Mon Arfoo attaqué

Trouvez ici tout l'aide dont vous avez besoin concernant le script d'annuaire Arfooo.
Merci de reporter les éventuels bugs trouvés.

Mon Arfoo attaqué

Messagede Katryne » Mer 10 Juin 2009 06:48

Je ne m'en suis aperçue que ce matin, mais sans que j'ai rien changé ni en config ni en contenu, mon annuaire http://annuaire.katrynou.fr/ était inaccessible :

(2) session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /homepages/.../config/main.php:80) Session.php line 35 10-6-09 7:13
FrontController->getInstance() # line 12, file: /homepages/.../index.php
FrontController->__construct() # line 32, file: /homepages/.../core/FrontController.php
Controller->__construct() # line 43, file: /homepages.../core/FrontController.php
Session->getInstance() # line 46, file: /homepages/../core/Controller.php
Session->__construct() # line 24, file: /homepages/.../core/Session.php
session_start() # line 35, file: /homepages/.../core/Session.php


Je penchais à une panne de serveur (1&1), mais en explorant par ftp, j'ai constaté que l'index.php de la racine avait été modifié hier matin. Une ligne avec un iframe a été rajouté à la fin du fichier après le dernier ?>
Pareil pour config/main.php et moderation/index.php

Je puis vous donner le code ajouté par mail ou message si vous le souhaitez.

J'ai remis l'annuaire en état de marche en réinsérant les fichiers d'origine. Comment puis-je le protéger et le surveiller ?

Merci de vos conseils
Dernière édition par Katryne le Mer 10 Juin 2009 17:42, édité 1 fois.
Katryne
 
Messages: 61
Inscription: Lun 12 Jan 2009 16:45
Localisation: Le Revest-les-Eaux, France


Re: Mon Arfoo attaqué

Messagede Arf » Mer 10 Juin 2009 11:05

Bonjour,

Il faut déterminer par où le fichier a été modifier, comment ils ont réussi a entrer sur le serveur.
Pour cela il faut regarder vos logs et les éplucher avec une grande attention.

Sur votre serveur, avez-vous d'autres scripts autres qu'Arfooo ?
Arf
Administrateur du site
 
Messages: 3082
Inscription: Lun 21 Jan 2008 14:53

Re: Mon Arfoo attaqué

Messagede Katryne » Mer 10 Juin 2009 15:53

Bonjour Arf !
Les méchants sont revenus : de nouveau le même message et en prime un pdf vérolé (c'est antivir qui le dit) qui se charge sur l'ordi et s'ouvre dès que l'on arrive sur l'adresse. J'ai d'autres sites dans des répertoires différents sur le même serveur, mais aucun autre ne semble touché. Je vais devoir sans doutesuspendre la redirection du sous-domaine de crainte d'infecter mes visiteurs.
je ne sais pas comment ils sont entrés, mais les mauvais fichiers sont de nouveau là.

En plus des fichiers indiqués plus haut, il y avait aussi un index.php pourri dans le répertoire admin
Katryne
 
Messages: 61
Inscription: Lun 12 Jan 2009 16:45
Localisation: Le Revest-les-Eaux, France

Re: Mon Arfoo attaqué

Messagede Katryne » Mer 10 Juin 2009 16:26

Rectification : d'autres sites sont infectés sur mon hébergement. Mon autre annuaire Arfoo (une archive en version précédente) et au moins deux cms guppy. J'ai téléphoné à mon hébergeur qui me dit que s'ils sont revenus alors que j'avais nettoyé, c'est qu'ils ont laissé une porte ouverte. Mon hébergeur me conseille seulement de tout détruire ce que j'ai en ligne et de reconstruire un à un mes 11 sites (seul celui en html n'est pas infecté)
Même si j'avais toutes mes sauvegardes à jour, comment être sure que ce que je remettrai en ligne ne sera pas attaqué de nouveau ?
Katryne
 
Messages: 61
Inscription: Lun 12 Jan 2009 16:45
Localisation: Le Revest-les-Eaux, France

Re: Mon Arfoo attaqué

Messagede effi » Mer 10 Juin 2009 17:30

bonjour,
attention ne laisse pas sur le forum l'adresse de ton serveur dans les messages que tu affiches !
effi
 
Messages: 323
Inscription: Sam 25 Avr 2009 11:47
Localisation: Paris

Re: Mon Arfoo attaqué

Messagede minibot » Mer 10 Juin 2009 17:32

bad trip ...

Leur porte d'entrée doit être un script, certainement un connu. Donc logiquement tu doit vérifier quels scripts installés sont maintenus et à jour, ceux là ne devraient pas poser problème.
Pour ceux qui restent la meilleur solution est d'en fermer l'accès en attendant de comprendre d'où vient l'attaque.

Si tu fournis la liste de tes sites ici (ou en MP) je peux te faire une petite verif rapide, je ne promet pas de miracles mais ce type de hack est fait par des noobs donc pas forcement complexe de trouver par ou ils passent ^^
Mydronelab : mon blog[/size]
minibot
 
Messages: 58
Inscription: Dim 3 Mai 2009 15:42

Re: Mon Arfoo attaqué

Messagede annuaire.net » Jeu 11 Juin 2009 10:20

Il s'est passé la même chose pour moi...
sur deux arfooo...et un freeglobes

ça craint!

j'ai remis les bons fichiers en place...
vous tiens au courant ce soir!
annuaire.net
 
Messages: 67
Inscription: Dim 3 Mai 2009 09:12

Re: Mon Arfoo attaqué

Messagede Arf » Jeu 11 Juin 2009 10:56

Bonjour,

Vous êtes chez quel hébergeur ?
Il faut vérifier vos logs, sinon ça va être difficile de savoir par où ils sont passé les vilains.
Je vais voir si je trouve des failles découvertes récemment.
Arf
Administrateur du site
 
Messages: 3082
Inscription: Lun 21 Jan 2008 14:53

Re: Mon Arfoo attaqué

Messagede Arf » Jeu 11 Juin 2009 11:05

Merci de me fournir l'URL des annuaires qui ont été attaqué pour que l'ont puisse procéder à des tests.
merci
Arf
Administrateur du site
 
Messages: 3082
Inscription: Lun 21 Jan 2008 14:53

Re: Mon Arfoo attaqué

Messagede Arf » Jeu 11 Juin 2009 11:11

En discutant avec un ami, il y a des problèmes de virus qui traine et qui permet de récuperer les login/pass des ftp...

Donc je ne sais pas trop encore comment ça fonctionne.
Est ce qu'ils réussissent à uploader des fichier un peu partout sur le ftp ?
Arf
Administrateur du site
 
Messages: 3082
Inscription: Lun 21 Jan 2008 14:53

Suivante

Retourner vers Installation, aide et report de bugs

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

 
Copyright © arfooo.com  2007 - 2011  -  Tous droits réservés  -  Partenaires de confiance
Sites du groupe: petites annonces gratuites   voyance en direct - tirage tarot   Consultant en référencement
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group | phpBB SEO Traduction par: phpBB-fr.com
cron