Forum support de CrawlTrack et CrawlProtect

bisonfute · 01-06-2012 19:19:41

Bonjour,
Crawlprotect me donne entière satisfaction, mais je viens de recevoir une alerte inquiétante d'un analyseur de sites : Microneil AMC Research

"This is a courtesy e-mail to let you know that your web site <http://www.monsite.fr> appears to have been compromised.
FAQ: http://www.microneil.com/documentation/securityAlert.shtml
While researching malicious content for our anti-spam company, ARM Research, we discovered that your web server is hosting a link to spam or malicious content.
The link pattern(s) we found were: <http://monsite.fr>/up/load
It is likely that your server is also being used in other ways you haven't noticed yet."

Le dossier indiqué contenait un .htaccess qui après une kyrielle de lignes vides contenait en effet un lien pourri. J'ai tout supprimé.
Je précise que le .htaccess créé par Crawlprotect est dans le même répertoire <http://monsite.fr>
Merci d'avance pour vos précieux conseils.

Jidébé · 01-06-2012 19:34:55

Bonsoir,

Le dossier existe normalement sur ton site?

A+
jean-Denis

bisonfute · 02-06-2012 10:03:19

Merci de ta réactivité.
Non, ce dossier n'existait pas, et je l'ai détruit hier. Ce matin, il était revenu, avec le même .htaccess

Jidébé · 02-06-2012 22:16:15

Bonsoir,

Là il est urgent de regarder les logs (http et ftp) pour voir ce qui s'est passé.

Si le hacker a un accès,tant que tu ne l'auras pas supprimé le problème reviendra.

A+

Jean-Denis

bisonfute · 27-06-2012 18:00:07

Bonjour,
J'ai suivi tes conseils, et j'ai beau scruter les logs rien de pertinent n'apparaît, et ça me prend un temps fou. Comme ce qui apparaît est toujours identique (création d'un fichier /up/upload/.htaccess), je me bornais jusqu'à présent à le supprimer à chaque réapparition. Crawlprotect ne détecte que les changements de date. Aujourd'hui plus embêtant : différents fichiers de crawlprotect et crawltrack (par ex. /crawlprotect/index.php, crawlprotect/graphs/artichow/index.htm etc) sont ajoutés ou modifiés.
Que faire ? Merci d'avance.

Jidébé · 27-06-2012 18:47:59

Bonsoir,

Là il ne faut pas se poser de question, il faut:
-supprimer l'ensemble des fichiers qui sont présent sur l'hébergement
-faire un scan complet de ton PC pour être sur qu'il ne soit pas vérolé
-changer les mot de passe ftp
-remettre en place les fichiers sur ton hébergement à partir d'une sauvegarde saine (qui date d'avant l'apparition des problèmes)
-mettre à jour tous les scripts utilisés à la dernière version

Ce n'est que comme ça que tu pourras être sûr qu'il ne reste rien de dangereux sur ton site.

Bon courage,

Jean-Denis

Dadix · 02-07-2012 11:50:01

Bonjour,

Je rejoins bisonfute. Plus de 15 répertoires et fichiers DE CRAWPROTECT ont été modifié avec une injection de code ou carrément une modification du htaccess, html, php, tous les index.

Pourtant crawlprotect n'a rien notifié : 0 Tentatives d'injection de code
Il est assez violent ce malware. Pourquoi crawlprotect n'a pas pu protéger ses propres fichiers?
Ça fait plusieurs semaines que je suis aux prises avec ce malware mais il reviens toujours. J'ai pourtant configurer des ip et sites à bannir sur crawlprotect mais dans les codes injectés je retrouve ces ip !!!

Dadix · 02-07-2012 11:53:00

PS: voici un screen shot de mes fichiers et dossier modifiés <www.prntscr.com/bfwc1> - je viens aussi de vérifier que crawltract est infecté aussi!

Jidébé · 02-07-2012 20:14:31

Bonsoir,

Même réponse, si le hackeur passe par ftp, CrawlProtect ne peut rien faire.
Il faut appliquer la procédure donnée plus haut.

Jean-Denis

bisonfute · 03-07-2012 07:59:03

Bonjour,
J'ajoute un commentaire. J'attendais qq jours pour faire un retour, mais tout a l'air stable, et vu les pb de Dadix, je le fais dès à présent, pour confirmer que la méthode radicale est la bonne. Après avoir analysé à l'antivirus mon PC (ce qui n'a rien donné), j'ai supprimé TOUT mon site, changé TOUS mes mots de passe, puis TOUT uploadé à nouveau à partir de sauvegardes sûres. J'utilise depuis régulièrement Crawlprotect qui est très efficace pour auditer les changements éventuels, et jusqu'ici (3 jours après) tout va bien. Grand merci à Jidébé.
Une question reste mystérieuse pour moi : comment un hacker peut-il connaître mes mots de passe FTP ? Je les stocke cryptés dans KeyPass, et ne les récupère que par copier-coller, sans jamais les taper.

Dadix · 05-07-2012 15:06:10

Tout semble aller bien depuis que j'ai appliqué la méthode radicale et augmenté le niveau de sécurité en étoile. J'attends encore un peu mais ça doit être ok.

Je vais installer crawlprotect et crawltrack sur mes autres sites.

Merci Jidébé!

Forum support de CrawlTrack et CrawlProtect

#1 01-06-2012 19:19:41

alerte inquiétante

#2 01-06-2012 19:34:55

Re: alerte inquiétante

#3 02-06-2012 10:03:19

Re: alerte inquiétante

#4 02-06-2012 22:16:15

Re: alerte inquiétante

#5 27-06-2012 18:00:07

Re: alerte inquiétante

#6 27-06-2012 18:47:59

Re: alerte inquiétante

#7 02-07-2012 11:50:01

Re: alerte inquiétante

#8 02-07-2012 11:53:00

Re: alerte inquiétante

#9 02-07-2012 20:14:31

Re: alerte inquiétante

#10 03-07-2012 07:59:03

Re: alerte inquiétante

#11 05-07-2012 15:06:10

Re: alerte inquiétante

Pied de page des forums

Profitez de l'expertise du développeur de CrawlTrack et CrawlProtect

Pour avoir votre lien ici contactez moi.