Site hacké, index modifié avec ajout d'un javascript

[oli004]

Bonjour tout le monde,


J'ai eut la désagréable occasion de constaté avant hier qu'un de mes petits sites hébergé chez ovh en mutu avait été hacké.

La hackeur à modifier le fichier index.php pour y ajouter un javascript :

<script language="javascript">$="%63a%3d%22%2566u%256ecti.....CONTENU SUPPRIMÉ.....%7d;";eval(unescape($));document.write($);</script>

Le script redirigeant vers un site porno, bien évidement.

Sachant que ce site n'utilise pas de formulaire avec lien vers bdd (risque d'injection sql)
Mes stats ne font pas apparaitre une surfréquentation le jour ou le fichier a été modifié.

Comment pensez-vous que le hackeur à procédé ?

Sachant que les pass fournis par ovh comprennent 8 caracteres alphanumériques avec majuscules et minuscules, pensez-vous que l'attaque puisse s'etre effectuée par une routine essayant chaque combinaison possible ?

 

[Suede]

Qu'as tu d'installer?
Script tout fait? Script maison?
Site dynamique avec des includes d'url?
Uniquement du html?

 

[oli004]

il s'agit d'un petit site maison d'une vingtaine de pages, pas de cms en tout cas.

Des includes, oui, j'en utilise, par exemple pour inclure le footer ou le menu. En règle général j'utilise un include pour les éléments communs.

exemple :

blabla
</div>

 <?php include "footer.php" ?>

</body>

je ne passe aucune variable en url.

 

[bacalao]

je suis pas pro des includes mais je penses effectivement qu'il est passé par la

 

[annonces-vacances]

J'ai également eu un hack sur un mutu ovh, une modification du fichier htacces renvoyant sur un blog

 

[oli004]

J'ai également eu un hack sur un mutu ovh, une modification du fichier htacces renvoyant sur un blog

Je suis même au regret de t'annoncer que le site de ton www balance un joli Cheval de Troie : Trojan.JS.Redirector.e

sur : -http://www.annonces-vacances.info/location/admin/members/etequ/check.js

Immédiatement bloqué par mon antivir

 

[annonces-vacances]

J'ai également eu un hack sur un mutu ovh, une modification du fichier htacces renvoyant sur un blog

Je suis même au regret de t'annoncer que le site de ton www balance un joli Cheval de Troie : Trojan.JS.Redirector.e

sur : -http://www.annonces-vacances.info/location/admin/members/etequ/check.js

Immédiatement bloqué par mon antivir

Merci, c quoi l'antivirus qui t'a permis de voir cela, je viens d'enlever le fichier en question

 

[oli004]

Merci, c quoi l'antivirus ...

Kaspersky

J'ai également eu un hack sur un mutu ovh,

C pour cela que j'aimerai savoir si il y a une éventuelle faille sur les mutus d'ovh ou bien si il s'agit de failles liées au contenu des hebergement (le plus probable)

Comme cela m'est arrivé sur un site hyper basic, je m'intérroge.

 

[annonces-vacances]

Tu n'as rien de technique sur ton mutu?

 

[bozoleclown]

C'est ton site en www?

 

[bozoleclown]

sur : -http://www.annonces-vacances.info/location/admin/members/etequ/check.js

le check.js on en voit partout en ce moment.
Si tu as le check.js je pense que tu as également un .htaccess modifié ou créé à la racine de ton site qui redirige vers une page foireuse contenu dans le dossier admin/members/etequ/check.js

j'ai eu ça sur un site qui avait une gallerie photo contenant une faille.

 

[annonces-vacances]

sur : -http://www.annonces-vacances.info/location/admin/members/etequ/check.js

le check.js on en voit partout en ce moment.
Si tu as le check.js je pense que tu as également un .htaccess modifié ou créé à la racine de ton site qui redirige vers une page foireuse contenu dans le dossier admin/members/etequ/check.js

j'ai eu ça sur un site qui avait une gallerie photo contenant une faille.

En effet j'avais un fichier htacces modifié.

 

[oli004]

le seul outil "technique" est le système de statistiques. en l'occurence, il s'agit de php-stats

Le code a insérer sur les pages est de la forme :

<?php
//define('__PHP_STATS_PATH__','/home/xxxxxxxx/www/stats/');
//include(__PHP_STATS_PATH__.'php-stats.redir.php');
?>

ou xxxxxxxx est remplacé par le compte root

C'est ton site en www?

Non, il ne s'agit pas de mon site en www

 

[bozoleclown]

En effet j'avais un fichier htacces modifié.

OK je pense que le hacker doit passer par des failles connues de gallerie/forum/blog etc etc ....
et tu dois avoir sur toutes tes pages un appel à check.js...

Bref mets à jour la gallerie/le forum en question

et après tu vires son dossier "etequ"
et ca devrait etre bon

enfin tu enleves sa merde du htaccess avant

Enfait cet htaccess redirige tous les visiteurs provenant de moteur de recherche vers une page dans le dossier "etequ" avec de la pub (magnifique cloaking au passage)

 

[bozoleclown]

le seul outil "technique" est le système de statistiques. en l'occurence, il s'agit de php-stats

surement passé par une faille de php-stats dans ce cas

tu nous donnes l'adresse?

 

[Selection A]

ou ta version de php-stat car à tout hasard mais si cette faille date un peu quand même :

http://www.horslimite.net/?section=news&news=1117342413

 

[oli004]

J'utilise une version rescente