Discussion :

[teraDev]

En fait, dès que je met un include d'une page qui contient du php, le problème apparait.
Voici le code d´une page de test pour laquelle je recupère du code malicieux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
 include ('./500.php');
?>

<html>
    <head>
    </head>

	<body>
	</body>
</html>

On peut difficilement faire plus simple !
Si j'ouvre directement 500.php, pas de code malicieux.
Si j'ouvre cet index.php qui n'a quasiment que cet include de 500.php, là, le code apparait !!!

J'y capte vraiment plus rien !


PS: Je reprecise que c'est pas du hijack puisque j'ai la même chose sur d'autres machines....

Et voilà !!! Et maintenant, je fais une modif quelconque dans 500.php, qui était pourtant identique en local et sur le serveur, et hop .... je remet exactement comme c'était et le code malicieux a disparu !

Je comprend pas ....

23/05/2009
J'ai enfin trouvé quelque chose :
Au début de plusieurs pages, j'ai un truc qui s'ajoute qui dit
<? /**/eval(base64_decode('er0t9asbQSDGaqsd9..... ')); ?>

En decodant un peu, il s'agit de code malveillant qui introduit des pages html dans le corps de mes pages php. Vicieux !! En plus c'est rempli de eval(base64_decode imbriqués....
J'ai viré ça et le problème est parti. Mais je sais pas comment c'est arrivé là...


Puisque personne ne semblait assez fort pour m'aider, je me suis fait les questions / réponses : ça pourra peut être aider quelqu'un dans le même cas.

[Sayrus]

Salut,

Perso je n'ai jamais rencontré le cas... De comment c'est arrivé, peut être quelqu'un qui avait accès à ton FTP ou qui connaissait ton code... Ou un hacker qui à trouver ton pass FTP et qui à modifier le contenu de tes pages...

C'est la chose la plus intéressante qu'il aurait pu faire.

En tout cas, tes réponses pourront en aider d'autres

Merci.

[FoxLeRenard]

Bonjour,
Tu sais il y a mille façon de se faire hacker, mais une certaine est la réputation de Hostmonster.com qui est réputé pour ces faiblesses.

Tu écris

En fait, dès que je met un include d'une page qui contient du php, le problème apparait.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
 include ('./500.php');
?>

pourquoi tu ne testerais pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
include "500.php";

Juste pour que tu commences a cerner ton probléme,
car je t'en reparlerais tu semble rerouté, et dés que tu parle en chemin relatif tu retombe sur le reroutage, bien que tu m'ais assuré qu'il n'y avait rien dans ton htaccess mais il y a bien d'autres moyens de rerouter.

autre point

Si j'ouvre cet index.php qui n'a quasiment que cet include de 500.php,

PS: Je reprecise que c'est pas du hijack puisque j'ai la même chose sur d'autres machines....

qui n'a quasiment que ... et bien justement, c 'est bourré d'appels
a des javascripts dans tout les sens !

Tu as la même chose sur d'autres machines, moi j'ais 5 micros
aucun ne trouve ton code ???

J'ai enfin trouvé quelque chose :
Au début de plusieurs pages, j'ai un truc qui s'ajoute qui dit
<? /**/eval(base64_decode('er0t9asbQSDGaqsd9..... ')); ?>

Puisque personne ne semblait assez fort pour m'aider, je me suis fait les questions / réponses : ça pourra peut être aider quelqu'un dans le même cas.

Puisque personne ne semblait assez fort pour m'aider
la j'avoue que tu m'as bien fait rire ...

est'il possible que tu me donnes par message privé si tu veux
la totalitée de ton
htaccess
de tes feuilles de style (une vieille histoire chez Hostmonster.com )
bien sur ces deux fichiers ce sont ceux actuellement sur ton site et nonpas celles en local.
Dernier point dis moi pour tout tes fichiers ton chgmod 777 611 ???

Merci d'avance

[teraDev]

Ahhhhh !!! je suis content de faire réagir !
Le "Puisque personne ne semblait assez fort pour m'aider" était fait pour ça !!!

Merci de vous préoccuper de mon cas....
Cependant, vous arrivez un peu après la bataille, et je l'espère, après la fin de la guerre !!!

FoxLeRenard, le include "500.php", j'avais déjà essayé et ça n'avait rien changé.

Tu as la même chose sur d'autres machines, moi j'ais 5 micros
aucun ne trouve ton code ???

Normal, comme je l'ai dit, j'ai résolu le problème !!!

Comme l'a dit Sayrus, je pense que quelqu'un avait réussi à pirater mon compte FTP. Faut dire que le mot de passe n'était pas assez tordu. Mais depuis, j'ai changé les mots de passe pour des trucs du genre aVPqv56dQHJ un peu plus chaud à trouver. Mais la technique du hacker avec des fichiers html bien cachés et du code crypté Base64 imbriqué était pas mal du tout !

Merci pour votre soutient !

[FoxLeRenard]

Super et c'est trés bien d'avoir mis RESOLU bonne pratique
A la prochaine bien sur