Site malveillant : comment corriger la faille ?

Discussion dans 'Problèmes de référencement spécifiques à vos sites' créé par milkiway, 4 Décembre 2011.

  1. milkiway
    milkiway WRInaute accro
    Inscrit:
    3 Février 2004
    Messages:
    4 196
    J'aime reçus:
    0
    Bonjour,

    Google WMT m'a informé qu'un de mes sites redirigeait vers un site malveillant et a bloqué un de mes sites.
    J'ai trouvé l'origine : le "pirate" a carrément modifié mon htaccess pour faire une redirection globale (301 s'il vous plait).

    J'ai supprimé les lignes mais comment savoir comment il s'y est pris et donc comment corriger la faille ?
    Merci

    PS : je suis sur un dédié
     
  2. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 974
    J'aime reçus:
    121
    Examiner tes logs FTP (et serveur). Te rencarder sur les failles connues du CMS utilisé.
     
  3. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 024
    J'aime reçus:
    1
    Et pour pas fouiller les logs sur trois kilomètres noter l'heure de modification du htaccess hacké pour chercher plus vite a la bonne heure.

    Sinon commencer par nettoyer les machines qui se connectent sur le serveur (en premier)
    Changer les pass serveur.
    Utiliser SFTP pour éviter le reniflage. idem pour SSH.
    Patcher tous les trucs genre open source (pour la partie web)
    mettre a jour les softs serveurs.

    Il y a pas mal d'histoire comme ça chez OVH en ce moment c'est chez eux ?
     
  4. milkiway
    milkiway WRInaute accro
    Inscrit:
    3 Février 2004
    Messages:
    4 196
    J'aime reçus:
    0
    Oui OVH.
    Merci pour les pistes.
     
  5. rikew
    rikew WRInaute impliqué
    Inscrit:
    19 Décembre 2002
    Messages:
    683
    J'aime reçus:
    2
    Je dirait aussi installer un part feu et autoriser uniquement ton ip (+ ip de secours) sur les ports que tu utilisent : ftp, ssh, webmin, phpmyadmin (on peut le placer sur un port) etc ...

    Fouiller de fonds en comble ton arbo (même les sous-sous-sous rep). Il se peut qu'il y ai des backdoors et en général elles sont bien cachées.
     
  6. milkiway
    milkiway WRInaute accro
    Inscrit:
    3 Février 2004
    Messages:
    4 196
    J'aime reçus:
    0
    Merci.

    Un tuto quelque part pour ça ?
     
  7. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 024
    J'aime reçus:
    1
    c'est bizarre ce truc des détournements de trafic via htaccess chez OVH. ça commence a faire beaucoup de cas sur un unique fournisseur (ou alors j'ai pas remarqué les autres). J'en suis a 4 constats cette semaine.

    Si tu as un copie du htaccess torpillé peut tu en poster une copie pour voir si c'est le même truc que j'ai vue ailleurs cette semaine ?

    Je me pose 2 questions :
    1/ est ce que OVH aurait un souci (mais là je doute)
    2/ est que c'est une intervention type "petit" margoulin avec toujours le même code ou un truc individuel a chaque fois.

    Sinon dans au moins un cas il semble que ce soit un phpBB qui ai ouvert la porte.
     
  8. milkiway
    milkiway WRInaute accro
    Inscrit:
    3 Février 2004
    Messages:
    4 196
    J'aime reçus:
    0
    C'est p-e du à la distrib que j'utilise.
    Je te MP le htaccess (partie vérolée).
     
  9. hebergeur-images
    hebergeur-images WRInaute discret
    Inscrit:
    29 Novembre 2011
    Messages:
    53
    J'aime reçus:
    0
    Mort de rire ; je me suis auto piraté ! j'utilise pas apache mais lighttpd et je verrouille tout, pas execution root ; etc.... enfin les bases. tout ce qui est exotique est hors web (exemple hors htdocs).

    J'a fait oune connerie j'ai envoyé plusieurs millions de liens 404 sur un de mes anciens domaines en code 301 et boom ; en 48 heures youhou ce site est dangereux :mrgreen: <============= dommage qu'il est^pas jaune ce smileys =>>>>>>> celui là aussi :lol: :lol: :lol:

    Bon, moi google, ça fait 7 ans que je le pratique, j'ai toujours était loyal en referencement et je vais pas me faire e mmerder par gogole longtemps avec sont algo qui change tout le temps. De plus, l'utilisateur, car moi aussi je suis un utilisateur comme tout le monde et pas qu'un webmaster qui veut ce faire plaisir ; leur connerie de parano ben ça me fait #àù*$ :mrgreen:

    Donc pour vos htaccess je vous recommande de le verrouiller hardcore avec la commande chattr +i pour les GNU/Linuxien ou bsd ou autre. C'est plus violent que chmod. Et surtout pitié pas de chmod 777 pour les appli réseau ; ya pas besoin ; un serveur httpd à son propre group et user (exemple www-data) donc si vous souhaitez ecrire sur un dossier : je vous recommande la commande chown www-data:www-data ça donne le même résultat avec des trou en moins ; et biensur créer un utilisateur bidon limité et interdir root à se connecter via ssh ou autre truc boultikistanais.

    Ce ne sont que des suggestions ; faites des recherches sur mon copain googleeeeeeeeeeeeeeeeeeeee haaaaaaaaaaaaaaaaaaaaa :twisted: :twisted: :twisted: :twisted:


    Et content de vous retrouvez ex miragedemonash qui a perdu son mot de passe son mail et tout. sa femme, son gosse, et qui péte les plombs.


    https://www.youtube.com/watch?v=quo2v9nIA_g
     
  10. hebergeur-images
    hebergeur-images WRInaute discret
    Inscrit:
    29 Novembre 2011
    Messages:
    53
    J'aime reçus:
    0
    faites également vos mises à jour appli sys et reseaux et toutes la distribution ; et si vous êtes fainéant (fénéant bon je sais pas ecrire) utilisé debian avec paquet debian et soyez sur de vos sources.

    en une ligne tout est à jour :

    aptitude update && aptitude dist-upgrade

    comme ça même le noyaux linux est à jour niveau sécu.

    Et pitié ! vos scripts côté serveur à jour ! c'est par vos variables que les lamers passent le plus souvent ! genre php couplé sql :mrgreen: et modifie vos confs ! voir déface ! même sivit avant nerim c'est fait hacker sur leur harchi mutualisé..... tout le monde est en danger / c'est la guerre sur la Toile
     
  11. hebergeur-images
    hebergeur-images WRInaute discret
    Inscrit:
    29 Novembre 2011
    Messages:
    53
    J'aime reçus:
    0

    ouai apparemment ce sont les 301 massifs qui cause beaucoup de problème. Toi tu t'es fait pirater / et moi j'ai redirigé des millions de page sur metatoile.com en code 301 et boom en 48 heures : faux positif parce que j'ai pas de badware chez moi:

    Avertissement- Attention, l'accès à ce site risque d'endommager votre ordinateur.

    j'ai donc expliqué à google le problème et apparemment je n'est plus ce message sur deux réseaux wan differents avec firefox / chrome / etc.... et bien sûr google.fr (si quelqu'un peut m'aider à confirmer)

    Je te conseille de suivre mes explications ci-dessus pour que tu n'aies plus ce problème ; sinon tu vas te refaire infiltrer en boucle.

    Je peux faire un article si mes explications ne sont pas précises sur demande et plus clair sur WRI pour la sécu des appli réseaux et systèmes de la famille unix. Pour aider. Car ça va être la misère niveau SEO. Même moi je flippe un peu, est pourtant la sécurité des systèmes de données et réseaux sur la Toile je la pratique en tant que professionnel ; mais on à toujours meilleurs que soit.
     
  12. hebergeur-images
    hebergeur-images WRInaute discret
    Inscrit:
    29 Novembre 2011
    Messages:
    53
    J'aime reçus:
    0

    http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html

    A adapter en fonction de la distribution sur noyau linux / mais c'est kifkif
     
  13. hebergeur-images
    hebergeur-images WRInaute discret
    Inscrit:
    29 Novembre 2011
    Messages:
    53
    J'aime reçus:
    0
    ou plus simple :

    iptables -A INPUT -s 82.238.11.2 -d 188.165.52.25 -p tcp --dport 22 -j ACCEPT

    -s filtrage ip source : toi -d destination tout le reste poubelle / Mais !!!! les pirates font de l'usurpation ip et c'est pas sécu 100%

    Enfin un autre tuto :

    http://www.admin-debian.com/securite/commandes-iptables/


    Et le seul moyen d'arrêter un vrai pirate ; c'est de couper le cordon rj 45 :(
     
  14. milkiway
    milkiway WRInaute accro
    Inscrit:
    3 Février 2004
    Messages:
    4 196
    J'aime reçus:
    0
    Merci j'ai trouvé bien plus simple j'ai modifié un fichier pour n'autoriser que mon ip sur le SSH.

    La faille n'était pas là de toutes façons mais au niveau de ZenPhoto, que j'ai dégagé.

    Merci en tout cas.
     
Chargement...
Similar Threads - malveillant corriger faille Forum Date
Sile malveillant sans raison...Comment corriger ? Administration d'un site Web 23 Octobre 2010
Google ads refusées / Logiciel malveillant AdWords 27 Mai 2021
Annonces refusées par Google Ads "Logiciel malveillant" AdWords 29 Octobre 2020
Google Adword et logiciel malveillant Administration d'un site Web 5 Avril 2019
Duplicate content malveillant Débuter en référencement 19 Décembre 2016
Bing trouve des programmes malveillants Débuter en référencement 26 Septembre 2015
page malveillante, besoin d'aide Développement d'un site Web ou d'une appli mobile 16 Septembre 2014
Message Google: "code malveillant sur votre site" Administration d'un site Web 28 Juin 2013
Liens malveillants pointant vers mon site Problèmes de référencement spécifiques à vos sites 2 Avril 2013
Désindexation suite à un logiciel malveillant Crawl et indexation Google, sitemaps 26 Février 2013
Problème de certificat https, DNS et logiciel malveillant Administration d'un site Web 14 Février 2013
Virus malveillant Crawl et indexation Google, sitemaps 30 Octobre 2012
ENORME problème de code malveillant - Besoin d'aide SVP ! Référencement Google 8 Mai 2012
Google et logiciels malveillants Administration d'un site Web 16 Mars 2012
Site Malveillant et Pénalisation Débuter en référencement 10 Janvier 2012
Google et la (fausse) détection de code malveillant Administration d'un site Web 24 Novembre 2011
Site malveillant Administration d'un site Web 4 Septembre 2010
Site malveillant !!! Administration d'un site Web 1 Septembre 2010
Annuaire-liens-profonds.eu , logiciel malveillant ? Annuaires et moteurs 30 Juin 2010
Google classe mes sites hébergés chez Amen comme malveillant ! Référencement Google 17 Décembre 2009