- Statut : non résolu
- Ce sujet contient 40 réponses, 10 participants et a été mis à jour pour la dernière fois par
, le il y a 14 années et 11 mois.
-
Messages
-
Vous pouvez continuer de pensé que le problème peut-être filezilla ou autre peut importe…..j’ai bossé un mois à essayé de trouvé la solution au problème, en changeant de ftp, à modifier les mots de passe à scanner mon PC et ainsi de suite pour absolument rien.
Je continuais à me faire injecter du scripts, jusqu’à ce que je chomd mes fichier et dossier, ensuite plus rien.
Ah et j’utilise toujours filezilla…….
seb77 wrote:Je ne pense pas a une infection de ma machine, je suis sur Mac avec un AV …il y a eu une version d’acrobat Reader qui a permis ce genre d’attaque.
Même sur un mac on n’est pas à l’abri dès que l’on utilise :
– acrobat
– flash
– …. etc etcLes paranos déactive même javascript : on peut faire plein de chose avec cette bestiole comme ouvrir le pare feu de certains routeurs. (chercher XSS sur google)
et la protection d’un antivirus … n’existe que quand certains se sont fait prendre et que la signature/parade a été mise au point.
Bonjour.
Le problème vient comme la dit atomik_head, c’est avec des injection via Javascript.
Aucun rapport avec filezilla…
Ils se servent de script hébergé sur le serveur, et ensuite, via injection, il peuvent récupéré des codes utiles, comme l’accès au compte admin…Essayé de regarde sur youtube, ou autre: Scripts Xss
alexis38460 wrote:Essayé de regarde sur youtube, ou autre: Scripts Xss, avec du script, on peux faire cela.les scripts xss font exécuter du code sur la machine client pas sur le serveur et donc attaque le client pas le serveur.
pour l’injection de code php c’est possible aussi mais ce n’est pas des scripts xss. On peut aussi faire de l’injection de SQL.Le problème, et le sens de mon message, n’est pas n’utilisez pas FileZilla c’est ne stockez pas vos Ident/mots de passe sur votre ordinateur, retapez les à chaque connexion, si vous voulez être hyper secure.
PS : j’utilise alternativement Filezilla et FireFtp ainsi que le ftp en ligne de commande.
alexis38460 wrote:Bonjour.
Le problème vient comme la dit atomik_head, c’est avec des injection via Javascript.
Aucun rapport avec filezilla…Ba franchement je suis désolé mais aucun raport avec de l’injonction via javascript dans NOTRE cas … sinon comment expliquer :
1- les seuls sites touchés sont ceux dont mon pote a accès…
2- mon pote est sur PC et Filezilla
3- aujourd’hui il allume son ordi et kaspersky direct ce met en alerte…
mais 4- surtout… comment expliquer les MILLIERS de ligne de log de notre serveur de FTP par exemple :Tue Jul 13 22:22:36 2010 0 91.199.87.2 397 /var/www/vhosts/jean2.com/httpdocs/index.php b _ o r jean2 ftp 0 * c
Tue Jul 13 22:22:40 2010 0 79.99.6.86 517 /var/www/vhosts/jean2.com/httpdocs/index.php b _ i r jean2 ftp 0 * c
Tue Jul 13 22:22:43 2010 0 213.171.198.140 6887 /var/www/vhosts/jean2.com/httpdocs/swfobject.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:22:45 2010 0 75.125.140.242 6992 /var/www/vhosts/jean2.com/httpdocs/swfobject.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:22:54 2010 0 212.174.14.82 397 /var/www/vhosts/jean2.com/httpdocs/backup/index.php b _ o r jean2 ftp 0 * c
Tue Jul 13 22:22:57 2010 0 208.122.50.206 517 /var/www/vhosts/jean2.com/httpdocs/backup/index.php b _ i r jean2 ftp 0 * c
Tue Jul 13 22:22:59 2010 0 206.188.209.144 514 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/index-extra.php b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:02 2010 0 69.36.13.94 634 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/index-extra.php b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:06 2010 0 207.45.179.186 6078 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/index.php b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:09 2010 0 207.45.179.186 6198 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/index.php b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:11 2010 0 66.240.210.104 556 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/cat.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:15 2010 0 198.145.116.71 661 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/cat.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:18 2010 0 69.41.173.111 658 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/categories.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:22 2010 0 81.169.173.167 763 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/categories.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:25 2010 0 75.125.140.242 897 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/comment.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:28 2010 0 68.233.4.27 1002 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/comment.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:31 2010 0 173.45.101.162 1286 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/common.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:37 2010 0 212.146.105.75 1391 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/common.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:40 2010 0 208.122.50.206 968 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/custom-fields.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:43 2010 0 87.106.149.218 1073 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/custom-fields.js b _ i r jean2 ftp 0 * c
Tue Jul 13 22:23:46 2010 0 68.71.134.23 2590 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/edit-comments.js b _ o r jean2 ftp 0 * c
Tue Jul 13 22:23:50 2010 0 89.149.242.220 2695 /var/www/vhosts/jean2.com/httpdocs/backup/wp-admin/js/edit-comments.js b _ i r jean2 ftp 0 * cToutes les connections sont faites depuis des adresses ip que bien sur nous ne connaissons pas 😉
Ne vous trompez pas d’ennemie… c’est Filezilla …
moi c’est simple … firewall et je n’autorise plus que certaines ip a se connecter en SSH et FTP ainsi que la possibilité par un VPN
atomik_head wrote:Bonjour BertrandB21On parle ici d’ « injection de scripts » qui n’a aucunement rapport avec le ftp et les mots de passe, car, même en changeant les mots de passe ftp, cela est complètement inutile vu qu’ils utilisent un script d’injection.
La on ne fait que tourné en rond……
Je te conseil vivement jayfast de mettre ton index.php en chmod 404.
Je sais de quoi je parle j’ai deux site Web, et à tout les deux jours je me fessais hacker, même avec tout les sécurité possible et impossible, jusqu’à ce que je chmod mes dossiers et fichiers en 404, et puis tout est ok maintenant.
Bon courage tout de même.
Bonjour,
j’suis également consiens de la sécurité de mon site, mais quelle fichier et dossier faut t’il mettre en chmod 404 car bon il ne faut pas mettre tout quand même car pour le site comme quand on poste des nouveaux articles etc… il faut quand même qu’il est des droits en écriture etc…
Mais arrêtez avec cette histoire de chmod … Passer ton fichier en chmod 404 ne prouve absolument pas qu’il s’agit d’injection de script… et pour cause si vous passez vos fichier en 404 vous ne pourrez plus changer les fichiers par FTP puisque vous n’aurez plus le droit d’écrire dessus … donc forcement lorsque le script en question va essayer de se connecter pour écrire le fichier il n’y arrivera pas… mais vous non plus la prochaine fois…
La solution c’est :
1- comme le dit BertrandB21 ne pas enregistrer de mot de passe
2- utiliser un firewall et n’autoriser les connections que depuis certaines ip
3- (facultatif) garder une porte ouverte par l’utilisation d’un VPN afin de pouvoir se connecter depuis un autre ordinateur…Visiblement le problème d’atomik_head est que si le spy continu a tourner sur la machine infecter, a la moindre modification du mot de passe dans filezilla, le nouveau mot de passe est renvoyé, et le site ré attaquée dans la foulé .
Encore deux articles sur le sujet pour comprendre (en anglais)
http://blog.unmaskparasites.com/2010/06/17/malware-on-hijacked-subdomains-part-2/
et :
http://blog.unmaskparasites.com/2009/09/23/10-ftp-clients-malware-steals-credentials-from/séb
seb77 wrote:Mais arrêtez avec cette histoire de chmod … Passer ton fichier en chmod 404 ne prouve absolument pas qu’il s’agit d’injection de script… et pour cause si vous passez vos fichier en 404 vous ne pourrez plus changer les fichiers par FTP puisque vous n’aurez plus le droit d’écrire dessus …séb
Ah ? et dit moi donc pourquoi je voudrais par la suite écrire sur mon fichier index.php ? et explique moi aussi le pourquoi que la maintenant je n’ai plus aucune attaque depuis que j’ai effectuer le chomd ? mon ange gardien peut-être ?
Aussi, j’aimerais bien savoir les « hackers » qui supposons aurais le mot de passe ftp, tu crois réellement qu’il ferais juste joujou à mettre des scripts dans les index seulement ?
Et encore une chose, vous dites que filezilla serait la cause ok peut-être, et je dit bien « peut-être » car d’après vous les hackers vole les mot de passe et ensuite met des scripts dans les fichiers, moi j’ai effectuer mes chomds en 404 et la je t’entend dire aucun rapport mais pourtant…..j’ai plus d’attaque…..alors si le « hacker aurait mon mot de passe tu crois pas qu’il changerais mon chomd en mode écriture pour pouvoir mettre son foutu scripts ?
sylvaindeaire wrote:atomik_head wrote:Bonjour BertrandB21On parle ici d’ « injection de scripts » qui n’a aucunement rapport avec le ftp et les mots de passe, car, même en changeant les mots de passe ftp, cela est complètement inutile vu qu’ils utilisent un script d’injection.
La on ne fait que tourné en rond……
Je te conseil vivement jayfast de mettre ton index.php en chmod 404.
Je sais de quoi je parle j’ai deux site Web, et à tout les deux jours je me fessais hacker, même avec tout les sécurité possible et impossible, jusqu’à ce que je chmod mes dossiers et fichiers en 404, et puis tout est ok maintenant.
Bon courage tout de même.
Bonjour,
j’suis également consiens de la sécurité de mon site, mais quelle fichier et dossier faut t’il mettre en chmod 404 car bon il ne faut pas mettre tout quand même car pour le site comme quand on poste des nouveaux articles etc… il faut quand même qu’il est des droits en écriture etc…
Bonjour sylvaindeaire
Dans le root index.php, et tu peut aussi le faire également sur l’index.php de ton thème. de toute façon par la suite même sans écriture se sont des fichier que tu n’a pas à modifier par la suite.
Mais non atomik aucun rapport avec un ange gardien… juste l’idiotie d’un script… il ne s’agit pas d’un hacker derrière sa machine … il s’agit d’un robot… il ne fait pas d’autre action que de récupérer le fichier , le modifier , et le renvoyer par ftp… effectivement si le bot était programmé pour chmoder les fichiers il pourrait techniquement réécrire sur ton fichier, mais pour l’instant il n’est pas programmé pour cela…
Il y a eu des centaine (peut être milliers) d’attaques en simultanées il ne s’agit absolument pas d’un petit hacker derrière son écran mais d’une grosse organistation ayant plusieurs centaines de machines zombies pour effectuer les connections au ftp cible … regarde toutes les ip et heure de connection de mon serveur FTP :
Tue Jul 13 22:22:36 2010 0 91.199.87.2
Tue Jul 13 22:22:40 2010 0 79.99.6.86
Tue Jul 13 22:22:43 2010 0 213.171.198.140
Tue Jul 13 22:22:45 2010 0 75.125.140.242
Tue Jul 13 22:22:54 2010 0 212.174.14.82
Tue Jul 13 22:22:57 2010 0 208.122.50.206
Tue Jul 13 22:22:59 2010 0 206.188.209.144
Tue Jul 13 22:23:02 2010 0 69.36.13.94 634
Tue Jul 13 22:23:06 2010 0 207.45.179.186
Tue Jul 13 22:23:11 2010 0 66.240.210.104
Tue Jul 13 22:23:15 2010 0 198.145.116.71
Tue Jul 13 22:23:18 2010 0 69.41.173.111
Tue Jul 13 22:23:22 2010 0 81.169.173.167
Tue Jul 13 22:23:25 2010 0 75.125.140.242
Tue Jul 13 22:23:28 2010 0 68.233.4.27
Tue Jul 13 22:23:31 2010 0 173.45.101.162
Tue Jul 13 22:23:37 2010 0 212.146.105.75
Tue Jul 13 22:23:40 2010 0 208.122.50.206
Tue Jul 13 22:23:43 2010 0 87.106.149.218
Tue Jul 13 22:23:46 2010 0 68.71.134.23
Tue Jul 13 22:23:50 2010 0 89.149.242.220en 90 secondes ca fait beaucoup d’ordinateur différant qui se connecte correctement a mon ftp non ? Toutes avec le bon mot de passe ? Regarde les deux articles que j’ai posté plus haut tu verras qu’il s’agit bien d’un vol massif de login et passe FTP …
SébM
Oui je comprend très bien, mais il faut tout de même admettre que cela n’est point idiot d’avoir fait un chomd dans mon index, au moins pour l’instant cela empêche de mettre des scripts malveillant.
oui, absolument mais j’utiliserai ta phrase au passé c’était pas idiot…
maintenant que les gars ont lancé de telles attaques ils vont regarder pourquoi tous les sites n’ont pas étaient hackés correctement… et la prochaine fois ils feront simplement un petit chmod -R 777 * … puis c’est terminé … Si tu veux te protéger, firewall et VPN déjà ca va réduire les risques GRANDEMENT 😉il n’y a rien de pire au niveau sécurité que de se croire protéger quand on l’est pas…
- Vous devez être connecté pour répondre à ce sujet.