Forum

Bonsoir, je suis vraiment dégouter, j'ai encore était piratée, j'ai plus aucun fichier dans mon FTP, et javait aucun admin ou aucune personne qui pouvait accéder a mon FTP, il me reste plus qu'un fichier qui ce surnomme c99.php et bien sur mon dossier logs qui a par défaut, et des que j'essaye de télécharger c99.php ba mon antivirus me dit que c'est un virus, vraiment je comprend pas g'en est marre sa fait la deuxième fois que sa m'arrive et comme un con javait fait une sav de ma base de données mais pas des fichier sur mon FTP, et ce qui est étrange c'est que la base de données et toujours la.

tu utilises un autre script en plus de phpboost? C'est bizarre quand même que cela t'arrive toujours... d'après une rapide recherche j'ai trouvé cela :





Bon si tu as encore la bdd, tu as encore tes données il va juste falloir remettre les fichiers de phpboost...



PS : changes TOUS tes mots de pass. As tu contacté ton hébergeur? Et supprime ce fichier de ton FTP.

Je suis désolé pour ce qui t'es arrivé, mais malheureusement, que veux-tu qu'on te dise.

Déjà, je déplace ton message, car ce n'est pas un rapport de bug, il ne s'agit en aucun cas d'un bug.

Ensuite, je crois que tu n'as plus qu'à recommencer, faut d'avoir un backup de tes fichiers.

Pour ce qui est l'origine de cette histoire, je soupçonne la présence d'un trojan qui a écouté tes connections ftp et ainsi capturé le mot de passe qui transite en clair dans ce protocole.

Il a installé un générateur de blog sur son serveur .... A voir si cela ne viendrait pas de là ! Je dis cela, je dis rien ...

Ton pc est propre en lui même?

Édité par Visiteur Le 08/04/2010 à 22h52

1ére question : Ba oui, mon pc et propres, donc c'est sur c'est un hackeur qui a fait sa ?



2éme question : mais pourquoi des que je veut télécharger le fichier "c99.php" ba mon antivirus me dit que c'est un virus et il le supprime direct ce fichier c99.php ?



3éme question : Donc avec son fichier c99.php il a supprimé tout ce qui avait sur mon ftp ?



4éme question : Et comment sa un trojan ? non je n'est pas de trojan (enfin je pense pas) !!



5éme question : Sa peut pas venir de 1and1 qui a eu un problème ?





Je change les quel de mot de passe ?

je les contacte des demain 8h, et non je préfère garder ce fichier jusqu'à demain au moins 1and1 pourra le voir.



Merci

Édité par tony Le 09/04/2010 à 00h00

Comment tu le sais ?

Ba je sais pas, je pense qu'il est propre, pourquoi il serait pas propres ?
Comment je pourrait faire pour voir ci mon ordi est propre ou non ?

Édité par tony Le 09/04/2010 à 00h04

tu as au moins un antivirus ? ^^

Ba oui, mais tu écoute au moins quand je parle ?



Mon antivirus m'alerte quand je télécharge c99.php, donc oui j'ai un antivirus, il s'appel windows live one care.







Regardai a cette adresse, il en parle de c99.php, donc c'est possible que la personne qui est fait sa et fait une sauvegarde de tout mais fichier, mais je la reverrai jamais cette sauvegarde de mais fichier le meilleur moyen et la sauvegarde régulière de ces fichier sur sont FTP, et de sa base de données.







Edit : Mais ce fichier "c99.php" il a pu le placer sur le site par son simple compte membre, puis après il est allée a cette adresse : http://www.mon-site.fr/upload/c99.php, et il a tout supprimer, ci il a pu faire comme sa c'est vraiment un problème de sécurité, vraiment regarder ce lien, une fois qu'il a placer le fichier "c99.php" dans mon site il a pu avoir accès a tout les fichier de mon FTP.







Edit2 : un jour il y a quelqu'un qui est venu sur mon site et qui ma dit ce site et une honte pour les site pokémon, donc je le soupçonne (mais bon, sans preuve on peut rien faire ! ), et il en parle de partout de ce fichier c99.php donc pas très compliqué a trouver pour un simple casse couille...

tony :

1ére question : Ba oui, mon pc et propres, donc c'est sur c'est un hackeur qui a fait sa ?







2éme question : mais pourquoi des que je veut télécharger le fichier "c99.php" ba mon antivirus me dit que c'est un virus et il le supprime direct ce fichier c99.php ?







3éme question : Donc avec son fichier c99.php il a supprimé tout ce qui avait sur mon ftp ?







4éme question : Et comment sa un trojan ? non je n'est pas de trojan (enfin je pense pas) !!







5éme question : Sa peut pas venir de 1and1 qui a eu un problème ?

Ptithom :

tu utilises un autre script en plus de phpboost? C'est bizarre quand même que cela t'arrive toujours... d'après une rapide recherche j'ai trouvé cela :

Citation :

PHP/C99Shell.B est un outil de hack appelé c99shell. A virer de toute urgence, il permet a distance d'executer n'importe quelle commande sur ton serveur.







Quand a la facon dont le pirate s'est introduit sur ton serveur elle peut etre multiple (snif des pass ftp, trojan sur ton pc, fichiers sous www avec des droits rwx etc....)

Bon si tu as encore la bdd, tu as encore tes données il va juste falloir remettre les fichiers de phpboost...







PS : changes TOUS tes mots de pass. As tu contacté ton hébergeur? Et supprime ce fichier de ton FTP.

Je change les quel de mot de passe ?



je les contacte des demain 8h, et non je préfère garder ce fichier jusqu'à demain au moins 1and1 pourra le voir.

Merci de vos réponses

Édité par tony Le 09/04/2010 à 03h23

ca je le dit toujours et je remonte un post régulièrement pour rappeler qu'il faut faire des sauvegardes COMPLETES. Après je ne peux pas le faore à la place des autres.





C'est un fichier virus que les antivirus connaissent donc bon c'est normal... (cf mon 1er post)





Bah d'après ce que tu nous dit c'est le cas.





Regarde sur leurs forums si d'autres ont ce problème mais bon en général ils protègent bine leurs serveur pour que un site ne détruise pas les autres



Un peu de logique! TOUS tes mots de pass de ton hébergement (FTP, base de données, accès au panel admin.



PS : 1/sauvegarde ta base de données via PHPmyadmin au cas ou elle ne serait pas endommagée, tu pourrais au moins récupérer ceci

2/ certains hébergeurs font des copies de sauvegarde régulières base de données (ca c'est sur) mais aussi des fois FTP, donc demande leur s'ils peuvent te récupérer ces données

Petite question suite à ce probleme. Je souhaite modifier mon mot de passe de base de données, mais je ne sais pas dans quel fichier celui-ci est inscrit.

Si je le change sans faire le changement sur le fichier, le site ne fonctionne plus bien evidemment.

Non, 1and1 ne fait aucune sauvegarde de la base de données et encore moins les FTP.

Citation :

Mon antivirus m'alerte quand je télécharge c99.php, donc oui j'ai un antivirus, il s'appel windows live one care.

mmmm pas fiable comme anti-virus(et d'ailleurs la version récente de cet AV s'appelle Security Essentials) d'autre part un anti-virus seul ne peut pas te protéger contre les malwares et autres menaces,... pour commencer je te conseille de télécharger MWAV un outil très puissant qui va désinfecter ton PC en profondeur !!!! je suis sûr et certain qu'il va te renvoyer un log bien salé, le seul hic, le logiciel est payant, en gratuit il ne t'affiche que la liste des malwares présents mais il ne les éradique pas mais ne t'inquiètes pas je t'aiderai après







voici le lien : http://www.escanav.com/english/content/products/MWAV/escan_mwav.asp



clique sur "download", tu remplies le formulaire (par n'importe quoi ) puis tu recevras le lien pour le télécharger, en premier lieu scan ton PC et file moi le journal des événements (le log) après je te filerai ma licence pour le désinfecter (en messagerie privée)







A+

Édité par perplex Le 09/04/2010 à 14h54

Par défaut, probablement pas mais peut-être proposent-ils des options de sauvegardes.

Sinon, ce n'est pas très compliqué : c'est à toi de faire tes sauvegardes toi-même. Qu'est-ce qui n'est pas clair dans cette phrase ?

Ouais je viens de voir... le générateur de blog que tu as installé contient plusieurs failles de type injections SQL, inclusion de fichier et changement de mot de passe utilisateur dans sa version 0.95.

Je suppose que le hackeur s'est fait plaisir et qu'il a d'abord téléchargé les mots de passe de tous les membres (heureusement que PBT crypte les mots de passe mais le hackeur peut les déchiffrer avec un logiciel spécifique) et il a du supprimer tout ce qu'il y avait sur le serveur avec l'inclusion d'un script...

Donc arrêtez de faire votre propagande pour vos antivirus... xD