sym.php
whm.php
wp****.php
zone.php
Les logs chez OVH
28/Jan/2013:00:00:13 ->28/Jan/2013:00:04:20
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:13 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 5028 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:16 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4624 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:03:27 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4654 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
etc.....
Et pourtant j'ai le fameux Crawlprotect pour générer le .htaccess j'ai mis en chmod 555 quelques dossiers et en 444 les fichiers de la racine du site. Pour le moment ça marche.
Que feriez vous de plus à ma place ???
J'espère que cela ne vous arrivera pas mais je surveille très souvent les logs et le FTP.
Alber
Commentaire