Malware apparaissant sur mon site ? Origine ? - PHP - Programmation
Marsh Posté le 17-06-2010 à 17:53:24
Tu t'es fait hacker. T'as plus qu'à trouver la faille (vérifie si celle-ci est connue pour ton cms) et appliquer le correctif.
Marsh Posté le 17-06-2010 à 17:55:17
Finalement meme dans tout les fichiers *.js
Hacker tu penses réellement ?
Waouuu ca va etre une galère sans fin pour trouver la faille...
Marsh Posté le 18-06-2010 à 09:27:02
c'est une certitude.
Marsh Posté le 18-06-2010 à 14:16:21
Merci Rufo
Voila la situation
J'ai rapatrié tout le site et nettoyé toutes les pages, retirant tout les bout de codes nouveaux, y'en avais un bon paquet
J'ai ré-uploadé, et le site re-fonctionnait normalement, la nuit est passé et ce matin c'est repartit pour exactement la même chose !
Ca me semble bizarre que ce soit un hacker, il est sur le qui-vive et me déteste
Sincèrement peut pas y avoir d'autre causes que ca ?
Marsh Posté le 18-06-2010 à 14:37:52
Ce genre de manipulation n'est pas forcément opérée par une personne physique. Ya des bot qui font ça très bien. Regarde les log de ton serveur web, si toutefois tu en as la possibilité.
Marsh Posté le 18-06-2010 à 14:45:49
+1, un hack peut se faire par un bot. Il a repéré ton site comme étant vulnérable et il y repasse régulièrement pour voir s'il est toujours infecté ou pas. Si c'est pas le cas, il le réinfecte.
Pour info, ce type de malware a pour but d'infecter les PC des visiteurs. Donc, je serais toi, avant d'avoir trouvé la parade, je fermerais temporairement le site pour pas réinfecter d'autres personnes voire te faire black-lister par google ou d'autres sites/softs.
Ton site, ça serait pas Foto's VVHB? lui, il est déclaré comme dans dangereux car infecté par le même virus que toi.
Marsh Posté le 18-06-2010 à 15:04:41
Ha d'accord je vois
Mais comment trouver la parade ? La je suis en train de lancer un scan intégrale sur ma machine avec un Antivirus + un Anti Malware
Google a déjà black-listé mon site donc j'attend de corriger le problème pour le soumettre à nouveau
Non pas du tout, ce n'est pas ça mon site
La je vois pas comment je vais faire, après le scan intégral, je vais modifier tout les mots de passe (FTP + BDD + SITE)
Après, ça ne retirera pas la vulnérabilité sur le site...va la trouver
Marsh Posté le 18-06-2010 à 15:14:10
Au risque de me répéter...
dwogsi a écrit : Regarde les log de ton serveur web, si toutefois tu en as la possibilité. |
Marsh Posté le 18-06-2010 à 16:03:26
Et le virus ne vient probablement pas de ta machine mais d'un bot sur le web... C'est quoi ton cms? Spip, joomla, drupal...?
Marsh Posté le 18-06-2010 à 16:26:15
dwogsi a écrit : Au risque de me répéter... |
Oui j'ai accès aux logs, faudrait chercher quoi dedans grosso merdo ?
Marsh Posté le 18-06-2010 à 16:26:57
rufo a écrit : Et le virus ne vient probablement pas de ta machine mais d'un bot sur le web... C'est quoi ton cms? Spip, joomla, drupal...? |
Ha ok
Non ce n'est pas un CMS classique, c'est un CMS special site de rencontre.
Marsh Posté le 18-06-2010 à 16:28:12
Peu importe, c'est basé sur quel soft?
Marsh Posté le 18-06-2010 à 16:31:00
rufo a écrit : Peu importe, c'est basé sur quel soft? |
Euhhh pourrais tu être un peu plus précis dans ta question ?
Merci à toi
Marsh Posté le 18-06-2010 à 16:31:47
massanu a écrit : Oui j'ai accès aux logs, faudrait chercher quoi dedans grosso merdo ? |
Des url qui renvoient des 404, personnellement j'en vois passer une bonne pelleté de temps en temps, ça test des failles courantes.
Tu peux aussi chercher des URL type index.php?page=http://site.com/attack.txt
Tu peux aussi réduire la tranche de recherche en fonction du moment auquel est apparu le script sur ton site.
Pour autant que je sache, ya pas de meilleur solution. Ceci-dit, les logs me paraissent être le meilleur point de départ.
massanu a écrit :
Merci à toi |
Et bien si tu as utilisé un CMS déjà tout fait, il doit bien porter un nom ? Et peut être même est-il dérivé d'un autre CMS, type Joomla, Drupal, etc.
Marsh Posté le 18-06-2010 à 16:35:00
massanu a écrit : |
Ton cms, c'est quoi son nom! C'est basé sur quel produit?
Marsh Posté le 18-06-2010 à 16:42:18
dwogsi a écrit : |
dwogsi a écrit : |
Ok je vais jeter un oeil aux logs
J'avais déjà remarquer des pages d'erreurs bizarres en matant mes stats.
Des accès que je n'ai jamais fait (alors que le site n'est pas encore officiellement lancé mais en test en ligne) générant des 404
Voici les lignes qui apparaissaient déjà :
Je n'ai jamais fais ces accès la
Oui le CMS est le suivant : http://www.datingpro.com/ mais il n'est pas basé sur joomla ou Drupal, vu que je l'ai pas mal modifié, c'est du spécifique de chez eux.
C'est du PHP utilisant Smarty
Marsh Posté le 18-06-2010 à 16:52:36
Ca c'est typiquement un bot qui essaye de détecter la présence de produits GPL classiques (ex : wordpress qui est un soft de blog).
Marsh Posté le 18-06-2010 à 16:57:01
"dating pro" xss dans google -> ça sort des trucs à ce sujet...
Marsh Posté le 18-06-2010 à 16:58:56
Ha ok
Et bien la après avoir maté les logs de cette nuit :
J'ai des accès répétés à une page auquel je n'accède jamais sur le site, en effet le CMS contient un module "blog_calendar.php"
Cependant aucun lien sur le site ne mène à cette page (qui existe cependant sur le serveur)
Ca peux surement venir de la ?
Et chose encore plus bizarre : Je possède pour ce site 6 noms de domaines. Ils pointent tous dessus et bien les accès sur cette fameuse page sont fait par presque tout les noms de domaine (alors que personnellement je j'en utilise que 2, jamais les autres)
Ca commence à devenir bizarre
Marsh Posté le 18-06-2010 à 17:17:32
Le robot génère probablement des noms de domaines aléatoirement (à moins qu'il n'ait accès à une BD de noms de domaines) et effectue toujours les mêmes tests de présence de produits ayant des failles.
Marsh Posté le 18-06-2010 à 17:31:02
C'est vraiment chiant, merci pour votre aide ca m'a fais apprendre pas mal de chose
Mais je n'ai toujours pas la solution, j'arrive pas a comprendre d'ou ca peux venir, ou est-ce que les bots entrent
Saloperie c'est la première fois que ca m'arrive ca
Marsh Posté le 18-06-2010 à 18:13:22
Petite question :
Au sujet des droits/permissions sur les fichiers, je viens de voir que certains fichier corrompu (a nouveau) avait des droits bien trop laxiste
y'a t-il une règle particulière à ce niveau la ? Cela viens peut être de ca déjà
Marsh Posté le 18-06-2010 à 18:19:32
oui.
Typiquement, rarement le X (exécution).
de temps en temps le W (écriture)
PAs de "règle" particulière car ça dépend de tes fichiers, mais un fichier PHP qui ne fait qu'afficher les X derniers messages du forum n'a pas besoin d'être en 777
Marsh Posté le 18-06-2010 à 18:20:59
Regarde aussi tout ce que peuvent faire les gens : peuvent-ils écrire sur ton serveur ?
Par exemple peuvent-ils uploader une pièce jointe ? un avatar ?
ce sont déjà des failles de sécurité ça (car tu ne sais rien de ce que contiennent ces docs).
Marsh Posté le 18-06-2010 à 18:24:30
- Les fichiers *.tpl (fichiers de templating, seulement de l'affichage) peuvent être exclusivement en lecture j'imagine
- Les fichiers php n'ont normalement pas besoin d'être en ecriture j'imagine, vu qu'ils font des traitements, mais rien n'est écrit dedans (tout est en base ou fichier xml)
Ca me semble bon ?
- Oui il y'a des upload d'avatar etc... cependant la faille ne viens pas de la, car le site n'est pas lancé, je suis le seul a connaitre l'adresse et pourtant le virus/bot/malware s'en prend à mon site en même pas 2heure après chaque nouvel version uploadée
Marsh Posté le 19-06-2010 à 01:50:59
Dites moi :
- Les adresses Ip des robot google sous bien sous la forme "66.249.66.*" ?
J'ai checker mes logs sur 2 jours, ce sont ces adresses la qui accède à mon site
- Il semblerais que j'ai trouver le type de virus que je subis ce sont des "Gumblar" like. Donc si c'est le cas, cela dois venir de ma machine.
Cependant malgré un scan complet avec NOD32 il ne m'a pas trouvé grand chose
Je vais tester Avast je pense et changer tout mes mots de passe à nouveau.
Marsh Posté le 19-06-2010 à 02:41:36
Voila ce qui m'arrive
http://webcache.googleusercontent. [...] clnk&gl=fr
Marsh Posté le 01-07-2010 à 22:26:09
massanu a écrit : - Oui il y'a des upload d'avatar etc... cependant la faille ne viens pas de la, car le site n'est pas lancé, je suis le seul a connaitre l'adresse et pourtant le virus/bot/malware s'en prend à mon site en même pas 2heure après chaque nouvel version uploadée |
T'as acheté le nom de domaine auprès d'un registar. Le nom de domaine est donc diffusé et connus par des serveurs DNS. La liste elle même des noms de domaines enregistré par les registar est disponible sur certains serveurs web (je l'ai découvert l'an dernier quand j'ai cherché comment google avait connus un nom de domaine que je n'avais indiqué à personne)
Croire qu'un script d'upload ne peut pas être en cause par ce que ton site n'est pas lancé est aberrant. A partir du moment ou tu te fais piraté ton site, il faut que tu considères que tous les fichiers accessible depuis le net sont des sources potentielles de faille que ces fichiers soient trouvable grâce aux liens du site ou qu'il faille tomber dessus par hasard. Pour info, il existe des dictionnaires d'attaques contenant des centaines de milliers de noms de fichier et de de dossier et donc beaucoup de chance que le non de ton script en fasse partie.
Il faut également considérer que si un service du serveur est mal sécurisé (ftp public en lecture/écriture par exemple) , l'attaque peut être passé par ce biais là.
massanu a écrit : Dites moi : |
Heu, les "gumblar like" sont des malware qui vont faire croire à ton ordi que tel ou tel site est situé à une adresse donné en outrepassant les données des serveurs DNS.
Rien a voir avec l'attaque de ton site web.
Pour les IP des googlebots : http://www.google.com/support/webm [...] swer=80553
Bon, voyons vite fait ce que t'as fait :
1) est ce que tu t'es renseigné sur le net pour savoir quelle sont les failles connus du CMS que tu utilises (comme suggéré plus haut)
2) est ce que tu as regardé dans les logs d'accès de ton serveur quels sont les adresses correspondant à des fichiers qui existent sur ton site (en général code http 200) et qui ont été accédé plusieurs fois depuis une adresse IP qui n'est pas la tienne ou à des horaires qui ne sont pas tes horaires habituels
3) est ce que tu as regardé dans les logs d'erreurs et dans ton log d'accès de ton serveur (en gros codes http différents des 300, 404 et 200) si aucune page n'a entrainé un plantage du serveur http ou d'un des modules du serveur http
4) est ce que tu as effectué un scan de port vers ton serveur (si c'est pas toi qui l'a configuré, demande d'abord s'il n'y a pas un anti scan d'actif) pour vérifier les services qui répondent. Tout service actif est une faille potentielle.
5) Est ce que tu te connectes uniquement à ton serveur à l'aide de connection crypté (par exemple sftp au lieu de ftp, putty avec liaison ssh au lieu d'une connection en clair, etc)
6) Tu as utilisé NOD32 qui est un antivirus, as tu utilisé également un antimalware tel que "search and destroy"? Les antivirus en cherchent moins que les logiciels spécialisés
7) Vu que vous utilisez une version modifié du CMS, est ce que vous avez un spécialiste sécurité dans votre équipe? (en gros quelqu'un qui s'y connait vraiment même s'il n'en a pas le titre) Quand on modifie un site sans connaitre les failles possible, on peut en ouvrir sans s'en rendre compte.
Marsh Posté le 02-07-2010 à 04:25:35
omega2 a écrit : T'as acheté le nom de domaine auprès d'un registar. Le nom de domaine est donc diffusé et connus par des serveurs DNS. La liste elle même des noms de domaines enregistré par les registar est disponible sur certains serveurs web (je l'ai découvert l'an dernier quand j'ai cherché comment google avait connus un nom de domaine que je n'avais indiqué à personne) |
omega2 a écrit : |
Merci pour le temps que tu as pris a rédiger ton post
Il semblerais que le problème soit résolu (semblerais)
En effet j'ai vider mon FTP, passé ma machine complète à deux reprises avec NOD32 et AVAST à jour.
Supprimer les comptes FTP enregistré par mes 2 clients FTP
Fait un upload sur un backup "safe"
Et depuis mon dernier post sur ce sujet, aucun malware de retour. Il semblerais bien que le soucis venais de ma machine et non du CMS.
Marsh Posté le 17-06-2010 à 17:19:08
Bonjour,
J'ai un soucis. Je devellope actuellement un site type "rencontre" en utilisant un CMS
Tout se passe bien en local, mais une fois mis en ligne, un malware apparait au bout de quelques heures sur toutes mes pages *.tpl
Je ne comprend pas comment c'est possible
Voici la ligne qui apparait :
Comment cela se passe t-il en général pour ce genre de problèmes ? Je suis carrément bloqué.
Merci à vous
---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424