Toutes mes pages index.php ont étées Hackées |
Bienvenue invité ( Connexion | Inscription )
Toutes mes pages index.php ont étées Hackées |
24 Jan 2010, 22:35
Message
#1
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 31 Inscrit : 1-November 06 Lieu : Israel Membre no 12992 |
Bonjour à tous,
Un de mes sites été hacké, il ne sagie apparemment que de 2 pages: index.php et "admin"/index.php , je ne vois pas d'autres dégâts. J'ai donc remplacé ces 2 pages par une sauvgarde, mais je reçois toujours le même résultat. J'ai remplacé tous les fichiers qui ont été modifié le jour du hacking, mais cela n'aide toujours pas. Quelqu'un peut m'aider? yossi |
|
24 Jan 2010, 22:47
Message
#2
|
|
Ceinture marron OSC Groupe : Modérateurs Messages : 1543 Inscrit : 30-May 06 Lieu : Vichy (03) Membre no 10583 |
si admin/index.php a été vérolé, c'est que les conseils de la FAQ n'ont pas été suivis ...
-------------------- Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse) Config 2 en local avec UwAmp : Osc Phoenix |
|
25 Jan 2010, 17:53
Message
#3
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 31 Inscrit : 1-November 06 Lieu : Israel Membre no 12992 |
Bonjour,
Merci! Ma question était plus "que faire maintenant pour que le site fonctionne?" Toutes les pages sauf index.php fonctionnent, si je renomme index.php en index2.php çà fonctionne. Ou a pu t'il mettre un code qui redirectionne toute les pages index.php? Merci! yossi |
|
25 Jan 2010, 19:21
Message
#4
|
|
Ceinture marron OSC Groupe : Modérateurs Messages : 1819 Inscrit : 14-March 03 Lieu : Beaune (21200) Membre no 961 |
Tu as accès aux logs apache ? Avec les logs, tu peux voir ce que le mec a fait donc trouver le fichier qui pose problème. Si le remplacement de l'index.php ne résout pas le problème c'est que véritablement le code qui est gênant se trouve dans header.php ou peut être dans application_top.php. De toute façon, sans les logs c'est chercher une aiguille dans une botte de foin et surtout ça ne résoudra pas ton problème vu que le mec pourra recommencer.
Juste une question, ton admin est sécurisé (.htaccess et/ou contrib admin) ? Parce que pour aller dans le répertoire admin c'est étrange. Autre chose ce "hacking" produit quoi (une page html, un message...) ? Il faudrait plus d'éléments. -------------------- The hardest thing in this world is to live in it.
Force jaune devant, marron derrière J'ai touché le fond de la piscine Dans ton petit pull marine... |
|
4 Feb 2010, 07:51
Message
#5
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 31 Inscrit : 1-November 06 Lieu : Israel Membre no 12992 |
Bonjour,
En effet il s'agit d'un hacker [nationalité supposée supprimée*]. J'ai cherché les documents changé le jour du piratage, j'en ai trouve pas mal, mais je crois pas être aller dans le fichier des langues. Pour finir j'ai utilise une sauvegarde que j'avais, une journée de perdu... Merci.
Raison de l'édition : [*modération]
|
|
5 Feb 2010, 14:27
Message
#6
|
|
Ceinture orange OSC Groupe : Membres Messages : 215 Inscrit : 25-October 05 Lieu : Boulogne sur mer (62) Membre no 7623 |
Je vais répondre à sa place :
Il remplace toutes les pages de tous les répertoires si elle porte le nom " index" , supprime tous les fichiers qui s'appellent ou contiennent login etc.. Je pense a un robot qui s'engouffre dans une faille.. tous les fichiers sont modifiés a la minute pret au meme moment .. Il remplace par un index qui est le leur (7.81ko) .. fond noir ecriture rouge.. intulé "Hacked by Callderoon " Rien de bien méchant pour le remettre en service.. les dommages sont côté référencement si l'attaque a lieu a minuit et qu'on fait dodo jusqu"a 10h du mat" et que google passe par là.. vous puvez passer une journée avec un site qui se présente comme "Hacked by Callderoon " dans les moteurs.. Je pense qu'ils sont passés par file_manager s'il ne l'a pas supprimé... Voila ) -------------------- osCommerce Online Merchant v2.2 RC1 W3C Valid FR.
|
|
14 Feb 2012, 23:21
Message
#7
|
|
Ceinture jaune OSC Groupe : Membres Messages : 59 Inscrit : 25-January 07 Lieu : FRANCE BREIZH Membre no 14890 |
J'ai exactement le meme problème
Personnellement mes fichiers d'index sont présents mais partiellement effacés. Fichiers à problème (Tous les index): www.../index.php www.../includes/languages/french/index.php www.../admin/index.php www.../googlesitemap/index.php .htaccess = OK et je viens de changer mon pass FTP. Faut t-il vraimment supprimer le fichier "file_manager" dans admin pour plus de protection et/ou modifier d'autres fichiers. |
|
15 Feb 2012, 09:35
Message
#8
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
Faut t-il vraimment supprimer le fichier "file_manager" dans admin pour plus de protection et/ou modifier d'autres fichiers. OUI On se demande bien comment il faudrait le dire Un piratage de site est facile si les protections de base ne sont pas en place : renommage du dossier admin, présence d'un htaccess/htpasswd dans ce dossier, verrouillage des accès aux scripts et/ou dossiers sensibles... Sur un dédié je relève des tentatives de hack quotidiennement : /admin/index.php /admin/file_manager.php/login.php /admin/banner_statistics.php/login.php /admin/categories.php/login.php /admin/define_language.php/login.php?filename=index.php /admin/ /admin/login.php /scripts/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scripts/setup.php /pma/scripts/setup.php et des dizaines de déclinaison de ces tentatives. La sécurité mise en place fait que toute tentative amène immédiatement un ban de l'ip Dans le temps, les tentatives s'espacent car les plus sévères sont justement bloquées au second passage. Il existe des contributions qui permettent de mettre en place une sécurité de ce type comme : http://addons.oscommerce.com/info/5914 Mais avant cela il faut faire le ménage si on a été hacké! -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
15 Feb 2012, 16:02
Message
#9
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Le renommage pourrait aussi être une possibilité de défense, notamment dans htaccess où la ligne DirectoryIndex permet de le nommer jhet58gby.paglop au lieu d'un banal index.php. (Voir sur cette page avec une sécurité en plus)... Tant que htaccess est inaccessible (on peut le renommer je pense)
La contrib citée par Gnidhal est installée sur mon site et est aussi astucieuse, mais n'a eu, pour l'instant que ma visite test, les autres protections s'étant avérées suffisantes Chti poupon PS: un jeu de jeu de dés (non pipés FoxP2) avec des lettres au lieu des chiffres et une piste peut être un moyen de renommage plus proche du hasard qu'un logiciel de génération, biaisé par la méthode employée |
|
16 Feb 2012, 00:59
Message
#10
|
|
Ceinture jaune OSC Groupe : Membres Messages : 59 Inscrit : 25-January 07 Lieu : FRANCE BREIZH Membre no 14890 |
Merci pour les info
Je viens de bloquer le suspect dans .htaccess deny from 188.138.XXX.XX J'ai renommé "admin" + modif "admin" dans Configure.php (DIR_WS_ADMIN et DIR_FS_ADMIN) pour plus de protection Mais cela ne fonctionne pas quand je vais dans l'admin modifié il me ramène à la page index de mon site ou une page sans rien Je pense qu'il doit me manquer quelque chose dans Configure.php! Si quelqu'un à une idée je suis preneur Code // * DIR_FS_* = Filesystem directories (local/physical)
// * DIR_WS_* = Webserver directories (virtual/URL) define('HTTP_SERVER', 'http://www.xxx.fr'); // eg, http://localhost - should not be empty for productive servers define('HTTP_CATALOG_SERVER', 'http://www.xxx.fr'); define('HTTPS_CATALOG_SERVER', ''); define('ENABLE_SSL_CATALOG', 'false'); // secure webserver for catalog module define('DIR_FS_DOCUMENT_ROOT', '/xxx/www/'); // where the pages are located on the server define('DIR_WS_ADMIN', '/adminmodif/'); // absolute path required define('DIR_FS_ADMIN', '/xxx/www/adminmodif/'); // absolute pate required define('DIR_WS_CATALOG', '/'); // absolute path required define('DIR_FS_CATALOG', '/xxx/www/'); // absolute path required define('DIR_WS_IMAGES', 'images/'); define('DIR_WS_ICONS', DIR_WS_IMAGES . 'icons/'); define('DIR_WS_CATALOG_IMAGES', DIR_WS_CATALOG . 'images/'); define('DIR_WS_INCLUDES', 'includes/'); define('DIR_WS_BOXES', DIR_WS_INCLUDES . 'boxes/'); define('DIR_WS_FUNCTIONS', DIR_WS_INCLUDES . 'functions/'); define('DIR_WS_CLASSES', DIR_WS_INCLUDES . 'classes/'); define('DIR_WS_MODULES', DIR_WS_INCLUDES . 'modules/'); define('DIR_WS_LANGUAGES', DIR_WS_INCLUDES . 'languages/'); define('DIR_WS_CATALOG_LANGUAGES', DIR_WS_CATALOG . 'includes/languages/'); define('DIR_FS_CATALOG_LANGUAGES', DIR_FS_CATALOG . 'includes/languages/'); define('DIR_FS_CATALOG_IMAGES', DIR_FS_CATALOG . 'images/'); define('DIR_FS_CATALOG_MODULES', DIR_FS_CATALOG . 'includes/modules/'); define('DIR_FS_BACKUP', DIR_FS_ADMIN . 'backups/'); ......... |
|
16 Feb 2012, 07:48
Message
#11
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Bonjour
Vérifies:
|
|
16 Feb 2012, 20:19
Message
#12
|
|
Ceinture jaune OSC Groupe : Membres Messages : 59 Inscrit : 25-January 07 Lieu : FRANCE BREIZH Membre no 14890 |
1- J'ai renommé "admin" (en adminmodif) + modif "admin" dans adminmodif/include/configure.php (DIR_WS_ADMIN et DIR_FS_ADMIN)
2- .htaccess ok bien renommé Code Order Deny,Allow Deny from all AuthUserFile /homez.15/xxx/www/adminmodif/.htpasswd AuthName "Identification requise" AuthType Basic require valid-user Satisfy Any 3- Mon adminmodif/index.php est d'origine (Aucune modif) Pour etre plus précis: Quand je suis sur www.xxx.fr/adminmodif/index.php je vois la page d'accueil de monsite www.xxx.fr/ et quand je suis par exemple sur www.xxx.fr/adminmodif/categories.php?selected_box=catalog je vois un page blanche |
|
16 Feb 2012, 22:37
Message
#13
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
j'ai pas vu de cagade dans le configure.php de l'admin
mais ton .htaccess est un peu lourdingue : Code AuthUserFile /homez.15/xxx/www/adminmodif/.htpasswd suffit amplement.AuthName "Identification requise" AuthType Basic require valid-user Je ne suis pas sur que comme tu as fait les droits Apache ne se marchent pas un peu sur les pieds Restons simple... Pour le reste, le comportement de la redirection qui te renvoie vers une page blanche (erreur?) ou vers l'index de la racine est bizarre. Je te suggère d'observer tes logs Apache Pour info, puisque l'admin est un sous-dossier de la racine, le .htaccess de la racine a la main. Si tu as une règle de redirection 404 par exemple, commence par la supprimer pour voir, sinon les autres règles de rewriting par exemple peuvent perturber l'accès au dossier admin. -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
Version bas débit | Nous sommes le : 28th March 2024 - 14:20 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |