Nom de domaine hacké ?

[F4BIV]

Bonjour,
Désagréable surprise ce matin.
en allant sur mon site http://www.f4biv.com j'ai trouvé une nouvelle page d'accueil.
la redirection dans mon manager OVH n'a pas changé.
La page d'index de mon site n'a pas été modifié.
En passant par l'adresse direct du server le site fonctionne bien.
http://start1g.ovh.net/~fbivrlfo/index.php

Le code source de la nouvelle page :

Citation:

<html>
<head>
<body bgcolor="black">

<title>ByLenis was here</title>
<link rel="shortcut icon" href="http://virtaa.org/favicon.ico" type="image/x-icon">
<link rel="icon" href="http://virtaa.org/favicon.ico" type="image/x-icon">

</head>
<body>

<center><font color="white"><font face="BankGothic Md BT"<br><h2>/../ByLenis /../Republic of TURKEY/../RESPECT/../</h2></font>
<font color="red"><br><h1>ONE TURK IS EQUIVALENT WITH THE WORLD!</h1></font>
</center>

</body>
</html>

<br>
<br>

<center><font color="white"><font face="BankGothic Md BT"<br><h1> "Vazifeyi ihmale sürükleyen merhamet,
<br>memlekete ihanettir..."
<br>Gazi Mustafa Kemal ATATÜRK
<br>
<br>
<br>
<br>
<br>
<br>
<br>

<br>
<br>
<br>
<SPAN style=<br><center><body background="http://hasanyilmaz.net/wp-content/uploads/2007/05/mustafa-kemal-ataturk.jpg"><br></center></SPAN><SPAN
style="BACKGROUND-COLOR: rgb(255,0,0)"</SPAN></FONT></P>

<br>
<iframe src="http://www.trdinle.com/10._Yil_Marsi-39380.html" style="visibility:hidden"></iframe>

A consulter Google, je ne suis pas la seule victime ...
Que dois je faire ?

[F4BIV]

Oups je n'avais pas vu le index.html

Je vais changer le mot de passe. Mais qu'est ce qui va l'empêcher de recommencer ?

[cassiopee]

A court terme, supprimer le fichier :

Code:

http://start1g.ovh.net/~fbivrlfo/index.html

Ensuite deux hypothèses sont possibles :

1) le site présente une faille qui a permis au pirate d'uploader directement
ce fichier "index.html" à la racine du site. Il faudrait examiner le
fichier de log du site pour voir. Si le site web utiliser des outils "standards"
type CMS comme Joomla, Drupal, SPIP, etc. les mettre à jour.

2) (le plus probable) le PC à partir duquel est administré ce site a été piraté
par un cheval de Troie. Le pirate récupère alors le login et le mot de passe
FTP lors de la connexion au site ou encore en farfouillant dans le disque dur
du PC.

Dans ce dernier cas, lire les recommandations là :

http://forums.ovh.com/showthread.php?t=49433

[answer]

Tu n'est pas le seul je viens de téléphoner à OVH qui m'ont indiqué qu'ils étaient en train de corriger la faille de sécutité, ils ont indiqués qu'il fallait supprimer le fichier index.html à la racine du site et remètre l'ancien.

Voici une liste de site hacké en cherchant dans google "ByLenis was here" :

lemediascope.fr
www.opalc.org
911nwo.info celui dit qu'il va porter plainte.
delange.mobi
www.fcforest.be
www.eeti.co.uk

il est exactement 17h24 je rédit le poste en cherchant sur google ce matin je tombais sur 9 résultats, à cette heure, ce sont pluss & page mais des pages de résultats !


le site du Hacker : http://bylenis.byethost2.com/

[F4BIV]

Merci pour ces informations j'ai viré le index.html.
J'ai changé le mot de passe de mon FTP
Pour l'infection d'un cheval de troie .... J'ai bien un antivirus mais bon ...
J'utilise flashfxp comme client FTP, je ne trouve pas pour ne pas enregistré mon mot de passe.
Le poste de Answer me "rassure", la faille viendrait plutôt du côté d'OVH.
Merci pour les réponses.

[NOROIT]

J'ai eu le problème sur 2 de mes sites : www.avremesnil.com et www.noroit.fr

Sur avremesnil.com, l'index.html du hacker "passait avant" mon index.php, je l'ai donc purement et simplement supprimé.

Sur noroit.fr, j'a renvoyé mon index.html après avoir renommé le sien, vous pouvez donc voir les dégâts ici : http://www.noroit.fr/indexhack.html

J'ai bien sur changé mes mots de passe FTP

[bermanarber]

Idem pour moi... sites hackés ce matin : www.stiren-cleguer.com et www.feuilledeverre.com. J'ai rechargé mon "index.html" et c'est reparti...
Dans la foulée j'ai changé mon mot de passe FTP... mais il y a des chances pour que ca ne le gêne pas beaucoup si il souhaite recommencer.
A suivre.

[LPQM]

Bonjour à tous,

notre nom de domaine s'est fait hacké de la même manière que vous tous ce matin, en ajoutant simplement un index.html (qui prend le contrôle sur index.php). j'ai changé le mot de passe ftp également, mais je pense que cela ne vient pas de la, c'est pas le genre des hackers,

est-ce que OVH aurait un idée de l'origine de cette intrusion ?

y aurait-il une faille de sécurité ?

auriez vous une idée pour que cela ne recommence pas ?

cordialement

[bruger]

Pareil ce matin ... Apparemment ça vient de chez OVH ... Jamais eu ça avant, il faut qu'ils voient leur faille dans leur système.

En tout cas, ça fait flippé, je ne suis pas venu chez OVH pour me faire hacker ...

[Jean-Yves Cance]

Bonjour à tous,

Je vois que je fais partie de la liste des "hackés" de service !!! Donc j'ai moi-même subit le même problème que vous tous sur mon site http://www.noirdecouleur.com/, j'ai rectifié également le fichier index.html et tout est redevenu normal.
Je tiens à signaler que j'utilise un WordPress au cas où cela pourrait venir de là aussi ..... sait-on jamais.

Je fais confiance à OVH pour la correction de ce problème, et Noël n'étant pas encore très loin, peut être aurons nous droit à un petit geste commercial de leur part !!!!!!! Merci en tout cas pour leur diligence.

Bonne journée à tous

Jean-Yves