Post to Facebook
Tweet about this
Share at LinkedIn
Invite participants
Reference this page J.Juraverfrom Entre chaise et clavier... 3710 posts |
Savait-tu que phpmyvisites souffrait d'une faille ou bien c'était un oubli FTP quelque part ?.. On avait relayé l'info ici ou là. Je ne m'attarde pas, j'ai mon yacs en double file... 
 Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz | |
 Pinelli, Thierryfrom Nice, Drap Associate, 1740 posts |
J'ai eu cette même mésaventure fin octobre... De mon coté c'était les droits fichiers qui étaient un peu trop ouvert (trop de 777... facilité quand tu nous tiens.) N'hésite surtout pas à relancer google plusieurs fois pour une reprise en compte de l'indexation... Communiqués de Presse : Site de Communiqués de Presse à propulsion Yacs - Création de sites, Référencement et webmastering - Skins pour Yacs : YordPress - Yacs couleurs Wordpress - Bonbon Skin 1.3.2 : Le graphisme "Green" - Totem 930 : L'équilibre pour petits écrans |
 Christianfrom Chonas l'Amballan Associate, 2012 posts |
J.Juraver : je savais que phpMyvisites avait ce problème mais je ne me rappelai plus que j'avais une vieille version quelque part. Ceci dit je ne suis pas sur à 100% que la faille soit ici. C'est une forte présomption. Thierry : oui je relancerai. Merci. heureusement c'est un site qui est à moi. C'est un moindre mal Actupro quelques sites yacs : création site internet annuaire pro |
 Alain Lesagefrom Montréal ou Chambly, Québec 1365 posts |
Ouf ! je me sens généralement en sécurité avec Yacs, mais ta mésaventure rappelle qu'on n'est jamais trop prudent. Je sympathise avec toi, d'autant plus que moi aussi, j'héberge de très nombreux sites sur le même compte. À revoir. Les références que tu donnes ci-dessus m'ont invité à explorer davantage et j'ai trouvé des articles fort intéressants sur ce site de Ralph Davidovits. À consulter. |
 Bernard Paquesfrom nearby-an-airport Associate, 8363 posts |
Merci Christian d'avoir décrit à la fois tes mésaventures, et les solutions que tu as mis en oeuvre. Ce n'est pas toujours évident, et pourtant c'est un partage d'expérience irrenplaçable. Surout pour des trucs tordus de ce genre ! Et tu fais bien de rappeler que yacs dispose d'un script pour vérifier l'intégrité des fichiers par rapport à une base de signatures MD5. Utile pour repérer les fautifs parmi plusieurs centaines de fichiers à contrôler ! |
Sensibilisation au piratage
depuis quelques jours je me bat pour éradiquer les méfaits d'une intrusion malveillante sur plusieurs de mes sites yacs (sans que ce dernier soit en cause apparament)
les faits :
mercredi 3 : un de mes sites est désindéxé par google ... bizarre
jeudi 4 : toujours désindéxé... je vais vois dans les outils webmasters google. Mon sitemap.php n'est pas prise ne compte mais c'est sans rapport avec mon problème. par contre j'ai une page de mon site qui recueillent plus de 1400 liens vers elle et cette page n'a rien a voir avec du contenu gérer par mon site
Je recherche la cause de mon problème avec l'aide de Bernard qui m'accorde quelques minutes. Finalement je détecte que la plupart de mes fichiers php ont une ligne de plus en 1ère position
voici donc la cause de mon tourment : http://www.google.fr/search?hl...mp;aq=f&oq=
Un problème d'injection fort connu chez certains logiciels dont les plus réputés. Il semblerait pour ma part que ce soit phpmyvisites qui soit en cause. En effet j'avais une vieille version "oubliée" et je pense que l'intru est passé par là. Je ne peux cependant pas l'affirmer à 100%.
Des fichiers ont été mis dans un sous-répertoire d'un template Tinymce
Mes actions principales pour éradiquer cette intrusion :
- enlever les fichiers indésirables
- supprimer la 1er ligne de tous les fichiers php infesté (une commande est dispo dans un des liens que je donne ci-dessous)
- changer tous les mots de passe ftp, base de données, mail utilisé pour les notifications
- controler tous les scripts yacs... Merci à la fonction de contrôle des scripts fourni dans le logiciel
- bannissement dans le .htacces de l'adresse IP qui fait des POST / de la page incriminée
J'ai eu plusieurs sites yacs d'impactés car physiquement j'ai un site yacs principal et dans des sous-répertoires d'autres site yacs d'installé
Quelques liens vers le problème :
oscommerce : http://forums.oscommerce.com/t...64-decode-hack/
http://forum.webrankinfo.com/bane-130-186-hacker-bot-t120886.html
http://forums.devnetwork.net/viewtopic.php?f=34&t=108791
http://aternatik.org/articles-et-ressources/breve/mise-a-jour-de-securite
http://forum.ovh.com/showthread.php?t=47225
http://www.simplemachines.org/community/index.php?topic=309717.0
et d'autres encore ...
A noter qu'a priori l'infection était là depuis plusieurs semaines sans que je m'en rende compte
