Help site Hacked

J'ai une redirection qui a était introduite sur mes pages par un piratage a priori

je cherche a quel niveau a était introduite

actuellemement quand je passe par
http://www.afrolatino.net
ma page va vers de
http://www.afrolatino.net/accueil/index.htm

vers
http://www.afrolatino.net/maint.php


annalyse avec wannabrowser.com
HTTP/1.1 302 Found
Date: Sun, 30 Mar 2008 18:08:20 GMT
Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.8g
X-Powered-By: PHP/4.4.8_pre20070816-pl0-gentoo
Location: http://www.afrolatino.net/accueil/index.htm
Vary: User-Agent
Content-Length: 0
Content-Type: text/html

HTTP/1.1 302 Found
Date: Sun, 30 Mar 2008 18:08:21 GMT
Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.8g
X-Powered-By: PHP/4.4.8_pre20070816-pl0-gentoo
Location: http://www.afrolatino.net/maint.php
Vary: User-Agent
Content-Length: 0
Content-Type: text/html

HTTP/1.1 200 OK
Date: Sun, 30 Mar 2008 18:08:21 GMT
Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.8g
X-Powered-By: PHP/4.4.8_pre20070816-pl0-gentoo
Vary: User-Agent
Transfer-Encoding: chunked
Content-Type: text/html

mon .htaccess dans www
Options +Includes
#ErrorDocument 401 http://www.afrolatino.net/
#ErrorDocument 402 http://www.afrolatino.net/
#ErrorDocument 403 http://www.afrolatino.net/
#ErrorDocument 404 http://www.afrolatino.net/
#ErrorDocument 500 http://www.afrolatino.net/
#ErrorDocument 503 http://www.afrolatino.net/maint.php
RewriteEngine on
Options +FollowSymlinks
RewriteRule (http|proxy|.txt) - [NC,F,L]
RewriteRule ^forum/nexistepas.html$ /forum/trouve.html [L]
RewriteRule ^forum/af.htm$ /forum/af.php [L]
RewriteRule ^forum/index.htm$ /forum/index.php [L]
#RewriteRule ^accueil/$ /accueil/index.htm [R=301]
RewriteRule ^accueil/index.htm$ /accueil/index.php [L]
RewriteRule ^([0-9]*).htm$ /forum/index.php?showtopic=$1
RewriteRule ^([0-9]*)-(.*).htm$ /forum/index.php?showtopic=$1&htm=$2
RewriteRule ^p-(.*).htm$ /forum/af.php?act=Print&client=printer&t=$1
RewriteRule ^f-([0-9]*).htm$ /forum/index.php?showforum=$1
RewriteRule ^f-([0-9]*)/(.*).htm$ /forum/index.php?showforum=$1&htm=$2
#RewriteRule ^fst-([0-9]*)/(.*).htm$ /forum/index.php?showforum=$1&st=$2
RewriteRule ^fst-([0-9]*)/(.*)/(.*).htm$ /forum/index.php?showforum=$1&st=$2&htm=$3
RewriteRule ^c-([0-9]*).htm$ /forum/index.php?c=$1
RewriteRule ^c-([0-9]*)/(.*).htm$ /forum/index.php?c=$1&htm=$2
RewriteRule ^salsa-afro-rock-danses-cours-stages-soirees-concerts-festivals-voyages.htm$ /forum/salsa-afro-rock-danses-cours-stages-soirees-concerts-festivals-voyages.php [L]
AddHandler x-httpd-php4 .php

OPTIONS -Indexes

(release 2 ovh) /usr/local/apache/conf/httpd.conf
DirectoryIndex index.php index.html index.html.var index.shtml index.htm index.cgi index.wml

index.php dans www
<?
// header("Status: 301 Moved Permanently");
//header("Status: 200 OK");
header("Location: http://www.afrolatino.net/accueil/index.htm");
exit;
?>

http://www.afrolatino.net/accueil/index.htm redirige http://www.afrolatino.net/accueil/index.php par le .htaccess

Help

je n'ai plus d'acces root sur My SQL
on ma change mon mot de passe:eek::eek::eek:

Dans OVHM
je selectionne mon domaine
on me dit "Mysql ne tourne pas !" :eek::eek::eek:

Dans MySQL Database Server j'ai
MySQL is not running on your system - database list could not be retrieved.
je clique sur le bouton STARTMYSQL il ne se passe rien

Dois je rebooter le RPS ?:confused::confused::confused:

je fait shutdown -r now

le serveur se relance :o
je n'ai pas compris ou se trouve cet redirection :confused:
vers
http://www.afrolatino.net/maint.php

Ca y est le serveur a redémarré:):):)
Mysql tourne :):):)

mais je cherche d'ou viens cette redirection HELP:(:(:(

personne pour m'aider:(:(:(

Mets ton serveur en rescue et regarde les logs

>>ErrorDocument 503 http://www.afrolatino.net/maint.php
>>503 : service non disponible

tu as programmé l'erreur 503 dans ton htaccess...

Je poste ce message vraiment à l'arrache car ce que tu fait est strictement interdit dans les chartes netiquette etc... (je parle du multi poste).

Regarde dans /var/log/...
Tu pioche dans les fichiers pour lire les eventuelles interventions extérieures.

Help site Hacked

J'ai une redirection qui a était introduite sur mes pages par un piratage a priori

je cherche a quel niveau a était introduite

actuellemement quand je passe par
http://www.afrolatino.net
ma page va vers de
http://www.afrolatino.net/accueil/index.htm

vers
http://www.afrolatino.net/maint.php


Mais cette page "maint.php" c'est toi qui l'a écrite ou pas ?

Parce que vu de l'extérieur, ça parait être une page "normale",
officielle de ton site, non ?

Si oui, cette redirection est sans doute un effet induit, non volontaire,
d'une manip que tu as effectué dans ton site.

Tu as l'air d'apprécier les redirections à la base :)

- la demande de "www.afrolatino.net" est redirigé vers "www.afrolatino.net/accueil/index.htm", et ce via un fichier PHP contenant
un appel à header().

- la demande de "www.afrolatino.net/accueil/index.htm" est à son tour
redirigée vers "www.afrolatino.net/accueil/index.php", via le .htaccess cette fois

- la demande de ""www.afrolatino.net/accueil/index.php" est enfin redirigée vers "www.afrolatino.net/maint.php", via ??? mystère

Commence déjà par supprimer (temporairement) toutes ces redirections,
tu y verras déjà plus clair parce que là ...

>>ErrorDocument 503 http://www.afrolatino.net/maint.php
>>503 : service non disponible

tu as programmé l'erreur 503 dans ton htaccess...

je l'ai mis en commentaire comme tu vois

en fait effectivement il y a quelques années j'avais mis une redirection en cas d'erreur de connect
//redirection erreur de connect
if (($link = @mysql_connect($this->obj['sql_host'],$this->obj['sql_user'],$this->obj['sql_pass']))== FALSE)
{
//header("Status: 503 Service Unavailable : Service non disponible");
//header('HTTP/1.0 503 Service Unavailable');
//header('Retry-After: 120');
header("Status: 302 Moved Temporarily", false, 302);
header("Location: http://www.afrolatino.net/maint.php");
exit;
}

EN RESUME
j'ai eu
hier Soir le service mysql s'est arrete inopement sur mon serveur
message sur OVHm "Mysql ne tourne pas"
impossible de redemarrer avec le restart de mysql
donc j'ai rebooter mon serveur

maintenant
mysql est accessible par phpmyadmin
mais mes script php ne fonctionne pas
en cherchant je me suis aperçu que le problème venait de la conncetion mysql

j'ai fait aussi un reparer table dans phpmyadmin

j'ai bien une erreur de connection SQL
Warning: mysql_connect() [function.mysql-connect]: Lost connection to MySQL server at 'reading initial communication packet', system error: 111 in /home/afrolati/www/testsql.php on line 2
Impossible de se connecter : Lost connection to MySQL server at 'reading initial communication packet', system error: 111

je mets de cote la piste de piratage pour l'instant bien que il y a eu un fort traffic incoming PIC à 9Mega vers l'heure présumé du probleme (19h) et une chute de traffic outgoing du a la redirection "erreur de connection" vers une page plus legere a charger voir graphique
http://img267.imageshack.us/img267/9716/graphiquetrafic080330qe0.jpg

j'ai cree un nouveau fil de discussion concernant le problème de connexion Mysql voir http://forum.ovh.com/showthread.php?p=168189#post168189

Tu est sous quel distrib ?
Avec quels services qui tournent ?
Tu a quel IP (je parle de l'eth0 pas de l'IP publique) ?

Sinon +1 pour lire dans les logs.

Sinon un site en prod sur un RPS t'a pas peur ! Le mien n'est pas très fiable, en cas de reset du switch/iSCSI/NAS le filesystem est mis à rude épreuve. J'ai participé de la bêta et ça a cassé 2 fois dont une lorsqu'il était en phase "stable" il y a quelques jours.