Mon Arfoo attaqué

de **Arf** » Mer 10 Juin 2009 11:05

Bonjour,

Il faut déterminer par où le fichier a été modifier, comment ils ont réussi a entrer sur le serveur.
Pour cela il faut regarder vos logs et les éplucher avec une grande attention.

Sur votre serveur, avez-vous d'autres scripts autres qu'Arfooo ?

de **Katryne** » Mer 10 Juin 2009 15:53

Bonjour Arf !
Les méchants sont revenus : de nouveau le même message et en prime un pdf vérolé (c'est antivir qui le dit) qui se charge sur l'ordi et s'ouvre dès que l'on arrive sur l'adresse. J'ai d'autres sites dans des répertoires différents sur le même serveur, mais aucun autre ne semble touché. Je vais devoir sans doutesuspendre la redirection du sous-domaine de crainte d'infecter mes visiteurs.
je ne sais pas comment ils sont entrés, mais les mauvais fichiers sont de nouveau là.

En plus des fichiers indiqués plus haut, il y avait aussi un index.php pourri dans le répertoire admin

de **Katryne** » Mer 10 Juin 2009 16:26

Rectification : d'autres sites sont infectés sur mon hébergement. Mon autre annuaire Arfoo (une archive en version précédente) et au moins deux cms guppy. J'ai téléphoné à mon hébergeur qui me dit que s'ils sont revenus alors que j'avais nettoyé, c'est qu'ils ont laissé une porte ouverte. Mon hébergeur me conseille seulement de tout détruire ce que j'ai en ligne et de reconstruire un à un mes 11 sites (seul celui en html n'est pas infecté)
Même si j'avais toutes mes sauvegardes à jour, comment être sure que ce que je remettrai en ligne ne sera pas attaqué de nouveau ?

de **effi** » Mer 10 Juin 2009 17:30

bonjour,
attention ne laisse pas sur le forum l'adresse de ton serveur dans les messages que tu affiches !

de **minibot** » Mer 10 Juin 2009 17:32

bad trip ...

Leur porte d'entrée doit être un script, certainement un connu. Donc logiquement tu doit vérifier quels scripts installés sont maintenus et à jour, ceux là ne devraient pas poser problème.
Pour ceux qui restent la meilleur solution est d'en fermer l'accès en attendant de comprendre d'où vient l'attaque.

Si tu fournis la liste de tes sites ici (ou en MP) je peux te faire une petite verif rapide, je ne promet pas de miracles mais ce type de hack est fait par des noobs donc pas forcement complexe de trouver par ou ils passent ^^

de **annuaire.net** » Jeu 11 Juin 2009 10:20

Il s'est passé la même chose pour moi...
sur deux arfooo...et un freeglobes

ça craint!

j'ai remis les bons fichiers en place...
vous tiens au courant ce soir!

de **Arf** » Jeu 11 Juin 2009 10:56

Bonjour,

Vous êtes chez quel hébergeur ?
Il faut vérifier vos logs, sinon ça va être difficile de savoir par où ils sont passé les vilains.
Je vais voir si je trouve des failles découvertes récemment.

de **Arf** » Jeu 11 Juin 2009 11:05

Merci de me fournir l'URL des annuaires qui ont été attaqué pour que l'ont puisse procéder à des tests.
merci

de **Arf** » Jeu 11 Juin 2009 11:11

En discutant avec un ami, il y a des problèmes de virus qui traine et qui permet de récuperer les login/pass des ftp...

Donc je ne sais pas trop encore comment ça fonctionne.
Est ce qu'ils réussissent à uploader des fichier un peu partout sur le ftp ?

Mon Arfoo attaqué

Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Re: Mon Arfoo attaqué

Qui est en ligne