1. Accueil
  2. Question et réponse
  3. site web personnel piraté sur ovh.com, code ajouté en html

site web personnel piraté sur ovh.com, code ajouté en html

2010-07-14 7 views
3

Mon ami a un site web sur ovh.com.Depuis quelques jours, le site est marqué comme dangereux par google.site web personnel piraté sur ovh.com, code ajouté en html

J'ai regardé dans les fichiers (le site ne contient que seul html, css, PJG) et il semble qu'une nouvelle ligne de code:

<script>http://...page.php</script></body>

(je ne me souviens pas l'URL exacte) a été ajouté dans certaines pages html. C'est évidemment un virus qui serait lancé quand la page est affichée.

Si je supprime cette ligne et scanne le fichier une fois de plus, c'est correct.

Comment cela peut-il être ajouté à un fichier sur le serveur? Y at-il quelque chose à faire pour empêcher de telles choses? (penser à des trucs .htaccess ou autre). Je ne vois pas comment les identifiants ftp auraient pu être volés donc pour moi cette insertion de code doit venir d'ailleurs.

Pourriez-vous m'aider s'il vous plaît?

Merci beaucoup,

Luc

Source

2010-07-14 Luc

Répondre

6

Ceci est probablement pas un hack dans les termes que vous pensez. L'hébergement partagé n'est généralement pas le problème ... et il est peu probable que quelqu'un ait deviné votre mot de passe. Ne sachant pas les détails, je parie que quelque part sur le compte vous avez un morceau de logiciel open source comme Joomla, phpBB, Wordpress, ou similaire. Je parie aussi que ce logiciel n'a pas été mis à jour depuis un moment.

Ceci est assez commun. Les pirates informatiques trouvent des scripts vulnérables et explorent le Web en «reniflant» les versions de code particulières qu'ils peuvent utiliser pour accéder à votre site. Il y a plusieurs emplois, une opération de porno russe est entrée dans le site Web de mon entreprise via une installation malveillante de phpBB qu'un employé s'est faufilé sur le serveur. Via ce code vulnérable, ils ont injecté des milliers de fichiers et ont même accédé à la base de données en créant un nouveau "superadmin" avec tous les privilèges. Inutile de dire que c'était un gâchis à nettoyer. Un problème similaire est survenu à un compte que j'ai utilisé pour tester: une ancienne version de Joomla permettait à l'utilisateur d'injecter du javascript qui semblait vouloir installer un virus via le navigateur de l'utilisateur, et provoquait également l'erreur que vous décriviez dans Chrome. . Le site de production de mon entreprise actuelle voit des centaines de tentatives d'exploitation de phpMyAdmin chaque jour dans les logs, c'est pourquoi nous avons cessé de l'utiliser.

Alors, maintenant quoi? Tout d'abord, descendez un peu votre site pour protéger les autres ... profitez-en pour changer les mots de passe db et ftp. Deuxièmement, analyser ce qui est là-bas .... souffle tout code inutilisé, mettre à jour les scripts open-source. Assurez-vous que les mots de passe logiciels ne sont pas laissés dans l'état par défaut, parce que les pirates les connaissent (vous vous demandez comment la plupart du WiFi est piraté?) Ensuite, la partie pas si amusante ... fouille les pages pour nettoyer le code injecté. Trouver et remplacer ou GREP peut aider à accélérer cette partie .... mais attention à tout sortir ou ils pourraient avoir un moyen de revenir. Dans le cas de mon site personnel, il a fallu 2 tours pour obtenir complètement le site a été verrouillé et nettoyé. La bonne nouvelle est que la plupart de ces attaques sont automatisées, donc le code injecté est assez évident et presque toujours au même endroit et en utilisant la même syntaxe de page en page.Sachez également que certaines de ces attaques hébergent des fichiers sur votre serveur, examinant ainsi les fichiers pour s'assurer qu'ils sont légitimes. Enfin, analysez votre propre code pour voir si vous avez laissé des trous. Les scripts de connexion, les scripts, et même les requêtes peuvent être des cibles pour l'injection. Faites attention à ce que vous vous ouvrez.

Source

2010-07-14 15:50:19 bpeterson76

+0

HEllo, merci pour votre longue réponse. En fait, il n'y a pas de pièces open source dans les images. Mes amis ont seulement créé quelques pages html et css, et ont ajouté quelques fichiers jpg. Je me demandais si quelque chose comme Joomla pourrait rendre la pensée plus sûre mais je pense que ce serait trop pour les besoins de mon ami. J'ai vérifié le code des pages html et j'ai vu la ligne qui a été ajoutée par (probablement) un robot. Je peux nettoyer cela assez facilement mais je suppose que ce sera la même chose demain matin :(Je vais vérifier les formulaires ou quelque chose comme ça, mais je suis presque sûr qu'il n'y en a pas, merci beaucoup – Luc

+1

Y at-il une chance que vous Vous pourriez probablement vous aider à comprendre un peu plus facilement ... Comprenez si vous souhaitez le garder privé ... – bpeterson76

+2

En fait, l'autre chose est si vous n'avez pas de trous évidents dans votre code, vous pouvez contacter l'hébergement pour surveiller l'activité sur le site.Vous pouvez également le faire vous-même avec l'analyse si elle est installée.A tout le moins, il vous dira à quelles pages les gens accèdent afin que vous puissiez analyser les trous. sait, peut-être qu'ils sont back-dooring le site à travers quelque chose que vous ne contrôlez même pas – bpeterson76

1
  1. Utilisez-vous un hébergement mutualisé? Votre fournisseur n'a pas pris suffisamment de mesures pour que les clients n'aient pas accès au compte d'un autre utilisateur.
  2. Votre mot de passe est-il facile à deviner?
  3. Tout changement de .htaccess ne va pas aider

Source

2010-07-14 12:45:25 ankitjaininfo

+0

Bonjour, oui partage d'hébergement. Mot de passe pas facile à deviner du tout. Même un nouveau dossier a été ajouté dans la structure du répertoire. – Luc

Questions connexes

 Questions connexes