Inclusion (piratage) de code dans mes pages

[beber24]

Bonjour à tous

Quelles ne fut pas ma surprise de me rendre compte que 2 pages d'un de mes sites on été détournée par une inclusion de code en move permanently 8O

Savez vous comment cette inclusion se fait ?

J'ai perdu du coup mon referencement dans google de ma page d'accueil et surrement d'autres pages ... J'avais au mois de juin jusqu'à 3500vu/jours. Aujourd'hui 1500.

Est ce prejudiciable à moyen terme (2/3 mois) ? Je viens de changer d'hébergeur pour d'autres raisons et remettre les pages clean... Est ce le FTP les droits sur mes repertoires ? Je seche.

 

[Koxin-L]

Accès FTP obligatoirement.

 

[beber24]

J'ai enfin reussi à endiguer le phénomène enfin j'espère.

Cela dure depuis 1 mois avec des inclusion bien ciblées pour nuire type nofollow, redirect etc. sur l'ensemble des pages indexées.

J'ai perdu 70% du mon traffic pensez vous que je retrouverais le traffic d'origine ?

 

[kjame]

Avant de penser à ton traffic, sécurises ton site en changeant tous les mots de passe !
Penses à faire une veille aussi afin d'évaluer sa sécurité.

 

[beber24]

Avant de penser à ton traffic, sécurises ton site en changeant tous les mots de passe !
Penses à faire une veille aussi afin d'évaluer sa sécurité.

C'est fait maintenant je pense au traffic :wink:

 

[frenchhorn]

J'ai enfin reussi à endiguer le phénomène enfin j'espère.

Cela dure depuis 1 mois avec des inclusion bien ciblées pour nuire type nofollow, redirect etc. sur l'ensemble des pages indexées.

J'ai perdu 70% du mon traffic pensez vous que je retrouverais le traffic d'origine ?

un concurent?

 

[beber24]

En tout cas quelqu'un qui connais bien comment nuire à mon référencement et placer discretement ce code et au bon endroit de mon php.

 

[Krams]

Accès FTP obligatoirement.

Pas nécessairement, si un include mal sécurité est utilisé dans le site (par ex vars en GET mal vérifiées et servant à fabriquer un nom de fichier à inclure) il est possible de faire exécuter du code donnant à la personne mal intentionnée accès à des ressources lui permettant de modifier éventuellement tes pages...

 

[rog]

pareil pour mysql

rog

 

[alex1025]

Oui en effet, le plus probable c est que quelqu un ai access a ton ftp.

mais ca peut venir aussi d'ailleurs faille dans un script php, injection dans la base....

Il est vrai que si tes pages sont modifiées pile poil, et que tu n a pas d editeur de page en php, la piste a suivre serait le ftp.

Regarde quand meme tes logs pour vérifier si ca vient pas du php.

Bon courage

A++

 

[frenchhorn]

j'avais essayer il y a des années un logiciel "hack ftp" car j'avais perdu mon pass ftp, mais sans succes, il aura fallu que je laisse tournée la bécane pendant des mois a l'epoque du 56k :lol:

 

[alex1025]

surrement un bruteforce

 

[ManiaGames]

Bonjour,

surrement un bruteforce

Arrêtez vos hypothèses quand vous ne savez pas de quoi vous parler !
Un bruteforce par FTP, ça n'existe pas, car à moins que le webmaster ait choisi un mot de passe de 3 caractères, un bruteforce FTP serrait excessivement long (pour ne pas dire impossible).

beber24, pour commencer je te donnerais plusieurs conseils :

Premièrement, change tous tes mots de passe (déjà dit), et choisi des mots de passe différents pour ton accès FTP, ton accès MySQL et ton compte hébergeur.
Pourquoi ? Tout simplement parce que si il y a une faille dans ton code, le mot de passe que le "hackeur" va certainement trouvé en premier est ton code d'accès à ta base de donnée (car tu l'as inscrit quelque part dans tes fichiers pour effectuer tes requêtes). Un mot de passe différent permet donc de ne pas te faire voler ton compte hébergeur, et de limiter l'accès à ton FTP.

Après, tu utilise des formulaires, et tu ne filtre peut-être pas toutes les données reçues ? A chaque fois que tu reçois des données en provenance de l'extérieur (et quelque soit la méthode : GET, POST ou COOKIES), tu dois les vérifier, car elles peuvent facilement être falsifié.

Si tu veux en savoir un peu plus, contact moi par MP, je pourrais peut-être t'aider pour éviter à l'avenir un ennui similaire :wink: .

 

[alex1025]

Bonjour,

surrement un bruteforce

Arrêtez vos hypothèses quand vous ne savez pas de quoi vous parler !
Un bruteforce par FTP, ça n'existe pas, car à moins que le webmaster ait choisi un mot de passe de 3 caractères, un bruteforce FTP serrait excessivement long (pour ne pas dire impossible).

beber24, pour commencer je te donnerais plusieurs conseils :

Premièrement, change tous tes mots de passe (déjà dit), et choisi des mots de passe différents pour ton accès FTP, ton accès MySQL et ton compte hébergeur.
Pourquoi ? Tout simplement parce que si il y a une faille dans ton code, le mot de passe que le "hackeur" va certainement trouvé en premier est ton code d'accès à ta base de donnée (car tu l'as inscrit quelque part dans tes fichiers pour effectuer tes requêtes). Un mot de passe différent permet donc de ne pas te faire voler ton compte hébergeur, et de limiter l'accès à ton FTP.

Après, tu utilise des formulaires, et tu ne filtre peut-être pas toutes les données reçues ? A chaque fois que tu reçois des données en provenance de l'extérieur (et quelque soit la méthode : GET, POST ou COOKIES), tu dois les vérifier, car elles peuvent facilement être falsifié.

Si tu veux en savoir un peu plus, contact moi par MP, je pourrais peut-être t'aider pour éviter à l'avenir un ennui similaire :wink: .

Je ne veux pas polémiquer sécurité avec toi car c'est inutile a mon sens.

D'un coté tu dis que ca n'existe pas puis tu dis ca pourrait se faire avec un mot de passe de 3 lettres. Tu manques de cohérence dans tes propros.

Ensuite j'emet une hypothèse car on ne peut pas être sur d'ou ca vient sans une analyse approndie.

Pour le reste je suis en accord avec toi.

Bonne journée

 

[ManiaGames]

Quand je dis que ça n'existe pas, je veux dire que les chances que l'obtention d'un mot de passe soit dû à un bruteforce ftp sont tellement minimes qu'on peut les considérer comme nulles.

Il y a tellement de manières plus simples et plus rapides de se procurer un mot de passe que la personne ne va pas s'ennuyer à passer plusieurs mois à forcer un mot de passe qui peut être changer ...
L'injection SQL est certainement la méthode la plus pratiquée car elle est rapide, et que beaucoup de sites ne savent pas s'en protéger.

Sinon, je suis aussi d'accord qu'une analyse plus approfondie serrait nécessaire, notamment de connaître la manière du webmaster de traiter les données qu'il reçoit, de quel manière il protège ses includes et ses sessions, etc...