motercalo Sensibilisation au piratage - www.yacs.fr

Skip to main content Help Control Panel

 

Communauté «   Machine à café «  

Sensibilisation au piratage

depuis quelques jours je me bat pour éradiquer les méfaits d'une intrusion malveillante sur plusieurs de mes sites yacs (sans que ce dernier soit en cause apparament)

les faits :

mercredi 3 : un de mes sites est désindéxé par google ... bizarre

jeudi 4 : toujours désindéxé... je vais vois dans les outils webmasters google. Mon sitemap.php n'est pas prise ne compte mais c'est sans rapport avec mon problème. par contre j'ai une page de mon site qui recueillent plus de 1400 liens vers elle et cette page n'a rien a voir avec du contenu gérer par mon site

Je recherche la cause de mon problème avec l'aide de Bernard qui m'accorde quelques minutes. Finalement je détecte que la plupart de mes fichiers php ont une ligne de plus en 1ère position

voici donc la cause de mon tourment : http://www.google.fr/search?hl...mp;aq=f&oq=

Un problème d'injection fort connu chez certains logiciels dont les plus réputés. Il semblerait pour ma part que ce soit phpmyvisites qui soit en cause. En effet j'avais une vieille version "oubliée" et je pense que l'intru est passé par là. Je ne peux cependant pas l'affirmer à 100%.

Des fichiers ont été mis dans un sous-répertoire d'un template Tinymce

Mes actions principales pour éradiquer cette intrusion :

  • enlever les fichiers indésirables
  • supprimer la 1er ligne de tous les fichiers php infesté (une commande est dispo dans un des liens que je donne ci-dessous)
  • changer tous les mots de passe ftp, base de données, mail utilisé pour les notifications
  • controler tous les scripts yacs... Merci à la fonction de contrôle des scripts fourni dans le logiciel
  • bannissement dans le .htacces de l'adresse IP qui fait des POST / de la page incriminée

J'ai eu plusieurs sites yacs d'impactés car physiquement  j'ai un site yacs principal et dans des sous-répertoires d'autres site yacs d'installé

Quelques liens vers le problème :

oscommerce : http://forums.oscommerce.com/t...64-decode-hack/

http://forum.webrankinfo.com/b...ot-t120886.html

http://forums.devnetwork.net/v...34&t=108791

http://aternatik.org/articles-...our-de-securite

http://forum.ovh.com/showthread.php?t=47225

http://www.simplemachines.org/...?topic=309717.0

et d'autres encore ...

A noter qu'a priori l'infection était là depuis plusieurs semaines sans que je m'en rende compte

Comments

avatar
J.Juraverfrom Entre chaise et clavier...
3421 posts

on Mar. 4

Savait-tu que phpmyvisites souffrait d'une faille ou bien c'était un oubli FTP quelque part ?..

On avait relayé l'info ici ou là.



Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs.tel Yacs.pro Wikipedyacs
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Click to slide Suggestions les plus plébiscitées
avatar
Pinelli, Thierryfrom Nice, Drap
Associate, 1689 posts

on Mar. 4

J'ai eu cette même mésaventure fin octobre...
De mon coté c'était les droits fichiers qui étaient un peu trop ouvert (trop de 777... facilité quand tu nous tiens.)
N'hésite surtout pas à relancer google plusieurs fois pour une reprise en compte de l'indexation...

Motercalo : Concours de référencement avec motorisation YACS ! -
Création de sites, Référencement et webmastering - Skins pour Yacs : YordPress - Yacs couleurs Wordpress - Bonbon Skin 1.3.2 : Le graphisme "Green" - Totem 930 : L'équilibre pour petits écrans
avatar
Christianfrom Chonas l'Amballan
Associate, 1790 posts

inspired from J.Juraver on Mar. 4

J.Juraver : je savais que phpMyvisites avait ce problème mais je ne me rappelai plus que j'avais une vieille version quelque part. Ceci dit je ne suis pas sur à 100% que la faille soit ici. C'est une forte présomption.

Thierry : oui je relancerai. Merci. heureusement c'est un site qui est à moi. C'est un moindre mal



Christian Loubechine
actupro
avatar
Alain Lesagefrom Montréal ou Chambly, Québec
1293 posts

on Mar. 6

Ouf ! je me sens généralement en sécurité avec Yacs, mais ta mésaventure rappelle qu'on n'est jamais trop prudent. Je sympathise avec toi, d'autant plus que moi aussi, j'héberge de très nombreux sites sur le même compte. À revoir.

Les références que tu donnes ci-dessus m'ont invité à explorer davantage et j'ai trouvé des articles fort intéressants sur ce site de Ralph Davidovits. À consulter.

avatar
Bernard Paquesfrom nearby-an-airport
Associate, 7948 posts

on Mar. 8

Merci Christian d'avoir décrit à la fois tes mésaventures, et les solutions que tu as mis en oeuvre. Ce n'est pas toujours évident, et pourtant c'est un partage d'expérience irrenplaçable. Surout pour des trucs tordus de ce genre ! Et tu fais bien de rappeler que yacs dispose d'un script pour vérifier l'intégrité des fichiers par rapport à une base de signatures MD5. Utile pour repérer les fautifs parmi plusieurs centaines de fichiers à contrôler !

Download yacs