J'ai fait des recherches google, mais je ne trouve pas grand chose de concluant pour le moment...
Sur le client FTP que j'utilise (File Zilla), J'ai la référence qui correspond au propriétaire, mais je ne peux pas savoir si c'est le propriétaire ou un autre utilisateur qui a fait la dernière modif.
En regardant bien, je m'aperçois que c'est bien moi le propriétaire de tous mes dossiers, sauf pour le dossier "logs", est ce normal ?
J'avais lancé un scan Spybot S&D, RAS le PC semble clean. Je vais essayer d'autre utilitaires au cas où...
C'est vraiment simpa de prendre du temps pour m'aider Mazarini.
la communauté d'entraide francophone dédiée au PHP
injection de code dans mes pages php
Filezilla semble avoir quelques soucis de sécurité : http://forum.webrankinfo.com/filezilla- ... 32686.html
L'injection a pu se faire par là. J'avais dù nettoyer toutes les pages index.html des 50 sites d'un client spammé par le trojan qui vise FileZilla.
Il injectait un javascript obfusqué très mystérieux car ça n'affichait rien sur la page, même pas de pub.
Il faut non seulement changer les mots de passe, mais nettoyer le PC et ne plus laisser FileZilla enregistrer les mots de passe.
Mieux vaut les retaper à chaque début de session. Sinon, il y a une faille XSS sur joomla 1.6 et précédente je crois. Tu as peut être cliqué sur un lien envoyé par le pirate,
qui a pu ainsi se logguer avec ta session. Mais y a plein d'autres façons : pirater ta bal, trojaner ton PC... plein de façon de récupérer tes codes FTP.
un simple keylogger suffit si tu as utilisé un FTP en ligne une fois dans un cybercafé vérolé, etc...
L'injection a pu se faire par là. J'avais dù nettoyer toutes les pages index.html des 50 sites d'un client spammé par le trojan qui vise FileZilla.
Il injectait un javascript obfusqué très mystérieux car ça n'affichait rien sur la page, même pas de pub.
Il faut non seulement changer les mots de passe, mais nettoyer le PC et ne plus laisser FileZilla enregistrer les mots de passe.
Mieux vaut les retaper à chaque début de session. Sinon, il y a une faille XSS sur joomla 1.6 et précédente je crois. Tu as peut être cliqué sur un lien envoyé par le pirate,
qui a pu ainsi se logguer avec ta session. Mais y a plein d'autres façons : pirater ta bal, trojaner ton PC... plein de façon de récupérer tes codes FTP.
un simple keylogger suffit si tu as utilisé un FTP en ligne une fois dans un cybercafé vérolé, etc...
Merci Jim pour tes infos très rassurantes ! lol
Je doute un peu que mon pc soit infecté par quelque chose car je suis tout de même très vigilent et je garde mes protections à jour. Mais on ne sait jamais ...
Mon collègue, qui se connecte de manière occasionnel sur le FTP utilise quant à lui un Mac, mais également avec File Zilla.
Aujourd'hui, RAS pour le moment... Je touche du bois !
Si le problème revient, je ferais ce que tu me conseille, à savoir retaper le mdp à chaque fois. Mais je t'avoue que vu la tête des mots de passe que j'utilise, et la fréquence à laquelle je me connecte sur mon FTP, l'idée de lee retaper à chaque fois me branche moyennement.. :d
Je doute un peu que mon pc soit infecté par quelque chose car je suis tout de même très vigilent et je garde mes protections à jour. Mais on ne sait jamais ...
Mon collègue, qui se connecte de manière occasionnel sur le FTP utilise quant à lui un Mac, mais également avec File Zilla.
Aujourd'hui, RAS pour le moment... Je touche du bois !
Si le problème revient, je ferais ce que tu me conseille, à savoir retaper le mdp à chaque fois. Mais je t'avoue que vu la tête des mots de passe que j'utilise, et la fréquence à laquelle je me connecte sur mon FTP, l'idée de lee retaper à chaque fois me branche moyennement.. :d
Invité
Invité n'ayant pas de compte PHPfrance
salut To1n00,
mon intention n'était pas de te faire peur, mais s'il y a bien eu une injection de code sur ta page, c'est bien que quelqu'un possède les droits de modification.
Le virus qui avait injecté toutes les pages index.html des pages de mon client n'était pas détecté par les antivirus, c'est pour ça que j'ai pensé à ça.
Si quelqu'un était passé par une faille Joomla, ou un keylogger, je pense qu'il aurait défacé ton site par exemple. Vérifie aussi si il n'y pas de fichiers ajoutés quelque part sur ton serveur. Comme une backdoor en php par exemple. Ca permet au pirate de revenir sur ton site quand il veut, même si tu changes ton mot de passe.
Ensuite, il peut se servir de ton site pour déposer ses propres fichiers, ou s'en servir de rebond pour faire des attaques sur un autre site, etc.
Il suffit qu'il ajoute sur ton serveur un fichier php qui affiche les répertoires et les codes sources php et sql. ça prends 3 lignes... il le lance quand il veut.
par contre, si la backdoor en php est logée directement dans une de tes pages, il faut te plonger dans le code source de chacunes des pages.
Comme tu utilises un CMS que tu n'as pas programmé toi-même, tu le réinstalles à partir d'une version saine, c'est plus simple.
S'il quelqu'un a vraiment pu injecter du code, alors injecter un backdoor est un jeu d'enfant. C'est ce que "Jim", dans le film Wargames,explique à Lightman, en parlant de "passer par derrière". ^^
mon intention n'était pas de te faire peur, mais s'il y a bien eu une injection de code sur ta page, c'est bien que quelqu'un possède les droits de modification.
Le virus qui avait injecté toutes les pages index.html des pages de mon client n'était pas détecté par les antivirus, c'est pour ça que j'ai pensé à ça.
Si quelqu'un était passé par une faille Joomla, ou un keylogger, je pense qu'il aurait défacé ton site par exemple. Vérifie aussi si il n'y pas de fichiers ajoutés quelque part sur ton serveur. Comme une backdoor en php par exemple. Ca permet au pirate de revenir sur ton site quand il veut, même si tu changes ton mot de passe.
Ensuite, il peut se servir de ton site pour déposer ses propres fichiers, ou s'en servir de rebond pour faire des attaques sur un autre site, etc.
Il suffit qu'il ajoute sur ton serveur un fichier php qui affiche les répertoires et les codes sources php et sql. ça prends 3 lignes... il le lance quand il veut.
par contre, si la backdoor en php est logée directement dans une de tes pages, il faut te plonger dans le code source de chacunes des pages.
Comme tu utilises un CMS que tu n'as pas programmé toi-même, tu le réinstalles à partir d'une version saine, c'est plus simple.
S'il quelqu'un a vraiment pu injecter du code, alors injecter un backdoor est un jeu d'enfant. C'est ce que "Jim", dans le film Wargames,explique à Lightman, en parlant de "passer par derrière". ^^
oops, je n'étais pas loggué. le message précedent est de moi. dernière chose: si tu laisses Filezilla enregistrer tes mots de passe, tu prends des risques. C'est aussi risqué que les gens qui laissent firefox enregistrer leurs mots de passe. Fais un copier-coller plûtot.Tu peux travailler sur la version de production et n'uploader qu'une fois par jour. ou utiliser autre chose que FTP. Mais à toi de voir.
Eléphanteau du PHP |
49 Messages
Hello, change ton mot de passe admin de joomla aussi, en plus du FTP.
Es tce que tu as des autres utilisateurs Joomla enregistrés dans ta BDD, autre que l'admin?
Tu peux accéder en SSH? (si oui, change le aussi)
Es tce que tu as des autres utilisateurs Joomla enregistrés dans ta BDD, autre que l'admin?
Tu peux accéder en SSH? (si oui, change le aussi)
Jérôme
http://www.jeromeweb.net
http://www.jeromeweb.net
arnaudjs
Invité n'ayant pas de compte PHPfrance
Hello,
nous subissons le même problème... fichiers index.html et index.php infectés par les mêmes scripts.
Ton infection a eu lieu le 14 nous le 16 décembre, nous sommes hébergés chez OVH.
Bizarre.
nous subissons le même problème... fichiers index.html et index.php infectés par les mêmes scripts.
Ton infection a eu lieu le 14 nous le 16 décembre, nous sommes hébergés chez OVH.
Bizarre.
A noter que Joomla a été piraté récemment. Il faut impérativement mettre à jour vers les derniers correctifs.Il serait bien de trouver un point commun, Joomla ? OVH ? Filezilla ? ou autre.
simon le castor
Invité n'ayant pas de compte PHPfrance
salut,
j'ai eu le même soucis de modifications de mes fichiers joomla :/
en regardant mes logs, j'ai vu que les modification avaient été effectuées par FTP avec mon compte et non pas via une faille joomla (même s'il y en a plein !)
L'origine de l'intrusion est effectivement due à un trojan qui a utilisé mes mots de passe enregistrés dans Filezilla :/
Pour info le trojan qui m avait infecté a utilisé java (pas javascript, mais java de sun microsystem) pour transmettre ces infos
en espérant que ça aide
j'ai eu le même soucis de modifications de mes fichiers joomla :/
en regardant mes logs, j'ai vu que les modification avaient été effectuées par FTP avec mon compte et non pas via une faille joomla (même s'il y en a plein !)
L'origine de l'intrusion est effectivement due à un trojan qui a utilisé mes mots de passe enregistrés dans Filezilla :/
Pour info le trojan qui m avait infecté a utilisé java (pas javascript, mais java de sun microsystem) pour transmettre ces infos
en espérant que ça aide
Eléphanteau du PHP |
49 Messages
Vous n'etes pas les seuls à priori et ça fait un moment que ça dure :
http://www.ericboisseau.com/mon-blog-at ... filezilla/
http://www.ericboisseau.com/mon-blog-at ... filezilla/
Jérôme
http://www.jeromeweb.net
http://www.jeromeweb.net