Attaque "exploit" sur fichiers sur mon serveur
Résolu
TigerDTD
Messages postés
858
Date d'inscription
Statut
Membre
Dernière intervention
-
TigerDTD Messages postés 858 Date d'inscription Statut Membre Dernière intervention -
TigerDTD Messages postés 858 Date d'inscription Statut Membre Dernière intervention -
Bonjour ...
J'ai un site fait avec prestashop, version 1.6.1.23 ... Il fonctionne bien pas de souci ...
Cependant IONOS ( 1&1 ) arrête pas de m'envoyer des messages pour me dire qu'ils bloquent l'accès à certains fichiers ( droit d'accès sur le FTP ) etc car ces fichiers seraient corrompus ... J'ai analysé les fichiers avec un antivirus sur mon pc ( qui lui même est à priori bien protégé et non infecté ) et rien de malveillant apparemment ...
Il semblerait qu'un code " exploit " etc ait été rajouté à ces fichiers et que le code soit donc malveillant d'après 1&1 ... Il y aurait 11 fichiers infectés dont je met le début du code du 1er ci dessous, que puis je faire svp ? Merci :) ...
J'ai un site fait avec prestashop, version 1.6.1.23 ... Il fonctionne bien pas de souci ...
Cependant IONOS ( 1&1 ) arrête pas de m'envoyer des messages pour me dire qu'ils bloquent l'accès à certains fichiers ( droit d'accès sur le FTP ) etc car ces fichiers seraient corrompus ... J'ai analysé les fichiers avec un antivirus sur mon pc ( qui lui même est à priori bien protégé et non infecté ) et rien de malveillant apparemment ...
Il semblerait qu'un code " exploit " etc ait été rajouté à ces fichiers et que le code soit donc malveillant d'après 1&1 ... Il y aurait 11 fichiers infectés dont je met le début du code du 1er ci dessous, que puis je faire svp ? Merci :) ...
<html>
<head>
<title>IndoXploit</title>
<meta name='author' content='IndoXploit'>
<meta charset="UTF-8">
<style type='text/css'>
@import url(https://fonts.googleapis.com/css?family=Ubuntu%29;
html {
background: #000000;
color: #ffffff;
font-family: 'Ubuntu';
font-size: 13px;
width: 100%;
}
li {
display: inline;
margin: 5px;
padding: 5px;
}
table, th, td {
border-collapse:collapse;
font-family: Tahoma, Geneva, sans-serif;
background: transparent;
font-family: 'Ubuntu';
font-size: 13px;
}
.table_home, .th_home, .td_home {
border: 1px solid #ffffff;
}
th {
padding: 10px;
}
a {
color: #ffffff;
text-decoration: none;
}
a:hover {
color: gold;
text-decoration: underline;
}
b {
color: gold;
}
input[type=text], input[type=password],input[type=submit] {
background: transparent;
color: #ffffff;
border: 1px solid #ffffff;
margin: 5px auto;
padding-left: 5px;
font-family: 'Ubuntu';
font-size: 13px;
}
textarea {
border: 1px solid #ffffff;
width: 100%;
height: 400px;
padding-left: 5px;
margin: 10px auto;
resize: none;
background: transparent;
color: #ffffff;
font-family: 'Ubuntu';
font-size: 13px;
}
</style>
</head>
<?php
###############################################################################
// Thanks buat Orang-orang yg membantu dalam proses pembuatan shell ini.
// Shell ini tidak sepenuhnya 100% Coding manual, ada beberapa function dan tools kita ambil dari shell yang sudah ada.
// Tapi Selebihnya, itu hasil kreasi IndoXploit sendiri.
// Tanpa kalian kita tidak akan BESAR seperti sekarang.
// Greetz: All Member IndoXploit. & all my friends.
###############################################################################
A voir également:
- Attaque "exploit" sur fichiers sur mon serveur
- Changer serveur dns - Guide
- Lire fichier epub sur pc - Guide
- Renommer des fichiers en masse - Guide
- Serveur entrant et sortant - Guide
- Wetransfer gratuit fichiers lourd - Guide
2 réponses
Je suis victime d'autres "attaques" ... En effet d'autres fichiers m'ont été signalés par 1&1 comme infectés ... Mais pourrait il s'agir simplement de modifications faites de la part de google qui a plus ou moins acces a certains sites grâca à google analytics ou autre par exemple ? MErci :)
Salut,
C'est du defacing, voir : https://www.malekal.com/defacement-de-site/
C'est seulement la partie visibles, d'autres groupes ou attaques automatisées ont pu aussi modifier desp ages pour rediriger les internautes vers du contenu malveillants, voler tes bases de données, etc.
donc là faut revenir à une sauvegarde antérieure
C'est du defacing, voir : https://www.malekal.com/defacement-de-site/
C'est seulement la partie visibles, d'autres groupes ou attaques automatisées ont pu aussi modifier desp ages pour rediriger les internautes vers du contenu malveillants, voler tes bases de données, etc.
donc là faut revenir à une sauvegarde antérieure
- Vérifier les accès (création de compte non souhaité)
- changer tous les mots de passe d'accès
- Vérifier si une backdoor a été implantée
- Tout mettre à jour (plugins etc) afin de combler des vulnérabilités présentes
Bonjour ... et merci de ta réponse :) ...
Pour être sur, en fait le defacement utilise une faille de securité mais ou ?
Est-ce dans mon logiciel FTP que je dois modifier le mot de passe par exemple ? Est-ce sur la page admin de mon site ? Est-ce sur mon ordi ( antivirus ou autre ) ? ...
Merci ...
Ensuite en fait j'ai pas compris de suite les courriels que m'avaient envoyé IONOS ( 1&1 ) à c e sujet, donc le temps de capter etc, il m'ont proposé une sauvegarde qu'ils ont mise sur le serveur mais ou certains fichiers étaient probablement déjà infectés, car le temps de checker etc et je n'ai pas pu faire de sauvegarde manuelle , sur mon ordi par exemple, car les fichiers éteient bloqués au transfert par FTP, donc je me retrouve avec une vielle sauvegarde ou une sauvegarde avec fichiers infectés ... IONOS m'assure que de leur côté y'a pas de souci ... ( même si j'ai des doutes que je ne peux vérifier ) ... Mais en dehors le site est totalement à jour désormais ...
Une backdoor, c'est quoi ? ou ? et comment puis je le savoir ?
A priori aucun compte créé ou log fait à mon insu :) ...
Merci :)
Pour être sur, en fait le defacement utilise une faille de securité mais ou ?
Est-ce dans mon logiciel FTP que je dois modifier le mot de passe par exemple ? Est-ce sur la page admin de mon site ? Est-ce sur mon ordi ( antivirus ou autre ) ? ...
Merci ...
Ensuite en fait j'ai pas compris de suite les courriels que m'avaient envoyé IONOS ( 1&1 ) à c e sujet, donc le temps de capter etc, il m'ont proposé une sauvegarde qu'ils ont mise sur le serveur mais ou certains fichiers étaient probablement déjà infectés, car le temps de checker etc et je n'ai pas pu faire de sauvegarde manuelle , sur mon ordi par exemple, car les fichiers éteient bloqués au transfert par FTP, donc je me retrouve avec une vielle sauvegarde ou une sauvegarde avec fichiers infectés ... IONOS m'assure que de leur côté y'a pas de souci ... ( même si j'ai des doutes que je ne peux vérifier ) ... Mais en dehors le site est totalement à jour désormais ...
Une backdoor, c'est quoi ? ou ? et comment puis je le savoir ?
A priori aucun compte créé ou log fait à mon insu :) ...
Merci :)
Mise à jour de tout ok :) ...
A première vu je ne vois aucun fichier php qui ne serait pas d'origine ... Sinon y'a des milliers de fichiers, comment le voir ?
Puis je n'ai pas de sauvegarde saine à part trop ancienne ( oui je sais mais j'ai du laisser faire IONOS beaucoup de manip etc, bref :) ... ) et du coup je ne saurais modifier ces fichiers moi même pour les rendre à nouveaux sains ... Il y a environ une vingtaine de fichiers infectés ...
Mais comment peuvent ils modifier des choses sur mon site sans avoir acces par FTP ? juste avec l'admin ?
A première vu je ne vois aucun fichier php qui ne serait pas d'origine ... Sinon y'a des milliers de fichiers, comment le voir ?
Puis je n'ai pas de sauvegarde saine à part trop ancienne ( oui je sais mais j'ai du laisser faire IONOS beaucoup de manip etc, bref :) ... ) et du coup je ne saurais modifier ces fichiers moi même pour les rendre à nouveaux sains ... Il y a environ une vingtaine de fichiers infectés ...
Mais comment peuvent ils modifier des choses sur mon site sans avoir acces par FTP ? juste avec l'admin ?
Meme si je fais ça il faut que je supprime carrement le module pour supprimer les fichiers de mon FTP ?
Puis je peux aussi rajouter les fichiers de base par dessus ceux la mais est-ce suffisant et fonctionnera t il encore ? Et si je supprime les fichiers manuellement par FTP, puis je ensuite réinstaller le module qui lui réinstallera les fichiers sur le serveur ? Et si oui j'ai peur des imcompatibilites/bug ( y'en a toujours ) ensuite car reinstallé et pas installé au départ ...
Puis je peux aussi rajouter les fichiers de base par dessus ceux la mais est-ce suffisant et fonctionnera t il encore ? Et si je supprime les fichiers manuellement par FTP, puis je ensuite réinstaller le module qui lui réinstallera les fichiers sur le serveur ? Et si oui j'ai peur des imcompatibilites/bug ( y'en a toujours ) ensuite car reinstallé et pas installé au départ ...