Insertion de .php sur mon ftp : que faire?
Résolu
clarabulle
Messages postés
16
Date d'inscription
Statut
Membre
Dernière intervention
-
clarabulle Messages postés 16 Date d'inscription Statut Membre Dernière intervention -
clarabulle Messages postés 16 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Premier message ici... car je suis paniquée! Des fichiers .php apparaissent sur mes sites web sans que je ne sache d'ou ils viennent. Voici les détails :
J'ai réalisé de façon quelques sites pour des particuliers, des TPE etc. et je me suis aperçue que plusieurs d'entre eux ont été récemment attaqués. A la racine de www/ et parfois dans d'autres sous-répertoires, des dizaines de fichiers .php sont apparus avec des noms comme dyw.php, eluo3.php, boyk1.php etc. J'avais été victime de celà il y a quelques mois, du coup j'avais changé tous les mots de passe et supprimé manuellement les php, mais voici qu'ils reviennent!
Tous les sites sont chez le même hébergeur, mais certains sont des wordpress, d'autres des joomla, d'autres encore n'ont qu'un index.html , et tous ont des mots de passes ftp différents!! Donc je me dis que l'attaque/le virus doit venir de mon pc, mais mon antivirus (avira) ne trouve rien.
Comment puis-je faire pour identifier l'origine de cette attaque?
j'utilise filezilla.
Un grand merci pour votre aide!
Premier message ici... car je suis paniquée! Des fichiers .php apparaissent sur mes sites web sans que je ne sache d'ou ils viennent. Voici les détails :
J'ai réalisé de façon quelques sites pour des particuliers, des TPE etc. et je me suis aperçue que plusieurs d'entre eux ont été récemment attaqués. A la racine de www/ et parfois dans d'autres sous-répertoires, des dizaines de fichiers .php sont apparus avec des noms comme dyw.php, eluo3.php, boyk1.php etc. J'avais été victime de celà il y a quelques mois, du coup j'avais changé tous les mots de passe et supprimé manuellement les php, mais voici qu'ils reviennent!
Tous les sites sont chez le même hébergeur, mais certains sont des wordpress, d'autres des joomla, d'autres encore n'ont qu'un index.html , et tous ont des mots de passes ftp différents!! Donc je me dis que l'attaque/le virus doit venir de mon pc, mais mon antivirus (avira) ne trouve rien.
Comment puis-je faire pour identifier l'origine de cette attaque?
j'utilise filezilla.
Un grand merci pour votre aide!
A voir également:
- Insertion de .php sur mon ftp : que faire?
- Touche insertion clavier - Guide
- Insertion sommaire word - Guide
- Insertion filigrane word - Guide
- Insertion liste déroulante excel - Guide
- Insertion signature word - Guide
12 réponses
Salut,
Tes wordpress et Joomla sont ils tous à jour?
Arriverais-tu à savoir si un de tes thèmes wordpress utilise timthumb?
Un script qui sert à redimensionner des images.
Si c'est le cas il faut faire la mise à jour du script car une faille a été découverte.
Tes wordpress et Joomla sont ils tous à jour?
Arriverais-tu à savoir si un de tes thèmes wordpress utilise timthumb?
Un script qui sert à redimensionner des images.
Si c'est le cas il faut faire la mise à jour du script car une faille a été découverte.
Hello merci de ta réponse!
Les wordpress sont à jour oui. et pas de timthumb apparemment.
Si l'un de mes wordpress avait été piraté, par quel moyen les autres sites que j'ai, avec des comptes hébergeur et des mots de passe différents, ont aussi été infectés? c'est ca que je ne comprends pas..
merci bcp ;)
Les wordpress sont à jour oui. et pas de timthumb apparemment.
Si l'un de mes wordpress avait été piraté, par quel moyen les autres sites que j'ai, avec des comptes hébergeur et des mots de passe différents, ont aussi été infectés? c'est ca que je ne comprends pas..
merci bcp ;)
merci pour les encouragements ;) tu aurais une piste pour trouver la parade?
j'ai fait tourner spybot sur mon pc, et rien trouvé.
j'ai fait tourner spybot sur mon pc, et rien trouvé.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pour l'instant il ne s'agit pas de parade ... mais de désinfection !
- être absolument sur qu'il n'y a rien sur ton pc (forum virus/sécurité)
- vérifier de où vient la faille et trouver les codes malveillants injectés ...
la meilleure des solutions étant de remettre une version saine en ligne, en changeant tous les mots de passe y compris ftp ...
un début :
https://longuetraine.fr/?article792/il-est-possible-que-ce-site-ait-ete-pirate-avertissement-google
tiens-nous au courant ;)
- être absolument sur qu'il n'y a rien sur ton pc (forum virus/sécurité)
- vérifier de où vient la faille et trouver les codes malveillants injectés ...
la meilleure des solutions étant de remettre une version saine en ligne, en changeant tous les mots de passe y compris ftp ...
un début :
https://longuetraine.fr/?article792/il-est-possible-que-ce-site-ait-ete-pirate-avertissement-google
tiens-nous au courant ;)
hello
alors pour l'instant j'ai :
- fait tourner spybot et avira antivirus et je n'ai rien trouvé.
- changé tous les mots de passes (admin et ftp)
- retiré à la main toutes les injections de codes et fichiers que j'ai trouvé
- vérifié les logs ftp, et j'ai trouvé plusieurs ip venant de partout (ukraine, allemagne, france...) qui venaient injecter du code ou ajouter des .php
Donc à ce stade je ne sais toujours pas comment les pirates ont récupéré mes mots de passes... on verra si ca recommence...
d'apres vous y a-t-il d'autres actions à faire? Si j'oublie quelques injections, est-ce dangereux?
@bg62 effectivement un clean upload serait idéal, mais je n'ai pas de backup assez récent pour le faire :(
alors pour l'instant j'ai :
- fait tourner spybot et avira antivirus et je n'ai rien trouvé.
- changé tous les mots de passes (admin et ftp)
- retiré à la main toutes les injections de codes et fichiers que j'ai trouvé
- vérifié les logs ftp, et j'ai trouvé plusieurs ip venant de partout (ukraine, allemagne, france...) qui venaient injecter du code ou ajouter des .php
Donc à ce stade je ne sais toujours pas comment les pirates ont récupéré mes mots de passes... on verra si ca recommence...
d'apres vous y a-t-il d'autres actions à faire? Si j'oublie quelques injections, est-ce dangereux?
@bg62 effectivement un clean upload serait idéal, mais je n'ai pas de backup assez récent pour le faire :(
Salut ...
1- Quand tu supprime manuellement ces fichiers .php de ton repertoire, il se passe combien de temps avant qu'ils ne réapparaissent ?
Sinon, essaye de supprimer ces fichiers a partir d'un autre PC, s'ils réapparaissent, c'est que le problème ne vient pas de ton PC ...
Sinon, un formatage du PC !
2 - Peut être qu'il y a un fichier caché dans les répertoires de ton site qui sert a uploader d'autre fichiers !
3 - Ton hébergeur, il est a la hauteur ?
Mettez en résolu quand c'est résolu -.- ...
1- Quand tu supprime manuellement ces fichiers .php de ton repertoire, il se passe combien de temps avant qu'ils ne réapparaissent ?
Sinon, essaye de supprimer ces fichiers a partir d'un autre PC, s'ils réapparaissent, c'est que le problème ne vient pas de ton PC ...
Sinon, un formatage du PC !
2 - Peut être qu'il y a un fichier caché dans les répertoires de ton site qui sert a uploader d'autre fichiers !
3 - Ton hébergeur, il est a la hauteur ?
Mettez en résolu quand c'est résolu -.- ...
1/ généralement il se passait quelques jours/heures avant que les fichiers ne reapparaissent. depuis que j'ai modifié tous les mots de passe cet aprem, pas encore de modifs. je crois les doigts.
2/ s'il y a un fichier caché, comment puis-je faire pour le détecter?
3/ l'hébergeur c'est ovh.
merci ;)
2/ s'il y a un fichier caché, comment puis-je faire pour le détecter?
3/ l'hébergeur c'est ovh.
merci ;)
Aucune idée, faut être un habitué de la plate forme Joomla et Wordpress pour pouvoir le détecter ...
Si c'est du piratage, je dirais que le pirate utilise un Trojan pour avoir accès a ta liste de mots de passe ...
Donc si le problème vient de ton PC, il est inutile de changer de mot de passe FTP, car a chaque fois que tu tapera ce dernier, le mot de passe sera dévoilé !
Donc essaye de trouver ce Trojan (Forum Virus), sinon, si tu as une idée sur la date ou ces fichiers ont commencer a apparaître, alors fait une restauration système, sinon, un formatage ...
Après il faut bien mettre a jour ton antivirus + par feu, c'est seulement après que tu pourra changer les mots de passe FTP ...
Bonne chance !
Si c'est du piratage, je dirais que le pirate utilise un Trojan pour avoir accès a ta liste de mots de passe ...
Donc si le problème vient de ton PC, il est inutile de changer de mot de passe FTP, car a chaque fois que tu tapera ce dernier, le mot de passe sera dévoilé !
Donc essaye de trouver ce Trojan (Forum Virus), sinon, si tu as une idée sur la date ou ces fichiers ont commencer a apparaître, alors fait une restauration système, sinon, un formatage ...
Après il faut bien mettre a jour ton antivirus + par feu, c'est seulement après que tu pourra changer les mots de passe FTP ...
Bonne chance !
Bonjour
En dehors de la possibilité d'infection de ton PC ..
As tu un fichier .htaccess, au moins dans ton dossier admin et ton dossier racine ?
Tu peux y configurer nombre de protections ..
Tu trouveras de nombreuses informations sous Google, sur le site du zéro, et également ici dans la doc de OVH :
https://docs.ovh.com/fr/
sans oublier CCM :
https://www.commentcamarche.net/contents/7-apache-les-fichiers-htaccess
Il y a également possibilité de se protéger contre les robots ..
Peut être pourrais tu contacter OVH ?
A+
Nyctaclope
Le plus joli des poèmes de la mathématique : e^(i.PI)=i^2
trois nombres "sacrés" d'horizons différents qui se donnent la main ...
En dehors de la possibilité d'infection de ton PC ..
As tu un fichier .htaccess, au moins dans ton dossier admin et ton dossier racine ?
Tu peux y configurer nombre de protections ..
Tu trouveras de nombreuses informations sous Google, sur le site du zéro, et également ici dans la doc de OVH :
https://docs.ovh.com/fr/
sans oublier CCM :
https://www.commentcamarche.net/contents/7-apache-les-fichiers-htaccess
Il y a également possibilité de se protéger contre les robots ..
Peut être pourrais tu contacter OVH ?
A+
Nyctaclope
Le plus joli des poèmes de la mathématique : e^(i.PI)=i^2
trois nombres "sacrés" d'horizons différents qui se donnent la main ...
pas suffisant je pense !
- y-a-t-il des signalement dans les résultats de GG , genre 'il est possible que ce site ait été piraté' ... qui précède le blocage du site ???
- l'injection se fait le plus souvent via les failles de sécurité des cms utilisés et donc reviendra ... car si c'est arrivé c'est qu'il n'était pas à jour ....
GG a du te prévenir d'ailleurs :
https://longuetraine.fr/index.php?article812/securite-des-sites-le-blog-officiel-de-google-vous-previent-et-vous-aide-personnellement-official-google-webmaster-central-blog
- la désinfection du pc DOIT être faite par un helpeur copétent, dans le bon forum !!!
- contacter le service abuse@.....ton hébergeur ....
- etc ...
- y-a-t-il des signalement dans les résultats de GG , genre 'il est possible que ce site ait été piraté' ... qui précède le blocage du site ???
- l'injection se fait le plus souvent via les failles de sécurité des cms utilisés et donc reviendra ... car si c'est arrivé c'est qu'il n'était pas à jour ....
GG a du te prévenir d'ailleurs :
https://longuetraine.fr/index.php?article812/securite-des-sites-le-blog-officiel-de-google-vous-previent-et-vous-aide-personnellement-official-google-webmaster-central-blog
- la désinfection du pc DOIT être faite par un helpeur copétent, dans le bon forum !!!
- contacter le service abuse@.....ton hébergeur ....
- etc ...
Merci pour toutes vos réponses.
@bg62 : il y a effectivement eu il y a plusieurs mois un signalement dans les résultats de google suite à l'attaque d'un de mes sites. J'avais alors changé le mot de passe et supprimé manuellement les fichiers .php ajoutés/insertions de code.
Suivant vos conseils, j'ai posté un message dans le forum virus/securité pour savoir comment débusquer le très probable trojan : https://forums.commentcamarche.net/forum/affich-25855344-help-trojan-qui-detecte-mots-de-passe-ftp
Je vais de plus insérer un .htaccess pour bloquer les ip qui ont servi au premiers piratages comme le conseille Nyctalope
Merci à tous de vos conseils, je vous tiens au courant!
@bg62 : il y a effectivement eu il y a plusieurs mois un signalement dans les résultats de google suite à l'attaque d'un de mes sites. J'avais alors changé le mot de passe et supprimé manuellement les fichiers .php ajoutés/insertions de code.
Suivant vos conseils, j'ai posté un message dans le forum virus/securité pour savoir comment débusquer le très probable trojan : https://forums.commentcamarche.net/forum/affich-25855344-help-trojan-qui-detecte-mots-de-passe-ftp
Je vais de plus insérer un .htaccess pour bloquer les ip qui ont servi au premiers piratages comme le conseille Nyctalope
Merci à tous de vos conseils, je vous tiens au courant!
Re bonjour à tous,
Alors j'ai été vraiment bien aidée par les collègues du forum Virus/sécurité (merci bcp à nanard 4700) et aucun cheval de troie n'a été detecté sur mon pc.
Le scenario le plus probable est que mon pc ait été infecté auparavant ce qui a permis aux pirates d'obtenir les mots de passes. Puis le trojan a été supprimé (MAJ d'antivirus peut-être) entre temps. Du coup en ayant changé les mots de passes à nouveau je suis tranquille.
Un grand merci à tous. Je vais également jeter un oeil à crawlprotect mais il faudra faire gaffe aux chmod avec joomla pour laisser les éditeurs travailler!
bon week end!
Alors j'ai été vraiment bien aidée par les collègues du forum Virus/sécurité (merci bcp à nanard 4700) et aucun cheval de troie n'a été detecté sur mon pc.
Le scenario le plus probable est que mon pc ait été infecté auparavant ce qui a permis aux pirates d'obtenir les mots de passes. Puis le trojan a été supprimé (MAJ d'antivirus peut-être) entre temps. Du coup en ayant changé les mots de passes à nouveau je suis tranquille.
Un grand merci à tous. Je vais également jeter un oeil à crawlprotect mais il faudra faire gaffe aux chmod avec joomla pour laisser les éditeurs travailler!
bon week end!