Mon site est hacké !

fredm

WRInaute occasionnel
Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred
 

fredm

WRInaute occasionnel
Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup
 

amazigh25

WRInaute impliqué
J'ai vu un site hacké de la même manière, il y'a quelques minutes, c'est un wrinaute aussi (je fouillais dans l'annu !)

Sinon bon courage
 

Daktari

WRInaute impliqué
fredm a dit:
Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?
 

Ohax

WRInaute accro
Merci pour les infos.

Je suis chez sivit en dédié mais je fais quand même une backup en vitesse au cas ou.

Je vous conseille de faire de même.
 

fredm

WRInaute occasionnel
non apparemment le virus remplace tous les fichier index* par le sien, donc il faut parcourir tous les répertoire pour le remplacer.
La base de donnée n'est pas affectée.
Il y a un javascript dedans qui semble générer les pages.

Voici le contenu de ce fichier:

Code:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML><HEAD><TITLE>Hacked By DeviL </TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><STYLE>BODY {
	SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}
</STYLE><STYLE>.page {
	BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE><META content="MSHTML 6.00.2900.2180" name=GENERATOR><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR>
<META content="Microsoft FrontPage 6.0" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId><TITLE>.:: HaCkeD By DeviL ::.</TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><META content="MSHTML 6.00.2900.2180" name=GENERATOR><STYLE>.layermensaje {
	FONT-SIZE: 10pt; COLOR: #ff0000; LINE-HEIGHT: 10pt; FONT-FAMILY: "Courier New"
}
</STYLE><TITLE>Hacked By DeviL </TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<STYLE>BODY {
	SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}</STYLE>
<STYLE>.page {
	BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE>


<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center><img border="0" src="kanakisi.gif" width="532" height="24"><img border="0" src="578d9466c1.gif" width="475" height="40">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">D</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">e</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">v</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">i</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">L</font><FONT face="ACS  Almass Extra Bold" 
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" 
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<span style="font-weight: 700">
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">&amp;</font></span></p> 
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>a</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>u</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>d</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>i</FONT><FONT 
face="ACS  Almass Extra Bold" color=#ff0000 size=6> </FONT>
<FONT 
face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT 
face="ACS  Almass Extra Bold" color=#FF0000 size=6>p</FONT><FONT 
face="ACS  Almass Extra Bold" color=#99CC00 size=6>y</FONT><FONT face="ACS  Almass Extra Bold" 
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" 
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
&nbsp;</p>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center><img border="0" src="578d9466c1.gif" width="475" height="40"><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">&nbsp;<HTML><BODY bgColor=#000000 onload=teclear(); background></BODY></HTML><img border="0" src="kanakisi.gif" width="532" height="24"><P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center>
<OBJECT height=0 width=0 align=right 
classid=clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA><PARAM NAME="controls" VALUE="PlayButton"><PARAM NAME="autostart" VALUE="-1">
	<PARAM NAME="src" VALUE="http://www.bahraindrag.com/M6roDe.ram" ref><PARAM NAME="SHUFFLE" VALUE="0"><PARAM NAME="PREFETCH" VALUE="0"><PARAM NAME="NOLABELS" VALUE="0"><PARAM NAME="LOOP" VALUE="0"><PARAM NAME="NUMLOOP" VALUE="0"><PARAM NAME="CENTER" VALUE="0"><PARAM NAME="MAINTAINASPECT" VALUE="0"><PARAM NAME="BACKGROUNDCOLOR" VALUE="#000000"><PARAM NAME="_ExtentX" VALUE="609"><PARAM NAME="_ExtentY" VALUE="661"></OBJECT><img border="0" src="saudieye.jpg" width="225" height="200">ONT-SIZ<HTML><HTML><HTML><BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background><P align=center><B><FONT size=5> &nbsp;</FONT></B><SCRIPT language=JavaScript>
if (document.all){
Cols=10;
Cl=24;
Cs=100;
Ts=10;
Tc='#ff0000';
Tc1='#ff0000';
MnS=5;
MxS=10;
I=Cs;
Sp=new Array();S=new Array();Y=new Array();
C=new Array();M=new Array();B=new Array();
RC=new Array();E=new Array();Tcc=new Array(0,1);
document.write("<div id='Container' style='position:absolute;top:0;left:-"+Cs+"'>");
document.write("<div style='position:relative'>");
for(i=0; i < Cols; i++){
S[i]=I+=Cs;
document.write("<div id='A' style='position:absolute;top:0;font-family:Arial;font-size:"
+Ts+"px;left:"+S[i]+";width:"+Ts+"px;height:0px;color:"+Tc+";visibility:hidden'></div>");
}
document.write("</div></div>");


for(j=0; j < Cols; j++){
RC[j]=1+Math.round(Math.random()*Cl);  
Y[j]=0;
Sp[j]=Math.round(MnS+Math.random()*MxS); 
for(i=0; i < RC[j]; i++){
 B[i]='';
 C[i]=Math.round(Math.random()*1)+' ';
 M[j]=B[0]+=C[i];

 }
}
function Cycle(){
Container.style.top=window.document.body.scrollTop;
for (i=0; i < Cols; i++){
var r = Math.floor(Math.random()*Tcc.length);
E[i] = '<font color='+Tc1+'>'+Tcc[r]+'</font>';
Y[i]+=Sp[i];


if (Y[i] > window.document.body.clientHeight){
 for(i2=0; i2 < Cols; i2++){
 RC[i2]=1+Math.round(Math.random()*Cl);  
 for(i3=0; i3 < RC[i2]; i3++){
 B[i3]='';
 C[i3]=Math.round(Math.random()*1)+' ';
 C[Math.floor(Math.random()*i2)]=' '+' ';
 M[i]=B[0]+=C[i3];
 Y[i]=-Ts*M[i].length/1.5;
 A[i].style.visibility='visible';
 }
 Sp[i]=Math.round(MnS+Math.random()*MxS);
 }
}
A[i].style.top=Y[i];
A[i].innerHTML=M[i]+' '+E[i]+' ';
}
setTimeout('Cycle()',20)
}
Cycle();
}
// -->
</SCRIPT><SCRIPT src="Hacked By DeviL " 
type=text/javascript>
</SCRIPT><SCRIPT type=text/javascript>
_uacct = "UA-231925-2";
_udn="jeeran.com";
urchinTracker();
</SCRIPT><SCRIPT src="Hacked By DeviL " 
type=text/javascript>
</SCRIPT><P>&nbsp;</P></BODY></HTML>
<HTML>
<BODY bgColor=#000000 onload=teclear(); background>
<FONT style="FONT-SIZE: 1pt" 
face="Courier New" color=#66ff33>
&nbsp;<SCRIPT language=javascript>
<!--
// mensaje elite
mensaje= 
 
'<p align="lef"><font size="2" face="Courier New">Connecting To The Server, Please Wait . . . . . .  </font></p>'+'     <br>'+
'<br>           '+
'YouR Site HaCkeD By DeviL AnD Saudi Spy<br>'+
'                    <br>'+
'CoNtAcT Me : DeviL-HackEr-x@hotmail.com   or saudi.spy@hotmail.com       <br>           '+
' '+
'                    <br>'+
'DonT Tell Me To Stop<br <br>'+


' <br>'+
' NoW iM tHe CoNtRoLlER & ThE LeADeR <br>'+
'  <br>'+


'   <br>'+
'sh-2.05b$ E x i t <br>'+
'<p align="center"> <b><font size="3">   "Copyright © DeviL 2007"          </font></b> <br>'
line=0
cursor='_'
function teclear(){
if(line==mensaje.length) cursor=''
ttecleado.innerHTML=mensaje.substring(0,line)+cursor
if(line++<mensaje.length) setTimeout("teclear()",60) 
}
//-->
</SCRIPT></FONT><DIV class=layermensaje id=ttecleado ?>
	<p align="left"></DIV>
<p align="left">
</FONT>
</p>
<P align="left"></P>
<p align="center">
<SCRIPT src="../_%20HaCkeD%20By%20sabirano_files/weborama.js" 
type=text/javascript></SCRIPT>


<SCRIPT type=text/javascript>
<!--
if (top != self) { top.document.title = document.title; document.body.onunload=top.frames[0].location.href=p; rnd=Math.floor(Math.random()*1000); var b=(''+location.hostname).split('.'); s=b[b.length-3] + '.' + b[b.length-2] + '.' +b[b.length-1]; image_stat = new Image(); image_stat.src = 'http://82.196.5.35/i.php?s=' + s + '&' + rnd; }
-->
</SCRIPT>
</BODY></HTML>
&nbsp;</P>
<P dir=rtl 
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed" 
align=center>&nbsp;</P>


<P align="center">&nbsp;</P></BODY></HTML>
 

MirageDemonAsh

WRInaute occasionnel
fredm a dit:
Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Tu peux remettre ton fichier index et retirer tous les droits en écriture même le proprio pour voir. Chmod 444 ou que lecture lecture lecture avec ton client FTP

Pour les serveurs linux, bsd, etc.. :

chattr +i index.html pour un verrouillage

Ou mieux chattr -R +i /repweb pour un verrouillage recursif

Pour déverrouiller : chattr -i index.html

chattr -R -i /repweb
 

Daktari

WRInaute impliqué
Ok :D et bien si chaque site doit remettre tous ses fichiers index, il va y avoir du boulot :cry: , enfin pour l'instant aucun de mes sites n'est touché je suis sur le sql4 et 5 et vous ?
 

mx

WRInaute impliqué
Daktari a dit:
fredm a dit:
Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...
 

Daktari

WRInaute impliqué
mx a dit:
Daktari a dit:
fredm a dit:
Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup

J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?

lundi c'est férié ...

En plus :? , je me demande si c'est le hazard que ce virus frappe justement durant un long week-end ?
 

fredm

WRInaute occasionnel
ben ce sera l'occasion de voir s'ils vont sivit que çà...

J'ai changé les attributs en lecture uniquement, je vais voir ce que ca donne très bientôt car les fichier sont apparemment changés toutes les heures. Je vais pas non plus me lever toutes les heures cette nuit, on est pas des sauvages !
 

david96

WRInaute passionné
Dur !

En attendant que Sivit corrige cela, faudrait peut être par mesure de sécurité, fermer avec Deny votre boutique ?
 

Ohax

WRInaute accro
Si le virus s'execute en ROOT il n'y a rien a faire.

Il faudra pour sivit certainement formater les serveurs.

Sinon le chmod devrait suffir.


Quoique si la chose est maline...
 

wullon

WRInaute accro
fredm>si, changer le champ A des DNS peut valoir le coup. En général, les TTL sont réglés sur une heure, donc le temps de propagation compensé par le temps du "rehack", tu peux arriver à bien limiter la casse.
 

keroin

WRInaute passionné
david96 a dit:
-http://forum.sivit.fr/
ça fait peur quand même ! :?

Ah ouais...quand même 8O

Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:
 

david96

WRInaute passionné
keroin a dit:
Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:
+1 (Recommander aussi ce topic en passant...)
 

Ohax

WRInaute accro
Hey les gars j'ai son ip :lol:


127.0.0.1 8)


Chui un lamerz !


:lol: :lol: :lol:



Pause détente du sujet :).

(Oui je sort)
 

Daktari

WRInaute impliqué
Quelqu'un en France a-t-il téléphoné à Sivit ? :wink:

Notez que ça aurait été plus marrant si les hackers nous avaient mis des oeufs comme images :lol: .
 

netsba

WRInaute discret
mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite
 

fredm

WRInaute occasionnel
pour info, le changement d'attributs en 444 n'a rien fait, j'ai donc changé de DNS. Fait chier cette histoire.
 

Ohax

WRInaute accro
Le virus s'exécute très probablement en root.

Il faudra attendre que sivit réagisse ;-).
 

david96

WRInaute passionné
netsba a dit:
mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite
Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...
 

Hairai

Nouveau WRInaute
La situation à l'air de se reparer,
le forum n'affiche plus qu'un message d'erreur =)

D'aprés leur chan IRC,
ça vient d'une mise à jour non faites de punBB :

<Chojin> une mise a jour pas a jour du forum, pas bien grave :)
<nalrem> Ca a pas touché d'autres hébergements ?
<Chojin> non. safe mode, utilisateur séparé, etc. Ca reste un site web, meme s'il s'agit du forum

<Hairai> oki, donc les autres sites defacés avaient aussi un punbb pas à jour ?
<Chojin> Hairai: oui, ou phpbb
<Chojin> plus courant lui

Donc voilà, mettez vos forums à jour =)
 

netsba

WRInaute discret
david96 a dit:
Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...
a 18 ans je crois pas que ca soit un poseur de bombes :lol:

le challenge de mettre a sac un grand hebergeur ne suffit pas?
 

david96

WRInaute passionné
Le mieux serait de le préciser sur le Forum de Sivit je pense ! ;-)
-http://forum.sivit.fr/viewtopic.php?id=8132
 

gainsdejeux

WRInaute discret
Hello,

Mon site fait également partie de la longue liste... Quelle misère !

Au passage, le forum de sivit est de nouveau out.

Bon courage à tout le monde :?
 

sim100

WRInaute passionné
forum

Pour mon 1two.org et qq autres sites, j'ai remis en place
:? mais bon...
Pas cool
Ca fait du boulot pour rien!
 

saypee

WRInaute passionné
J'ai un de mes sites qui a ete touché.
J'ai remplacé l'index ,et j'ai fait une sauvegarde de tous mes sites sur les autres hebergeurs au cas ou...
 

Bellegarde-webb

WRInaute impliqué
fredm a dit:
Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred
Grace à vous je viens de voir que mon site aussi est hacké. Au secours
que dois-je faire?
:twisted:
 

absolugratuits

Nouveau WRInaute
Les miens aussi

Bonjour,

J'ai deux sites aussi, en mutualisé chez Sivit, et tous deux hackés.
Je viens seulement de e découvrir, et j'ai tout de suite pensé venir ici, pour esayer de trouver le problème.

Je n'ai ni punbb ni je ne sais quoi en base de données, justement, je n'y connais rien.

les adresses :
http://www.tarot-numerologie.com/
et
http://www.jhp-videoproductions.fr/

En effet, je l'ai en page perso sur free, le site de tarot, et là, ça va très bien

Qu'est-ce que je peux faire?
Je viens de voir aussi que le forum si vite a été hacké. Je crois que qqun l'a dit, mais j'en suis pas sûre.
Mis à part attendre demain matin, qu'est ce que je peux faire?

Merci d'avance pour toutes vos réponses

Helene
 

Bellegarde-webb

WRInaute impliqué
En rechargeant les pages d'index, ça marche mais pour combien de temps??? :twisted: :twisted:
J'espère qu'ils vont agir vite!!

Leur forum est toujours hacké qui a dit qu'il remarchait?? :x :x

Heureusement qu'il y a WRI
 

absolugratuits

Nouveau WRInaute
J'ai renvoyé le site de vidéo, mais rien n'a changé. Il est petit, donc facile et rapide à envoyer, c'est pour cette raison qu'il m'a servi de test.

Mon site de tarot est en .com et .fr
Tous sont touchés
J'ai renvoyé les pages index, toujours rien.

Et donc, pas de php pour moi. Que du html.
 

Bellegarde-webb

WRInaute impliqué
J'ai dit que en remettant les index, ça marchait mais non. Ils semble que les feuilles de style de l'index sont aussi touchées car en supprimant le cache
je n'ai plus de style pour l'index qui a pour nom index.css. Donc c'est tout
ce qui porte un mnom de fichier index quelque soit l'extension qui est touché.

Quand au blog je n'arrive pas à le remettre en place!!
:twisted: :twisted: :p :x :x
 

absolugratuits

Nouveau WRInaute
Deux renvois d'index pour le site de vidéo et toujours rien.
L'impression qu'il s'est renforcé, mais c'est peut-être mon imagination
Donc, Sivit ne va pas bouger avant au moins mardi..... Dégoutée
 

absolugratuits

Nouveau WRInaute
Hum, j'ai envoyé il y a qques mns un mail de reproches chez Sivit.
Même en mutualisés, payant moins cher que d'autres prestations, il n'est pas normal qu'il puisse y avoir autant de dégats, y compris chez eux, sans que personne ne bouge.

Si je traduis bien, rien ne sera fait avant au moins mardi matin.
Ben ils vont le sentir passer ce problème chez notre hébergeur bien-aimé.......
 

absolugratuits

Nouveau WRInaute
Dans le code source du haker, y'a ça :

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML>

Ca correspond à quoi d'après vous? J'y suis allée et c'est n'importe quoi.
Mais bon, n'y connaissant rien, je ne vois pas comment je pourrais en déduire quelque chose.
 

fredm

WRInaute occasionnel
absolugratuits a dit:
Deux renvois d'index pour le site de vidéo et toujours rien.
L'impression qu'il s'est renforcé, mais c'est peut-être mon imagination
Donc, Sivit ne va pas bouger avant au moins mardi..... Dégoutée
Hélène, manifestement s'ils ne sont pas remplacés c'est qu'ils sont peut-être en lecture seule.

Donc efface d'abord les fichiers index corrompus, vérifie qu'ils ne sont plus là, ensuite tu fais le transfert de tes nouveaux fichiers. Tu devrais pouvoir comparer ensuite avec la taille des fichiers, ceux corrompus sont tous à une taille d'environ 96xx Ko.

Don't worry, be happy, seule sur le sable les yeux dans l'eau, parceque moi hier j'ai tremblé au tout début...
 

absolugratuits

Nouveau WRInaute
Merci infiniment de ton aide.

J'ai pu voir que mon site avait été hacké à 1h30 du matin et celui de vidéo, à 4h45......

Les sites sont de nouveau en action.
Je savais que j'avais bien fais de venir ici.

Encore merci. Et en plus, j'ai compris ce qu'il fallait faire.... Ca a l'ai bete, mais y'a pas longtemps que je sais faire ça.
 

Bellegarde-webb

WRInaute impliqué
ça bouge un peu maintenant on ne peut plus se connecter au serveur.
Espérons qu'il sont en train d'y faire quelque chose. :?: :?:

Serveur de nouveau accessible. J'avais espéré que c'était un bon signe. :(
 

aiepepito

WRInaute discret
Il faut supprimer tt les fichiers en ligne qui sont désormais tous corrompus (vérifiez avant quand meme) et remette les bonnes sources.
 

lolilol

WRInaute impliqué
aiepepito a dit:
Il faut supprimer tt les fichiers en ligne qui sont désormais tous corrompus (vérifiez avant quand meme) et remette les bonnes sources.

??????? comment ca? on parlait des fichiers index uniquement....
Pourquoi parles tu de tous les fichiers en ligne?
 

Fight666

WRInaute impliqué
Mon annuaire à été touché aussi...

J'ai remis mon index.php, pour le moment ca fonctionne toujours

Font ch**r ces hackers -__-
 

Ohax

WRInaute accro
Les index.html ont la priorité sur les autres index avec d'autres extensions.

Je me sert de cette astuce pour le site de mon profil.



Vérifie qu'il n'y ait pas d'index.html / index.htm qui traine :).
 

guicara

WRInaute passionné
Ou là ! Sa fait peur !
Le forum de sivit ne marche plus.
Heureusement que je ne suis pas sur sivit...

Pour ceux qui voudraient un petit souvenir dans le temps :
 

toniok05

WRInaute discret
Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...
 

Daktari

WRInaute impliqué
toniok05 a dit:
Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...

Bonne question vu le mutisme de Sivit.

En ce qui me concerne et vu qu'à première vue seul les fichiers index et pas les bases sont touchés, je pense procéder de la manière suivante :

- attendre des nouvelles de l'hébergeur (faille colmatée) même si ça prend plusieurs jours.

- recharger tous les fichiers à partir d'une sauvegarde et pas seulement ceux en index dès que la faille est réparée :wink: .

Vu que les sauvegardes sont à charge du client comme précisé par contrat, je doute que Sivit réinstalle tout même si ce serait un plus :D .

Au fait Sivit est-il côté en bourse ? Si c'est le cas, je ne voudrais pas voir le cours de l'action mardi :oops: .
 

ouaich_01

WRInaute discret
Salut tout le monde

C'est rassurant de se sentir moins seul ;)

Je viens de constater que je suis également touché par le problème de devil
-http://www.otop-nutrition.fr

Fallait bien que ca m'arrive....... lol

Par contre, je n'ai pas trop compris ce qu'il fallait faire pour résoudre temporairement le problème.

Je me voyais effacer tous mes fichiers sur le serveur et de les upload ensuite, faut pas faire ca ?

Quand vous parlez de l'index, c'est la page d'accueil ?
 

toniok05

WRInaute discret
ouaich_01 a dit:
Quand vous parlez de l'index, c'est la page d'accueil ?

Il s'agit de tous les fichiers contenant le mot "index" :
index.php
index.html
index-en.php

etc...

et ce dans TOUS les répertoires et sous-répertoires de la racine/

Honnetement, si c'est "que" ça, on s'en tire bien. Esperons que SIVIT ne tarde pas à nous confirmer que c'est le seul probleme.

Si tu as une sauvegarde récente et complète du site, uploade le tout, sinon le fait de remplacer les fichiers contenant "index" dans chaque répertoire suffit apparemment à remettre les sites sur pied.
 

Hairai

Nouveau WRInaute
Daktari a dit:
toniok05 a dit:
Nous voila tous dans de beaux draps.

Le probleme, c'est que SIVIT ne nous tiens pas informés.

Doit-on bosser pour remettre les index un par un, ou doit-on compter sur SIVIT pour nous fournir un backup d'ici Lundi ?

That is the question (enfin la première qui me vient à l'esprit)...

Bonne question vu le mutisme de Sivit.

En ce qui me concerne et vu qu'à première vue seul les fichiers index et pas les bases sont touchés, je pense procéder de la manière suivante :

- attendre des nouvelles de l'hébergeur (faille colmatée) même si ça prend plusieurs jours.

- recharger tous les fichiers à partir d'une sauvegarde et pas seulement ceux en index dès que la faille est réparée :wink: .

Vu que les sauvegardes sont à charge du client comme précisé par contrat, je doute que Sivit réinstalle tout même si ce serait un plus :D .

Au fait Sivit est-il côté en bourse ? Si c'est le cas, je ne voudrais pas voir le cours de l'action mardi :oops: .

http://forum.sivit.fr/viewtopic.php?pid=52441

voilà tes réponses,
malgrés le week end de pâques ça bouge quand même chez sivit,
sinon pour avoir des infos en temps reel pour ceux qui utilisent irc -> irc.sivit.fr @ #sivit
 

tophus

WRInaute discret
ouaich_01 a dit:
Salut tout le monde

Je me voyais effacer tous mes fichiers sur le serveur et de les upload ensuite, faut pas faire ca ?

Quand vous parlez de l'index, c'est la page d'accueil ?

Non, tu remplace juste tout tes fichiers nommés index.htm et index.php.

J'ai également, tous mes sites chez sivit en mutu de touché.
 

ouaich_01

WRInaute discret
Je viens de remplacer les pages index et effectivement tout remarche...

Par contre j'ai un petit soucis :

J'ai pas de page "index" sur mon site à la page d'accueil

J'accède directement via "-otop-nutrition.fr et non par "otop-nutrition.fr/index.html

Je ne peux donc pas modifier ?

D'avoir accès à toutes mes pages mais pas la porte d'entrée c'est embêtant..... :p
 

toniok05

WRInaute discret
ouaich_01 a dit:
J'ai pas de page "index" sur mon site à la page d'accueil

J'accède directement via "-otop-nutrition.fr et non par "otop-nutrition.fr/index.html

Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1
 

ouaich_01

WRInaute discret
toniok05 a dit:
Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1

L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?
 

STFprod

WRInaute occasionnel
sont sympa chez sivit : c'est de votre faute, à cause de mises à jour non faites...

Chez celeonet mes serveurs ont également été hackés, mais pas par la même personne.

Il s'agissait d'une faille dans awstats, exploitée, du fait de l'absence d'un htaccess pour protéger l'accès...

Est ce que ca ne pourrait pas venir de là ?
 

STFprod

WRInaute occasionnel
ouaich_01 a dit:
toniok05 a dit:
Heu...si ta page d'accueil est otop-nutrition.fr/index.html

Mais apparemment, tu n'es pas hacké, ou alors tu viens de faire un upload...

Il me semble que le forum SIVIT est plus approprié pour toutes ces questions: http://forum.sivit.fr/viewtopic.php?id=8133&p=1

L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?

chez moi ton site apparait depuis ton WWW...
 

ouaich_01

WRInaute discret
STFprod a dit:
chez moi ton site apparait depuis ton WWW...

Oui ok c'est bon la maintenant ;)


Sinon la faille viendrait des forums phpbb alors ?

C'est fou ca, je l'ai installé vendredi ce foutu forum, deux jours après le hacker arrive.......

Pas de bol ou simple coïncidence ?
 

toniok05

WRInaute discret
ouaich_01 a dit:
L'accès à mon site est bien hacké, en cliquant sur mon www tu le verras

Si je passe par otop-nutrition.fr/index.html ok j'accède à mon site.

Donc comment faire (à part tout recharger sur le serveur) ?
Suis désolé mais chez moi le lien de ton WWW fonctionne à merveille !

As-tu vidé le cache de ton navigateur et rechargé la page ?

Je vois une page d'erreur en consultant otop-nutrition.fr/index.php

Tu n'aurais pas par hasard une réécriture d'URL de index.php vers index.html ?

Pour répondre à ta question, je te renvoie à mon post de tout à l'heure :
Il s'agit de tous les fichiers contenant le mot "index" :
index.php
index.html
index-en.php

etc...

et ce dans TOUS les répertoires et sous-répertoires de la racine/
 

tophus

WRInaute discret
STFprod a dit:
sont sympa chez sivit : c'est de votre faute, à cause de mises à jour non faites...

Chez celeonet mes serveurs ont également été hackés, mais pas par la même personne.

Il s'agissait d'une faille dans awstats, exploitée, du fait de l'absence d'un htaccess pour protéger l'accès...

Est ce que ca ne pourrait pas venir de là ?

Visiblement l'attaque a eu lieu à plusieurs niveaux, sur des appli php, et la éffectivement il faut faire les mises à jour des appli, forum...
Mais elle affecte également des sites entierement html, et la on ne peut rien fairele car elle agit directement sur le serveur d'hébergement en injectant une appli qui remplace les index, et dans ce cas un htaccess ne change rien j'ai des site avec des htacess qui sont touché dans les dossier protégé.
 

STFprod

WRInaute occasionnel
oui, mais d'où a-t-elle été injectée ?
moi c'était depuis awstats, qui n'était pas protégé...

une fois installée, l'appli supprime tout ce qu'elle veut...

j'avais même trouvé le script php qui lancait le hack...
 

ouaich_01

WRInaute discret
toniok05 a dit:
Suis désolé mais chez moi le lien de ton WWW fonctionne à merveille !

As-tu vidé le cache de ton navigateur et rechargé la page ?

Je vois une page d'erreur en consultant otop-nutrition.fr/index.php

Tu n'aurais pas par hasard une réécriture d'URL de index.php vers index.html ?

Pour répondre à ta question, je te renvoie à mon post de tout à l'heure :

Je posais cette question car je ne me suis jamais servi de ma page index pour accéder à mon site, tout passe par "/"

C'est bon tout est rentré dans l'ordre ;)

Allez ouaich_01 fais un effort, va sur http://forum.sivit.fr/viewtopic.php?id=8133

@+

;-)
 

toniok05

WRInaute discret
En fait, lorsque tu tapes une adresse du type -www.monsite.com dans ton navigateur, celui-ci affiche la page nommée "index", quelquesoit son extension.

Idem pour les répertoires et sous répertoires.

Essaie ça : tu crées un répertoire nommé "monrepertoire", tu y places un fichier index.html par exemple.

Lorsque tu appelles l'URL -www.monsite/monrepertoire la page "index" s'affichera, comme si tu tapais -www.monsite/monrepertoire/index.html
 

tophus

WRInaute discret
STFprod a dit:
oui, mais d'où a-t-elle été injectée ?
moi c'était depuis awstats, qui n'était pas protégé...

une fois installée, l'appli supprime tout ce qu'elle veut...

j'avais même trouvé le script php qui lancait le hack...
A mon avis pas à notre niveau, en tout cas, je n'ai pas de script inconnu dans mes sites hackés. c'est peut-être directement l'appli qui gère les compte mutu client qui a été hacké.
 

ouaich_01

WRInaute discret
toniok05 a dit:
En fait, lorsque tu tapes une adresse du type -www.monsite.com dans ton navigateur, celui-ci affiche la page nommée "index", quelquesoit son extension.

Idem pour les répertoires et sous répertoires.

Essaie ça : tu crées un répertoire nommé "monrepertoire", tu y places un fichier index.html par exemple.

Lorsque tu appelles l'URL -www.monsite/monrepertoire la page "index" s'affichera, comme si tu tapais -www.monsite/monrepertoire/index.html

OK Toniok c'est plus clair pour moi maintenant ;-)

J'y pensais plus à cette page index......

Merci à tous
 

h4ni

WRInaute occasionnel
Bonsoir
je vien de parler avec le soit disant Hacker!
il parlent d'une faille sur les serveur de sivit.fr ! qui ne sont pas a jours :)
 

hardmicro

WRInaute impliqué
Je pense que tout comme moi vous avez tous reçu le mail de Sivit puor nous rassurer et nous avertir en même temps
 

roamer

Nouveau WRInaute
Il faudrait que Sivit propose une alerte par SMS (payante biensûr).
Parce que là ceux qui sont partis en WE prolongé n'ont plus qu'à aller s'imprimer une couronne de roi des cons sur http://www.roi-des-cons.com/ à dès leur retour de week end !
Moi j'ai du bol j'étais malade !!! :lol:
 

absolugratuits

Nouveau WRInaute
Rien reçu du tout de chez Sivit
J'ai tout remis moi meme comme plein d'autres.

Chez Sivit, pour avoir droit à toute cette assistance, 24/24, il faut être en dédié à des prix prohibitifs.

Au moment où je tape ces mots, je reçois ça, en réponse de Sivit.
Je leur ai envoyé un mail hier, pour exprimer ma grande colère
et voilà leur réponse :

".....Le pirate a agit sur les fichiers 'index.*' et 'main.*'. (Remplacement de ces
fichiers par le Fichier de hack !)

Nous avons travaillé toute la journée d'hier afin de remmettre en place tous
les Sites qui ont été piratés.

A cette heure, nous ne devrions plus avoir de Site piraté.

Si vous avez toujours un problème de piratage sur un de vos Site, merci de
revenir vers nous avec le Nom de votre Site et le Nom de la page piratée afin
que nous puissions voir ce qu'il en est.

Afin de prévenir ce type d'incident, vous devez vérifier les applications PHP
que vous utilisez et les mettre "_Impérativement_" à jour de la dernière
version.

Nous allons bien entendu analyser les Logs de ce Week-end afin de trouver
l'origine de cette attaque, nous vous tiendrons informé......"

Voilà, quelqu'un a reçu autre chose?
 

Koxin-L

WRInaute passionné
h4ni a dit:
je vien de parler avec le soit disant Hacker!
il parlent d'une faille sur les serveur de sivit.fr ! qui ne sont pas a jours :)
Qu'est-ce que cela pouvait être d'autre ?

La faille PunBB, mon cul.
Un site à une faille, c'est pour sa pomme.
L'hébergeur se fait hacker parce que lui aussi à une faille. Et dans c'est cas, là, pas besion de s'exiter le chou... Faut patienter, et faire des save au cas où...
 

mythos75

Nouveau WRInaute
Bonjour,

je suis également hébergé chez Sivit et j'ai pris peur, hier, en voyant mon forum PhpBB hacké.
J'ai d'abord cru à une faille de PhpBB, ce serait pas la première fois, mais mon forum était à jour.
Il suffit de remettre ses fichiers d'index.

Je ne pense pas qu'il faille s'énerver pour si peu, même si l'erreur vient de Sivit, ça arrive ^^
 

Thierry Bugs

WRInaute accro
j'étais en week end, et j'ai regardé avec peur lundi soir, mais rien, tout ok, ils disent avoir restauré des backups, ou bien mon site hébérgé chez eux n'a pas été affecté. Coup de chance...

pour les hacks, ce n'est pas la première fois (j'ai eu une fois terrible chez webheberg (qui n'existe plus)) y en a qui ont vraiment rien d'autre à foutre que casser le boulot des autres :roll:
 

Koxin-L

WRInaute passionné
Vérifie quand même, car leur backup date de plus de 15jours, donc si t'as placer des nouveau répertoires avec des index.tld, ils sont certainement toujours corrompus.
 

Thierry Bugs

WRInaute accro
oui je vais uploader les pages index de répertoires par sécurité, mais vu que ni le blog ni la galerie coppermine n'est affecté, c'est bon...
 

jeroen

WRInaute passionné
Vous voulez que je vous dise ? Franchement je suis content. J'ai une dent contre Sivit depuis des lustres, et là ça les dresse un peu pour la mauvaise pub que ça leur fait. Par ailleurs je suis désolé pour vous, tous les clients de cet hébergeur qui en avez fait les frais.

Dans les années 2001 Sivit proposait un service d'hébergement gratuit, en sous domaine de forez.com.
Un jour ils ont fermé le service, en plein mois d'aout, sans aucun message ni mail d'avertissement. Les sites étaient tout simplement indisponibles et la home pointait vers sivit. pendant plusieurs semaines on se demandait ce qui se passait, et malgré plusieurs mails on a jamais eu la moindre réponse. :evil:
Visiblement leur politique n'a pas changé : ils manquent de transparence. Ils ont eu ce qu'ils méritent. Jamais ne n'irai chez eux.
 

Discussions similaires

Haut