osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Toutes mes pages index.php ont étées Hackées
yyoossssii
posté 24 Jan 2010, 22:35
Message #1


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 1-November 06
Lieu : Israel
Membre no 12992



Bonjour à tous,

Un de mes sites été hacké, il ne sagie apparemment que de 2 pages: index.php et "admin"/index.php , je ne vois pas d'autres dégâts.
J'ai donc remplacé ces 2 pages par une sauvgarde, mais je reçois toujours le même résultat.
J'ai remplacé tous les fichiers qui ont été modifié le jour du hacking, mais cela n'aide toujours pas.

Quelqu'un peut m'aider?

yossi
Go to the top of the page
 
Bonbec
posté 24 Jan 2010, 22:47
Message #2


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



si admin/index.php a été vérolé, c'est que les conseils de la FAQ n'ont pas été suivis ...


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
yyoossssii
posté 25 Jan 2010, 17:53
Message #3


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 1-November 06
Lieu : Israel
Membre no 12992



Bonjour,
Merci!

Ma question était plus "que faire maintenant pour que le site fonctionne?"

Toutes les pages sauf index.php fonctionnent, si je renomme index.php en index2.php çà fonctionne. Ou a pu t'il mettre un code qui redirectionne toute les pages index.php?

Merci!
yossi
Go to the top of the page
 
Rogers
posté 25 Jan 2010, 19:21
Message #4


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1819
Inscrit : 14-March 03
Lieu : Beaune (21200)
Membre no 961



Tu as accès aux logs apache ? Avec les logs, tu peux voir ce que le mec a fait donc trouver le fichier qui pose problème. Si le remplacement de l'index.php ne résout pas le problème c'est que véritablement le code qui est gênant se trouve dans header.php ou peut être dans application_top.php. De toute façon, sans les logs c'est chercher une aiguille dans une botte de foin et surtout ça ne résoudra pas ton problème vu que le mec pourra recommencer.

Juste une question, ton admin est sécurisé (.htaccess et/ou contrib admin) ? Parce que pour aller dans le répertoire admin c'est étrange. Autre chose ce "hacking" produit quoi (une page html, un message...) ? Il faudrait plus d'éléments.


--------------------
The hardest thing in this world is to live in it.

Force jaune devant, marron derrière

J'ai touché le fond de la piscine
Dans ton petit pull marine...
Go to the top of the page
 
yyoossssii
posté 4 Feb 2010, 07:51
Message #5


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 1-November 06
Lieu : Israel
Membre no 12992



Bonjour,

En effet il s'agit d'un hacker [nationalité supposée supprimée*].
J'ai cherché les documents changé le jour du piratage, j'en ai trouve pas mal, mais je crois pas être aller dans le fichier des langues.

Pour finir j'ai utilise une sauvegarde que j'avais, une journée de perdu...

Merci.
Raison de l'édition : [*modération]
Go to the top of the page
 
petitben62
posté 5 Feb 2010, 14:27
Message #6


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 215
Inscrit : 25-October 05
Lieu : Boulogne sur mer (62)
Membre no 7623



Je vais répondre à sa place :

Il remplace toutes les pages de tous les répertoires si elle porte le nom " index" , supprime tous les fichiers qui s'appellent ou contiennent login etc..

Je pense a un robot qui s'engouffre dans une faille.. tous les fichiers sont modifiés a la minute pret au meme moment ..

Il remplace par un index qui est le leur (7.81ko) .. fond noir ecriture rouge.. intulé "Hacked by Callderoon "

Rien de bien méchant pour le remettre en service.. les dommages sont côté référencement si l'attaque a lieu a minuit et qu'on fait dodo jusqu"a 10h du mat" et que google passe par là.. vous puvez passer une journée avec un site qui se présente comme "Hacked by Callderoon " dans les moteurs..

Je pense qu'ils sont passés par file_manager s'il ne l'a pas supprimé...

Voila smile.gif)


--------------------
osCommerce Online Merchant v2.2 RC1 W3C Valid FR.
Go to the top of the page
 
BRU
posté 14 Feb 2012, 23:21
Message #7


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 59
Inscrit : 25-January 07
Lieu : FRANCE BREIZH
Membre no 14890



J'ai exactement le meme problème

Personnellement mes fichiers d'index sont présents mais partiellement effacés.

Fichiers à problème (Tous les index):
www.../index.php
www.../includes/languages/french/index.php
www.../admin/index.php
www.../googlesitemap/index.php


.htaccess = OK et je viens de changer mon pass FTP.

Faut t-il vraimment supprimer le fichier "file_manager" dans admin pour plus de protection et/ou modifier d'autres fichiers.
Go to the top of the page
 
Gnidhal
posté 15 Feb 2012, 09:35
Message #8


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



Citation (BRU @ 14 Feb 2012, 23:21) *
Faut t-il vraimment supprimer le fichier "file_manager" dans admin pour plus de protection
et/ou modifier d'autres fichiers.

OUI
On se demande bien comment il faudrait le dire smile.gif
Un piratage de site est facile si les protections de base ne sont pas en place : renommage du dossier admin, présence d'un htaccess/htpasswd dans ce dossier, verrouillage des accès aux scripts et/ou dossiers sensibles...
Sur un dédié je relève des tentatives de hack quotidiennement :
/admin/index.php
/admin/file_manager.php/login.php
/admin/banner_statistics.php/login.php
/admin/categories.php/login.php
/admin/define_language.php/login.php?filename=index.php
/admin/
/admin/login.php
/scripts/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
/scripts/setup.php
/pma/scripts/setup.php
et des dizaines de déclinaison de ces tentatives.

La sécurité mise en place fait que toute tentative amène immédiatement un ban de l'ip
Dans le temps, les tentatives s'espacent car les plus sévères sont justement bloquées au second passage.

Il existe des contributions qui permettent de mettre en place une sécurité de ce type comme : http://addons.oscommerce.com/info/5914

Mais avant cela il faut faire le ménage si on a été hacké!


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
chti_poupon
posté 15 Feb 2012, 16:02
Message #9


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Le renommage pourrait aussi être une possibilité de défense, notamment dans htaccess où la ligne DirectoryIndex permet de le nommer jhet58gby.paglop au lieu d'un banal index.php. (Voir sur cette page avec une sécurité en plus)... Tant que htaccess est inaccessible (on peut le renommer je pense)
La contrib citée par Gnidhal est installée sur mon site et est aussi astucieuse, mais n'a eu, pour l'instant que ma visite test, les autres protections s'étant avérées suffisantes
Chti poupon
PS: un jeu de jeu de dés (non pipés FoxP2) avec des lettres au lieu des chiffres et une piste peut être un moyen de renommage plus proche du hasard qu'un logiciel de génération, biaisé par la méthode employée
Go to the top of the page
 
BRU
posté 16 Feb 2012, 00:59
Message #10


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 59
Inscrit : 25-January 07
Lieu : FRANCE BREIZH
Membre no 14890



Merci pour les info

Je viens de bloquer le suspect dans .htaccess
deny from 188.138.XXX.XX

J'ai renommé "admin" + modif "admin" dans Configure.php (DIR_WS_ADMIN et DIR_FS_ADMIN) pour plus de protection

Mais cela ne fonctionne pas quand je vais dans l'admin modifié il me ramène à la page index de mon site ou une page sans rien

Je pense qu'il doit me manquer quelque chose dans Configure.php! Si quelqu'un à une idée je suis preneur

Code
// * DIR_FS_* = Filesystem directories (local/physical)
// * DIR_WS_* = Webserver directories (virtual/URL)
  define('HTTP_SERVER', 'http://www.xxx.fr'); // eg, http://localhost - should not be empty for productive servers
  define('HTTP_CATALOG_SERVER', 'http://www.xxx.fr');
  define('HTTPS_CATALOG_SERVER', '');
  define('ENABLE_SSL_CATALOG', 'false'); // secure webserver for catalog module
  define('DIR_FS_DOCUMENT_ROOT', '/xxx/www/'); // where the pages are located on the server
  define('DIR_WS_ADMIN', '/adminmodif/'); // absolute path required
  define('DIR_FS_ADMIN', '/xxx/www/adminmodif/'); // absolute pate required
  define('DIR_WS_CATALOG', '/'); // absolute path required
  define('DIR_FS_CATALOG', '/xxx/www/'); // absolute path required
  define('DIR_WS_IMAGES', 'images/');
  define('DIR_WS_ICONS', DIR_WS_IMAGES . 'icons/');
  define('DIR_WS_CATALOG_IMAGES', DIR_WS_CATALOG . 'images/');
  define('DIR_WS_INCLUDES', 'includes/');
  define('DIR_WS_BOXES', DIR_WS_INCLUDES . 'boxes/');
  define('DIR_WS_FUNCTIONS', DIR_WS_INCLUDES . 'functions/');
  define('DIR_WS_CLASSES', DIR_WS_INCLUDES . 'classes/');
  define('DIR_WS_MODULES', DIR_WS_INCLUDES . 'modules/');
  define('DIR_WS_LANGUAGES', DIR_WS_INCLUDES . 'languages/');
  define('DIR_WS_CATALOG_LANGUAGES', DIR_WS_CATALOG . 'includes/languages/');
  define('DIR_FS_CATALOG_LANGUAGES', DIR_FS_CATALOG . 'includes/languages/');
  define('DIR_FS_CATALOG_IMAGES', DIR_FS_CATALOG . 'images/');
  define('DIR_FS_CATALOG_MODULES', DIR_FS_CATALOG . 'includes/modules/');
  define('DIR_FS_BACKUP', DIR_FS_ADMIN . 'backups/');
.........
Go to the top of the page
 
chti_poupon
posté 16 Feb 2012, 07:48
Message #11


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Bonjour
Vérifies:
  1. Que modif_admin est le même dans configure.php et dans ton répertoire catalog
  2. Que l'ancien nom n'est pas resté dans un fichier .htaccess
  3. Qu'il n'y a pas dans admin/index.php un lien "en dur" déposée par une contrib mal ficelée
Chti poupon


Go to the top of the page
 
BRU
posté 16 Feb 2012, 20:19
Message #12


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 59
Inscrit : 25-January 07
Lieu : FRANCE BREIZH
Membre no 14890



1- J'ai renommé "admin" (en adminmodif) + modif "admin" dans adminmodif/include/configure.php (DIR_WS_ADMIN et DIR_FS_ADMIN)
2- .htaccess ok bien renommé
Code
Order Deny,Allow
Deny from all
AuthUserFile /homez.15/xxx/www/adminmodif/.htpasswd
AuthName "Identification requise"
AuthType Basic
require valid-user
Satisfy Any

3- Mon adminmodif/index.php est d'origine (Aucune modif)

Pour etre plus précis:
Quand je suis sur www.xxx.fr/adminmodif/index.php je vois la page d'accueil de monsite www.xxx.fr/
et quand je suis par exemple sur www.xxx.fr/adminmodif/categories.php?selected_box=catalog je vois un page blanche
Go to the top of the page
 
Gnidhal
posté 16 Feb 2012, 22:37
Message #13


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



j'ai pas vu de cagade dans le configure.php de l'admin
mais ton .htaccess est un peu lourdingue :
Code
AuthUserFile /homez.15/xxx/www/adminmodif/.htpasswd
AuthName "Identification requise"
AuthType Basic
require valid-user
suffit amplement.
Je ne suis pas sur que comme tu as fait les droits Apache ne se marchent pas un peu sur les pieds
Restons simple...

Pour le reste, le comportement de la redirection qui te renvoie vers une page blanche (erreur?) ou vers l'index de la racine est bizarre.
Je te suggère d'observer tes logs Apache
Pour info, puisque l'admin est un sous-dossier de la racine, le .htaccess de la racine a la main.
Si tu as une règle de redirection 404 par exemple, commence par la supprimer pour voir, sinon les autres règles de rewriting par exemple peuvent perturber l'accès au dossier admin.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 14:20
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)