lol91 Posté 6 Septembre 2007 Posté 6 Septembre 2007 Hello, J'ai un soucis trés embêtant .... J'accède à mon site normalement en tapant le ndd directement, mais lorsque mon site est retourné comme résultat dans google, le lien redirige vers un site X ... C'est un hacking classique et connu ? il ya des solutions ? Merci bcp !
lol91 Posté 6 Septembre 2007 Auteur Posté 6 Septembre 2007 J'ai trouvé ! un fichier htaccess a été créé sur mon serveur http ... le contenu : RewriteEngine on Options +FollowSymLinks RewriteCond %{HTTP_REFERER} ^.*(google|live|yahoo|ask|msn|aol|altavista).*$ [NC] RewriteRule .*$ http://********** [L] Si ça peut servir à qqu'un ... Par contre, je dois changer mes pwd, ou alors les mecs ont réussi à copier ça d'une manière détournée ?
captain_torche Posté 6 Septembre 2007 Posté 6 Septembre 2007 Ca ne peut pas être inutile de modifier tous tes mdp. Il faudra par contre vérifier que tes scripts n'ont pas de faille, en les mettant à jour si possible.
dldstyle Posté 6 Septembre 2007 Posté 6 Septembre 2007 Pour placer ce fichier, il fau avoir acès à ton compte FTP avec identifiant / mot de passe. Comme le souligne captain_torche, tu devrais changer tes mots de passe ou voir avec ton hébergeur s'il n'y a pas une faille de leur côté (s'ils veulent bien le reconnaître).
captain_torche Posté 6 Septembre 2007 Posté 6 Septembre 2007 Non, ça pourraot très bien être un script mal codé, qui permettrait ce genre de choses. Je lui conseille donc de mettre à jour tout ce qu'il est possible.
lol91 Posté 7 Septembre 2007 Auteur Posté 7 Septembre 2007 Merci pour vos réponses, J'ai changé mon pwd. Je penche aussi vers un script automatique car il y avait un htaccess dans tous les répertoires où il y avait un index.html. Par contre je ne vois pas trop ce que je pourrais mettre à jour comme script ... je suis en java avec un serveur tomcat + serveur apache devant ... peut-être mettre à jour mon apache ? je vais surveiller tout ça chaque matin et je verrai si ça recommence .... A+
Dudu Posté 8 Septembre 2007 Posté 8 Septembre 2007 Salut je vais surveiller tout ça chaque matin et je verrai si ça recommence .... Dans la série "mieux vaut prévenir que guérir" je te conseille avant tout d'éplucher tes fichiers de logs d'accès qui sauront t'en dire long sur la technique utilisée.Si tu y a accès bien sûr... Bon courage.
lol91 Posté 10 Septembre 2007 Auteur Posté 10 Septembre 2007 J'ai épluché mon accesslog et mon errorlog. 1er point, je vois l'attaque (les GET testés) ainsi que l'IP en cause. Je vais blacklister l'IP, par contre je ne vois tjours pas d'où vient la faille ... Je n'ai rien qui tourne en php, et les GET ressemblent à ça : GET /a1b2c3d4e5f6g7h8i9/nonexistentfile.php HTTP/1.0" 404 350 "-" "-" GET /adxmlrpc.php HTTP/1.0" 404 324 "-" "-" GET /adserver/adxmlrpc.php HTTP/1.0" 404 333 "-" "-" GET /phpAdsNew/adxmlrpc.php HTTP/1.0" 404 334 "-" "-" GET /phpadsnew/adxmlrpc.php HTTP/1.0" 404 334 "-" "-" GET /phpads/adxmlrpc.php HTTP/1.0" 404 331 "-" "-" GET /Ads/adxmlrpc.php HTTP/1.0" 404 328 "-" "-" GET /ads/adxmlrpc.php HTTP/1.0" 404 328 "-" "-" GET /xmlrpc.php HTTP/1.0" 404 322 "-" "-" GET /xmlrpc/xmlrpc.php HTTP/1.0" 404 329 "-" "-" GET /xmlsrv/xmlrpc.php HTTP/1.0" 404 329 "-" "-" GET /blog/xmlrpc.php HTTP/1.0" 404 327 "-" "-" GET /drupal/xmlrpc.php HTTP/1.0" 404 329 "-" "-" GET /community/xmlrpc.php HTTP/1.0" 404 332 "-" "-" GET /blogs/xmlrpc.php HTTP/1.0" 404 328 "-" "-" GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 335 "-" "-" Chaque GET s'est terminé en erreur .... peut-être il ya t il eu plusieurs attaques, celle ci ayant échouée .... Je vais regarder s'il y a autre chose ... A noter que la date du hacking correspond à la date de passage de plusieurs moteurs de recherche. enfin galère tout ça ...
glibre Posté 10 Septembre 2007 Posté 10 Septembre 2007 salut c'est quoi ton hegergeur et ton appli web? je te conseille de checker les mises à jour
lol91 Posté 10 Septembre 2007 Auteur Posté 10 Septembre 2007 J'ai un serveur DediBox, un http Apache, et un serveur d'app. Tomcat. Si je dois passer par là je ferai une maj des serveurs, mais connaissant les effets de bord qui suivent ce genre de manip je suis pas trés chaud ...
glibre Posté 10 Septembre 2007 Posté 10 Septembre 2007 il semble qu'il y ait surtout (voir uniquement) des dedibox touchees par ce truc. je pensais a une maj de ton appli web, genre drupal, dotclear etc.
lol91 Posté 10 Septembre 2007 Auteur Posté 10 Septembre 2007 il semble qu'il y ait surtout (voir uniquement) des dedibox touchees par ce truc. je pensais a une maj de ton appli web, genre drupal, dotclear etc. Merci pour l'info, je vais aller faire un tour sur le forum dedibox. Concernant les applis webs, je crois avoir testé 1 ou 2 aplis d'administration au tout début, je vais virer tout ça aussi ... Merci de ton aide ! bye
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant