SITE HACKE - Solution - pour mon cas

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [Astuce] SITE HACKE - Solution - pour mon cas

    Bonjour à tous,

    J'ai le fichier htaccess qui ne cesse d'être modifié, et pas par moi... alors j'aimerai comprendre par qui ou par quoi cela pourrait se faire...

    Les lignes suivantes sont systématiquement ajoutées en début de fichier :
    Code:
    <IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule !(js|ico|gif|jpg|png|css|swf|flv|libraries|maint|admin|login|logout|reg) index.php [QSA,L]
</IfModule>
    J'ai beau effaxcer ces lignes, elles reviennent au bout de quelques minutes.

    Si qq a une piste, je suis évidement preneur.

    Merci d'avance pour votre éclairage.

    Pit
    Dernière édition par PittBoule à 16/04/2016, 17h06
    Tags: Aucun
  • #2
    Re : SITE HACKE - solution - pour mon cas

    petite réponse à moi-même qui pourra peut-être en aider d'autres...

    Les sites qui présentaient le symptôme décrit dans le premier message ont en fait été victimes d'un hack de type trojan/backdoor.

    Après un scan du serveur, j'ai identifié ces types de virus sur plusieurs sites :
    Win.Trojan.Shell-49
    Win.Trojan.Shell-68
    Win.Trojan.Agent-1330735
    Win.Trojan.Upatre-4912
    Win.Downloader.Upatre-3349
    Win.Trojan.Agent-1330735
    Php.Exploit.C99-23
    Win.Trojan.Hide-1
    Win.Trojan.Shell-53
    Win.Trojan.Spy-18

    Les fichiers incriminés sont essentiellement situés dans le dossier
    "libraries / phputf8"
    et ont l'un des noms suivants :
    - joomla-cp.php
    - joomla-utf8.php
    - phputf8.php
    - phputf.php

    Faut donc les supprimer

    A traquer également les fichiers php à la racine de type "login.php", "loader.php", modules.php"...
    En fait, à la racine, seuls deux fichiers php doivent exister :
    - index.php
    - configuration.php

    Les autres sont à supprimer

    Une fois les fichiers suspects supprimés, il faut remplacer les fichiers suivants par les originaux (ceux du pack d'installation par exemple) :
    - administrator/ includes / defines.php
    - administrator/ includes / frameworks.php
    - includes / defines.php
    - includes / frameworks.php

    et finir par le fichier htaccess

    Voilà, en tout cas pour moi, ce qu'il a fallut faire...

    Au passage, j'ai renforcé la sécurité des sites en installant quelques composants de type anti-injection sql et un stopbruteforce qui m'a révélé que bien du monde essaie de se logguer sans en avoir le droit... Je ne pensait pas avoir autant de succès

    Je continue de "monitorer" mes sites, au cas où...

    Bon courage à ceux qui ont eu, ou ont encore, une mésaventure similaire

    Pitt.
    Dernière édition par PittBoule à 16/04/2016, 16h14

    Commentaire

    • #3
      Re : SITE HACKE - Solution - pour mon cas

      petite précision sur la nature de ce type de hack

      Dans les grandes lignes, cela permet de faire du spamjacking en se servant de la notoriété de votre site.
      Un pirate génère une liste de liens vers votre site mais pour des pages qui n'existent pas :
      - votresite.com/?fausse-page-1
      - votresite.com/?fausse-page-2
      - votresite.com/?fausse-page-3
      - votresite.com/?fausse-page-4

      Le hack va faire en sorte que les expressions contenues dans ces urls soient reconnues et génèrent une redirection vers d'autres sites que le votre...

      Du coup :
      - les pages soumises par le hacker vont progressivement être indexées
      - vous perdez de l'audience
      - vous redirigez vos visiteurs vers d'autres sites plutôt douteux (type *****)
      - google place une alerte sur vos pages référencées

      Bref, ça craint...

      Commentaire

      • #4
        Re : SITE HACKE - Solution - pour mon cas

        Bonjour
        Sympa de venir partager ton expérience qui sans nul doute pourra éclairer certains lecteurs du forum.

        Bonne soirée
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire

        Précédent template Suivant

        Annonce

        Réduire
        Aucune annonce pour le moment.

        Partenaire de l'association

        Réduire
        Hébergeur Web PlanetHoster
        Travaille ...
        X