Vous n'êtes pas identifié(e).
13 février 2024 Sortie de Dotclear 2.29
bon eh bien je viens de supprimer ce fichier "bt_ol.php" ainsi que tout le dossier "mysql" qui le contenait.
apparemment aucune incidence sur le blog qui ne crashe pas...
J'ai indiqué à un ami qui m'aide un peu là-dessus vos observations et il me dit que comme il avait changé les droits et les moyens d'accès au serveur, ça voudrait dire que les spammeurs utilisent une faille de dotclear pour installer leurs fichiers... d'autant que il y a un autre blog (wordpress) sur ce serveur qui n'est pas touché.
je ne sais pas...
toujours est-il que je me pose quelques questions :
- tout d'abord est ce que le fait d'upgrader (pr commencer) sur la version 1.2.8 de DC pourrait résoudre le souci ?
- je suppose que dans tous les cas il faut que j'ai nettoyé avant les fichiers de mon blog actuel... ?
- et enfin à quoi sert ce dossier "share" ?
merci encore de votre aide et désolée de ne pouvoir vous donner l'url du blog pour les infos personnelles.
Hors ligne
L’intérêt d'upgrader, c'est en grande partie pour le fait que tu trouveras bien plus d'aide que pour dc1 qui n'est, depuis un bon laps de temps, plus maintenu :)
Dire que la faille viens de dotclear est un peu hâtif, cela peux être la cause de plusieurs autre sources ou simplement d'une négligence involontaire de ta part que quelqu'un d'autre a exploitée. Il faudrait pour cela que tu analyse comment tu gère les mises à jour, est-ce que ton logiciel de transfert ftp est à jour si tu en utilise un ( des failles existent à ce niveau! ), est-tu seul à avoir accès à ton ordi, mémorise-tu les mots de passe sur ta machine, etc, la liste est longue....
Dernière modification par adjaya (2011-11-29 15:36:35)
Photo, Art et Création Numérique : http://benoit-grelier.photo7.fr/
Hors ligne
merci adjaya dc si je comprends bien le fait d'upgrader ne va pas résoudre le souci de hacking ?
(j'attends le retour de l'hébergeur contacté par mon ami (c'est son hébergeur) pr savoir ce qu'il en est sur cette attaque)
Hors ligne
Sans connaissance de la cause, le risque que tu ne soigne que les symptômes existe en effet.
Photo, Art et Création Numérique : http://benoit-grelier.photo7.fr/
Hors ligne
Merci beaucoup adjaya de tes conseils sages et avisés :-)
Suite au retour de l'hébergeur (qui conseiller d'upgrader à la dernière version) et avoir nettoyé ts les fichiers (enfin j'espère !), je vais donc m'engager sur cette voie de migration.
Alors j'ai une petite question à ce sujet svp :
Comme je le disais, je suis sur la version 1.2.7.1, je pensais d'abord upgrader sur 1.2.8 puis DC 2
ou devrais je plutôt passer directement d'1.2.7.1 à DC 2 (j'avais cru comprendre que c'était plus simple d'être d'abord sur 1.2.8 pour aller vers DC 2) ?
Merci de vos conseils et bonne journée !
Hors ligne
merci beaucoup amalgame. je vais regarder ça précieusement !
bon au passage, il y a eu un peu de nouveau sur mon hacking (ça empire...).
et du coup je commence à avoir peur qu'ils puissent accéder à mon ordinateur depuis lequel j'échange avec le serveur. j'utilise le logiciel ftp dreamweaver.
sauriez-vous ce que je dois faire pour désactiver ma connexion ftp car j'imagine que simplement fermer dreamweaver ne suffit pas tant que l'ordi est connecté à Internet ?
merci encore de votre aide (et je ne souhaite à personne ce qui m'arrive !)
Hors ligne
Non, si ton client FTP est fermé il n'y a pas de risque de communication avec Internet
Mais il est possible que le virus soit déjà dans ton ordinateur, et se soit attaqué au client FTP (c'est arrivé avec Filezilla). C'est pourquoi il faut avant toute chose faire analyser ta machine, et celle de toute autre personne qui serait en possession de tes codes FTP, par un logiciel antivirus.
Une fois cette vérification faite, change tous tes codes FTP et MySql dans le panneau d'administration de ton hébergeur, puis supprime tous les fichiers suspects sur le serveur avant de mettre à jour ton Dotclear.
Hors ligne
Non, si ton client FTP est fermé il n'y a pas de risque de communication avec Internet
Je suis pas sûr que ca suffise si le hackeur a main mise sur l'ordi, il peux très bien l'activer à distance. Un bon pare-feu paramétré pour alerter à chaque tentative d'intrusion ( surveiller les connections entrantes et sortantes ) s'impose à mon avis, après un scan complet de l'ordi bien sûr, de préférence paramétré au démarrage.
Photo, Art et Création Numérique : http://benoit-grelier.photo7.fr/
Hors ligne
amalgame a écrit :Non, si ton client FTP est fermé il n'y a pas de risque de communication avec Internet
Je suis pas sûr que ca suffise si le hackeur a main mise sur l'ordi
Oui, j'aurais dû dire qu'il n'y a pas de risque de contamination depuis Internet si le client FTP est fermé. Bien évidemment, si l'ordinateur est infecté, plus rien n'est à l'abri ;)
Hors ligne
merci à vous !
donc ça veut dire que si mon ordi n'est pas infecté (j'ai passé le scan de mon antivirus) et que je ferme dreamweaver, je n'ai pas de risque ?
merci encore et bonne soirée !
Hors ligne
heu bah je sais pas, j'utilise l'anti-virus AVG... :-)
il y a un "bouclier résident" je sais pas si c'est ça ??
merci encore !
Hors ligne
PS : quelques infos sur la nature de mon hacking
alors depuis les 3 à 4 fichiers que j'avais détectés avec votre aide, une myriade d'autres fichiers ont été détectés dont certains datant de 2008, j'imagine qu'ils avaient commencé à poser des jalons à cette époque.
j'essaie de nettoyer au fur et à mesure, mais les hackeurs ont réussi à empêcher de supprimer certains fichiers sur le serveur (à la racine) puis d'en uploader. je ne sais tjs pas pourquoi (l'hébergeur n'a pas su me répondre pr l'instant)
alors pr les failles, l'hébergeur m'a dit notamment ça :
There also appeared to be 1 folder with insecure 777 permissions which
allow for the global writing of files by any user:
./site.com/share/pagination
I have modified these to a more secure 755 setting
Dernière modification par sonia75 (2011-12-01 08:51:20)
Hors ligne
Tout faux : c'était un fichier de ton installation de WordPress, permettant de rediriger les moteurs de recherche vers le sitemap du site ;)
bon en fait javais vu juste... :-)
c'était aussi un fichier des hackeurs qui fonctionnait en binome avec une sitemap à eux (wp-sitemap.php) > cf mon message en page 1 de cette discussion
Ils avaient vraiment truffé le blog de fichiers. aujourd'hui c'est rétabli à 60/70%, a priori pr l'instant ils ne peuvent plus s'introduire sur le serveur.
voila pr la suite de l'épisode si qqn est ds la même situation un jour, ça donne des pistes... arf quel truc !
Dernière modification par sonia75 (2011-12-07 08:21:52)
Hors ligne
Je continue de donner des infos sur ce type de hacking qui s'appellerait "pharma hack" :
redleg-redleg.blogspot.com/2011/02/pharmacy-hack.html
Hors ligne
Vous n'êtes pas identifié(e).