Vous n'êtes pas identifié.
Pages: 1
bonjour,
voilà depuis quelques jours maintenant chaque fois que je me rend sur mon site (www.megazik.be) qui est héberger chez vous.
Norton me bloque le site et me met une page blanche à la place.
j'ai également un message de la part de Norton qui me dit que une attaque venant de www.megazik.be à été bloquer.
du coup je viens vous demander de l'aide pour savoir si vous pourriez me venir en aide à ce sujet de façon à savoir comment supprimer ce qui cause se soucis de la part de mon site.
Je me suis rendu sur mon site (www.megazik.be) via 3 ordinateurs différent et à chaque fois avec les 3 navigateur principaux ( Chrome, Internet Explorer et firefox) et j'ai à chaque fois ce même message.
Je sais juste que il y a quelques temps une personne mal intentionné à tenter d'injecter une injonction SQL XSS via le livre d'or. (livre d'or que j'ai supprimer depuis)
est ce que cela peut être du à cela?
je vous remercie pour votre aide.
voici ci dessous un lien du screen de l'attaque.
http://www.megazik.be/img/attack.jpg
Hors ligne
Bonjour,
Il y a des scripts javascripts en place qui n'ont pas lieu d'être.
eval(...), j'en vois au moins 3 sur la page d'accueil.
Il faut déterminer d'où ils viennent.
Wordpress et ses modules sont bien à jour ?
Hors ligne
heuuu....
n'étant pas super calé dans ce domaine je ne sais pas trop de quelle script vous parler.
Néanmoins les module wordpress sont bel et bien à jour.
Pouvez vous me dire de quel script il s'agit que je vérifie si il vienne bien de moi et si il y a lieu de les supprimer en cas contraire.
sinon je ferai un import de tout mon contenu et je réinstallerai donc wordpress. ( en espérant que si j'importe le contenu, je ne vais pas importer avec les crasse qui s'y sont incruster)
Dernière modification par Spøøn (22-10-2011 20:32:22)
Hors ligne
Ce code ci :
<script type='text/javascript'>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>[...]'.split('|'),0,{})) </script>
(je l'ai pas collé entièrement vu que c'est une saloperie)
ligne 153, 316, 427
Reste à déterminer d'où ça vient.
C'est apparu depuis quand exactement ?
Hors ligne
D'après les logs de Norton la première attaque qui à été bloqué date du vendredi 14 Octobre 2011.
le mieux je suppose serait que je face une sauvegarde générale qui rassemblera tous mes articles, pages, commentaires, champs personnalisés, termes, menus de navigation et types de contenus personnalisés et que ensuite je réinstalle wordpress ?
car les scripts que vous avez trouvé je ne sais ni ou ni comment les retrouver ( j'ai fait afficher code source de la page du site (l'index) et je me suis rendu a la ligne que vous m'avez indiquer mais pas trouvé.
Hors ligne
Je vais fouiller davantage.
Mais le problème vient plus à mon avis d'une faille sur un module de Wordpress ou un module tiers.
Changez par sécurité vos mots de passe FTP, même si je doute que ça vienne de là.
Dans le pire des cas il faudrait réinstaller Wordpress petit à petit et vérifier à chaque fois si tout est à jour et sans failles connus.
Dans la source de la page cherchez le terme "eval" pour trouver les 3 références.
Faut trouver dans quel fichier précisément il est, je vais regarder.
Hors ligne
je vous remercie.
je pense que la faille venait du livre d'or que j’avais installer via un plugin wordpress. (livre d'or que j'ai totalement supprimer depuis)
Car les soucis on commencer le jour un un petit malin y a mis un message (injection sql de type XSS).
c'étais un truc du genre: < script > ( 'XSS ') < /sc ript > (y'avait d'autre mot dans le script mais je ne m'en souviens plus.)
(j'ai mis des espace pour être sur de pas faire une mauvaise manœuvre en publiant ce message)
EDIT: Pensez vous que ce logiciel pourrait aidé.: http://www.greensql.com/
Dernière modification par Spøøn (22-10-2011 20:32:34)
Hors ligne
Je ne trouve pas dans les fichiers de votre site le code, il doit-être dans la base de données.
Ce type d'insertion de codes malveillant ce fait souvent :
- par une faille dans un programme
- avec un logiciel espion sur votre ordinateur qui scanne votre ordinateur à la recherche d'identifiants FTP, se connecte et change les fichiers index.
Dans le premier cas il faut vérifier régulièrement les failles des programmes qu'on utilise (inscription à la newsletter par exemple) et faire rapidement les mises à jours qui s'imposent.
Dans le deuxième cas, évitez d'aller sur sites douteux, avoir un antivirus à jour et reconnu comme fiable, ne pas télécharger et exécuter n'importe quoi. L'idéal est ne pas garder en mémoire les identifiants du FTP.
Dans tous les cas : faire des sauvegardes régulières de son site (notamment la base de données qui bougent beaucoup).
De mon côté il y a des sauvegardes automatiques, je peux restaurer un site à J-1.
Pour GreenSQL il faut pouvoir exécuter le programme sur un serveur.
Hors ligne
la saloperie se trouve bien sur la base de donnée car je viens de supprimer tout mon site ainsi que la base sql WP et j'ai le même soucis quand je vais sur le forum du site.
En ce qui concerne mon pc, je suis sur que celui ci n'est pas infecté, car comme dit plus haut je me suis rendu sur mon site avec 3 pc différents d’on un tout nouveau qui a pas deux semaine et qui ne ma pratiquement pas encore servis. j'ai tester a chaque fois avec internet explorer, fierfox et chrome et a chaque fois le même soucis.
quand à mon anti virus il s'agit de norton 360 qui est à jour.
si je comprend bien, je suis bon pour refaire tout mon site de A à Z vu que si je fait une sauvegarde de la base de donnée je vais je suppose sauvegarder le code malveillant qui s'y trouve donc cela ne servirai à rien. :'(
Dire que je viens de supprimer tout mon site wordpress pour rien vu que cela ne viens pas directement de là.
EDIT: je viens de réinstaller tout mon site Word Press et j'ai toujours les attaques :'(
Dernière modification par Spøøn (23-10-2011 15:30:27)
Hors ligne
phpBB est à jour aussi ?
Vous avez réinstallé comment ? le début ou une ancienne sauvegarde ?
Hors ligne
Oui PhpBB étais à jour.
Je dit étais car je l'ai virer.
pour la réinstallation, j'avais supprimer tout le dossier wordpress de mon ftp ainsi que toute la base de donnée de word press et j'ai refait une nouvelle installation.
Et comme l'attaque étais toujours présente, même sur le forum.
Cela ma pris la tête et j'ai vider tout ce qui étais sur mon ftp ainsi que toute la base sql.
Histoire de repartir a blanc ( compte vierge)
Et j'ai à nouveau réinstaller wordpress uniquement. (plus le courage de réinstaller le forum et le système de playlist que j’avais)
j'ai uniquement fait un export de mes articles pour pouvoir les importer une fois wordpress réinstaller.
Et là c'est repartis j'ai toujours cette foutue attaque.
Ce que je ne comprend pas vu que j'ai refait une installation complète (ftp et base de donnée)
Dernière modification par Spøøn (23-10-2011 22:15:49)
Hors ligne
Le code apparaît quand vous restaurer vos articles ?
Hors ligne
je ne sais pas à quelle moment il a apparaît exactement.
mais je suppose que cela doit être à partir de là.
par contre il ne me fait cette alerte que avec mes 3 pc qui sont sous norton 360.
j'ai un 4 eme pc ( un petit portable ) qui na aucun anti virus, et là il ne se passe rien que je vais sur le site. ( le site s'affiche correctement )
Hors ligne
Il faut voir à partir de quel moment le script s'ajoute.
Pour l'erreur c'est normal, c'est Norton qui détecte.
Hors ligne
La seul façon pour moi de le savoir, c'est de une fois de plus tout réinstaller. :'(
je verrai cela dans les jours qui viennent et je vous tiendrai au courant.
Hors ligne
Pages: 1