Insertion de .php sur mon ftp : que faire? Résolu/Fermé

Question

Bonjour, 

Premier message ici... car je suis paniquée! Des fichiers .php apparaissent sur mes sites web sans que je ne sache d'ou ils viennent. Voici les détails : 

J'ai réalisé de façon quelques sites pour des particuliers, des TPE etc. et je me suis aperçue que plusieurs d'entre eux ont été récemment attaqués. A la racine de www/ et parfois dans d'autres sous-répertoires, des dizaines de fichiers .php sont apparus avec des noms comme dyw.php, eluo3.php, boyk1.php etc. J'avais été victime de celà il y a quelques mois, du coup j'avais changé tous les mots de passe et supprimé manuellement les php, mais voici qu'ils reviennent!

Tous les sites sont chez le même hébergeur, mais certains sont des wordpress, d'autres des joomla, d'autres encore n'ont qu'un index.html , et tous ont des mots de passes ftp différents!! Donc je me dis que l'attaque/le virus doit venir de mon pc, mais mon antivirus (avira) ne trouve rien.

Comment puis-je faire pour identifier l'origine de cette attaque?

j'utilise filezilla.

Un grand merci pour votre aide!

Configuration: Windows 7 / Firefox 14.0.1

Utilisateur anonyme · Answer

Salut,
Tes wordpress et Joomla sont ils tous à jour?

Arriverais-tu à savoir si un de tes thèmes wordpress utilise timthumb?
Un script qui sert à redimensionner des images.

Si c'est le cas il faut faire la mise à jour du script car une faille a été découverte.

clarabulle · Answer

Hello merci de ta réponse!

Les wordpress sont à jour oui. et pas de timthumb apparemment.

Si l'un de mes wordpress avait été piraté, par quel moyen les autres sites que j'ai, avec des comptes hébergeur et des mots de passe différents, ont aussi été infectés? c'est ca que je ne comprends pas..

merci bcp ;)

bg62 · Answer

hé hé  ... piratage !!!
c'est la période ... sincérement : bon courage !
wordpress + joomla = pas étonnant 
et là faut trouver la parade de suite ... sinon ça va s'étendre vite fait ^^

clarabulle · Answer

merci pour les encouragements ;) tu aurais une piste pour trouver la parade? 

j'ai fait tourner spybot sur mon pc, et rien trouvé.

bg62 · Answer

pour l'instant il ne s'agit pas de parade ... mais de désinfection !
- être absolument sur qu'il n'y a rien sur ton pc (forum virus/sécurité)
- vérifier de où vient la faille et trouver les codes malveillants injectés ...
la meilleure des solutions étant de remettre une version saine en ligne, en changeant tous les mots de passe y compris ftp ...
un début :
https://longuetraine.fr/?article792/il-est-possible-que-ce-site-ait-ete-pirate-avertissement-google
tiens-nous au courant ;)

clarabulle · Answer

hello
alors pour l'instant j'ai : 

- fait tourner spybot et avira antivirus et je n'ai rien trouvé.
- changé tous les mots de passes (admin et ftp)
- retiré à la main toutes les injections de codes et fichiers que j'ai trouvé
- vérifié les logs ftp, et j'ai trouvé plusieurs ip venant de partout (ukraine, allemagne, france...) qui venaient injecter du code ou ajouter des .php

Donc à ce stade je ne sais toujours pas comment les pirates ont récupéré mes mots de passes... on verra si ca recommence... 
d'apres vous y a-t-il d'autres actions à faire?  Si j'oublie quelques injections, est-ce dangereux?

@bg62 effectivement un clean upload serait idéal, mais je n'ai pas de backup assez récent pour le faire :(

JooS · Answer

Salut ... 

1- Quand tu supprime manuellement ces fichiers .php de ton repertoire, il se passe combien de temps avant qu'ils ne réapparaissent ? 

Sinon, essaye de supprimer ces fichiers a partir d'un autre PC, s'ils réapparaissent, c'est que le problème ne vient pas de ton PC ... 
Sinon, un formatage du PC ! 

2 - Peut être qu'il y a un fichier caché dans les répertoires de ton site qui sert a uploader d'autre fichiers ! 

3 - Ton hébergeur, il est a la hauteur ? 
  
Mettez en résolu quand c'est résolu -.- ...

clarabulle · Answer

1/ généralement il se passait quelques jours/heures avant que les fichiers ne reapparaissent. depuis que j'ai modifié tous les mots de passe cet aprem, pas encore de modifs. je crois les doigts.

2/ s'il y a un fichier caché, comment puis-je faire pour le détecter?

3/ l'hébergeur c'est ovh.

merci ;)

Nyctaclope · Answer

Bonjour 

En dehors de la possibilité d'infection de ton PC ..    

As tu un fichier .htaccess, au moins dans ton dossier admin et ton dossier racine ?     
Tu peux y configurer nombre de protections ..     
Tu trouveras de nombreuses informations sous Google, sur le site du zéro, et également ici dans la doc de OVH :     
https://docs.ovh.com/fr/  
sans oublier CCM : 
https://www.commentcamarche.net/contents/7-apache-les-fichiers-htaccess   

Il y a également possibilité de se protéger contre les robots ..  
Peut être pourrais tu contacter OVH ?    

A+     
Nyctaclope      
      
Le plus joli des poèmes de la mathématique : e^(i.PI)=i^2      
trois nombres "sacrés" d'horizons différents qui se donnent la main ...

bg62 · Answer

pas suffisant je pense !
- y-a-t-il des signalement dans les résultats de GG , genre 'il est possible que ce site ait été piraté' ... qui précède le blocage du site ???
- l'injection se fait le plus souvent via les failles de sécurité des cms utilisés et donc reviendra ... car si c'est arrivé c'est qu'il n'était pas à jour ....
GG a du te prévenir d'ailleurs :
https://longuetraine.fr/index.php?article812/securite-des-sites-le-blog-officiel-de-google-vous-previent-et-vous-aide-personnellement-official-google-webmaster-central-blog
- la désinfection du pc DOIT être faite par un helpeur copétent, dans le bon forum !!! 
- contacter le service abuse@.....ton hébergeur ....
- etc  ...

clarabulle · Answer

Merci pour toutes vos réponses.

@bg62 : il y a effectivement eu il y a plusieurs mois un signalement dans les résultats de google suite à l'attaque d'un de mes sites. J'avais alors changé le mot de passe et supprimé manuellement les fichiers .php ajoutés/insertions de code.

Suivant vos conseils, j'ai posté un message dans le forum virus/securité pour savoir comment débusquer le très probable trojan : https://forums.commentcamarche.net/forum/affich-25855344-help-trojan-qui-detecte-mots-de-passe-ftp

Je vais de plus insérer un .htaccess pour bloquer les ip qui ont servi au premiers piratages comme le conseille Nyctalope

Merci à tous de vos conseils, je vous tiens au courant!

clarabulle · Answer

Re bonjour à tous, 

Alors j'ai été vraiment bien aidée par les collègues du forum Virus/sécurité (merci bcp à nanard 4700) et aucun cheval de troie n'a été detecté sur mon pc. 

Le scenario le plus probable est que mon pc ait été infecté auparavant ce qui a permis aux pirates d'obtenir les mots de passes. Puis le trojan a été supprimé (MAJ d'antivirus peut-être) entre temps. Du coup en ayant changé les mots de passes à nouveau je suis tranquille.

Un grand merci à tous. Je vais également jeter un oeil à crawlprotect mais il faudra faire gaffe aux chmod avec joomla pour laisser les éditeurs travailler!

bon week end!

Insertion de .php sur mon ftp : que faire?

12 réponses

Discussions similaires