Discussion :

[Invité]

Bonjour,

A chaque fin de mois, le site de mon ami est piraté avec l'ajout dans l'index d'un code du style :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src="http://********" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>

La navigation se fait en chargeant les pages dans un div de la page index avec le code Jquery suivant :

Page index.html

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
[...]
<noscript>
	<meta http-equiv="Refresh" content="0;URL='javascript.html'"/>
</noscript>
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.1/jquery.min.js">
</script>
<script type="text/javascript" src="script.js">
</script>
[...]

Page script.js

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
$(document).ready(function(){
	$('#menu').on("click", "a", function(){
		page=($(this).attr("href"));
		id=$(this).attr("id");
		$.ajax({
			url: page,
			success : function(){
				$('#corps').load(page);
				for (i=1; i<=10; i++){
					document.getElementById('a'+i).style.color='#002822';
				document.getElementById('a'+i).style.backgroundColor='#FFFFFF';
				}
				document.getElementById('corps').scrollTop=0;
				document.getElementById(id).style.color='#FFFFFF';
				document.getElementById(id).style.backgroundColor='#002822';
			},
			error : function(XMLHttpRequest, textStatus, errorThrows){alert('erreur système');}
		});
		return false;
	});
	actualisation();
});
function actualisation(){
	for (i=1; i<=10; i++){
		if("#ffffff"==colorToHex($('#a'+i).css("color"))){
			if(i!=1){$('#a1').css("background-color", "#ffffff");
				$('#a1').css("color", "#002822");
			}
			page=($('#a'+i).attr("href"));
			$('#corps').load(page);
		}
	}
}
function colorToHex(color) {
	if (color.substr(0, 1) === '#') {
		return color;
	}
	var digits = /(.*?)rgb\((\d+), (\d+), (\d+)\)/.exec(color);
	var red = parseInt(digits[2]);
	var green = parseInt(digits[3]);
	var blue = parseInt(digits[4]);
	var rgb = blue | (green << 8) | (red << 16);
	return digits[1] + '#' + rgb.toString(16);
};

Informations complémentaires :

Hébergeur : Orange
Pages : Toutes ont pour extension .html
Contact : Utilisation du formulaire de contact d'orange
Compteur : Utilisation du compteur d'orange


J'ai pensé à un problème lié au formulaire de contact d'Orange mais c'est peu probable.

Je viens donc vers vous pour savoir si le code Jquery n'aurait pas une faille de sécurité.

Merci d'avance

[SpaceFrog]

Il est absolument impossible que jquery puisse ecrire quoi que ce soit sur le serveur !

Regarde plutot du coté d'eventuelles libs php que tu utiliserais genre phpmailer ou autre, vérifie tes fichiers htaccess si tu en as ...

[Invité]

Merci pour votre réponse.

Justement c'est le problème. Il n'y a rien en PHP sauf dans la page contact.html, le code suivant qui appartient à Orange :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
[...]
<script language="javascript" src="http://pages.perso.orange.fr/js/verifFormulaire.js">
</script>
<form method="post" action="http://pages.perso.orange.fr/php/formulaire.php" onSubmit="return verifFormulaire( this )">
[...]

Merci

[Pelote2012]

Moi ce qui m'interpelle c'est que c'est à chaque fin de mois

Un piratage est plutot du genre aléatoire et plusieurs fois par jour. Car se sont des robots qui font ça.

Donc vérif tes bibliothèques et regarde si la date de modif de ton site correspond à une action particulière.

et si c'est toujours la même adresse, Peux-tu lancer une recherche sur cette adresse.

As-tu demandez à Orange s'il connaisse le problème?

[Invité]

Premier piratage : 26/01/2013 15:23:01
Deuxième piratage : 24/03/2013 18:23:01
Troisième piratage : 25/04/2013 02:35:19

Avec les pages perso d'Orange, je n'ai pas trouvé de log de connexion donc difficile de voir les actions précédents le piratage.

Je n'ai pas contacté Orange car j'ai pensé que le problème venait du code.

Pour les adresses de la frame, il n'a noté que les deux dernières fois.

Le fichier php appelé est toujours le même.
Les noms de domaine changent :
1) Un chez GoDaddy.com
2) Un chez 1&1 Internet AG avec des informations sur le détenteur

[SpaceFrog]

tu as des fichiers htaccess ?

sinon tu utilises quoi comme client ftp ?

change tes mdp ...

[Invité]

Il n'y a pas de fichier .htaccess.

Il y a :

- Un fichier robots.txt

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
User-agent: *
Disallow: /javascript.html

- Un fichier créé sur Google pour le référencement

Le client FTP est WinSCP et le mot de passe a été modifié après le deuxième piratage.

[SpaceFrog]

tu ne reponds pas à mes questions ...

quel est ton client FTP ?

[Invité]

Effectivement, j'ai édité pour répondre.

Le client FTP est WinSCP et le mot de passe a été modifié après le deuxième piratage.

[SpaceFrog]

Utilises Filezilla et modifies tes mots de passe

il est possible que ton client FTP soit une passoire

[Invité]

Ok mais il me semble que lui utilise Filezilla.

On verra à la fin du mois si le pirate est de retour.

Merci pour l'aide apportée.

[Pelote2012]

Pausez quand même la question à Orange.

Si c'est pas des sites débile mais des pubs ...

[Invité]

Je vais lui dire de les contacter.

Merci