Désactivation et renommage d'un block !!!! Hack ?

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

Bonsoir,

Le block block-Central_Forums.php de mon site a été renommé comme par enchantement : "block-Central_Forums.php.DISABLE:" (avec les deux points à la fin) !
Avec bien entendu le message à sa place dans le site "Ce block semble avoir des problèmes".

Quelqu'un a t-il cette possibilité sans passer par ftp ? Que ce soit oui ou non, il semblerait bien qu'une grosse faille de sécu existe dans Maximus Shocked

J'ai bien une petite idée, mais ce serait vraiment grave !

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

à part de passer par le ftp, je ne vois pas comment écrire un fichier dans ce dossier qui n'est pas en chmod 777 !

pour t'en assurer qui est propriétaire du fichier et du dossier ?

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

Le dossier block est en 775 et le fichier en 664 avec htaccess présent dans le dossier !
J'ai vérifié : pas d'acces admin anormal aujourd'hui.

Un hacker aurait fait plus de mal que ce simple renommage de fichier ?

Je ne comprends vraiment pas....

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

si le fichier a comme propriétaire ton compte user et pas apache alors il a été transféré par ftp

FTp veut aussi dire un fichier php par lequel un transfert ftp est possible !

pour moi ce n'est pas un hack par PHP, mais bel et bien une intrusion par le FTP ( alors hébergeur qui a renommé - par un robot peut être -, ou quelqu'un d'autre je ne puis te dire ? ) mais le disabled me parait très très étrange

et si c'était un hack pourquoi QUE ce bloc et surtout pourquoi l'avoir renommé et encore plus surtout comment avec un propriétaire qui n'est pas apache si c'est le cas !

un hack PHP prend le nom de apache, par contre un compte root machine par exemple et là c'est la kata Sad

si tu n'a pas de réponse valide ( le propriétaire n'est pas apache ) je t'invite à prendre contact avec ton hébergeur, ça sent la machine semi hack ou carrément vérolée Sad

autre chose le htaccess, index.html et ou index.html ne fera rien si je peux écrire dans un dossier ( ceci n'est qu'un exemple ) mais aucun fichier dit de sécurité ne peut empêcher une écriture dans un dossier ! ( ceci n'est que pure fantaisie de gens qui ne connaissent rien en sécurité ) - encofre moins si on passe par le ftp, par un compte root ou tout simplement par une faille machine Sad

je ne sait pas si le site est chez infomaniak, mais ça me parait très étrange que l'une de leur machine soit en cet état Sad

ces fichiers n'ont de rôle que dans l'autre sens ( la lecture )

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

Je viens d'aller voir directement par le gestionnaire fichier d'Infomaniak :

Propriétaire du fichier : C'est bien moi !

Je ne crois pas du tout au hack par ftp : Je suis le seul à posséder l'acces ftp, il faudrait donc hacker ma bécane et récupérer le fichier .dat de mon flashfxp qui est lui-même codé !
Je persiste donc dans mon idée permière d'un hack PHP...

Je n'ai pas installé de module bizzaroide, le seul c'est vidéo-stream !

Bon, je vais mailer à tout hasard chez Infomaniak et je surveille de près !

Merci

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

Cyril,

En fouillant un peu le net, je trouve ça : http://davidlearnsgames.com/bodforum/viewtopic.php.disabled

y aurait-il une fonction PHP qui désactive (disabled) un fichier Php ?

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Infomaniak ne serait pas intervenu dessus par hasard? peut être ont t'ils détectés le script en question comme génant le serveur? (ce qui serait étonnant mais bon...)

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

tchargal · Inscrit le: Jun 04, 2005 Messages: 154 2537 points Lieu de résidence

Après mail chez infomaniak, voici ce que reçois :

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

bloc forum sans cache qui te tue le serveur mysql

de plus il est possible que ton bloc forum soit codé d'une manière à consommer pas mal de requêtes à ce que je peux voir

ton disabled: me faisait bien penser à une intervention de ton hébergeur qui se prémunit d'une surconsommation de requêtes
maintenant je suis rassuré sur mon idée initiale Smile

pourrais tu me transmettre ton bloc forum ??

en l'état remet le bloc forum d'origine cela va réduire terriblement les requêtes sql !
sinon infomaniak ( et je les comprend ) ne pourront pas accepter une consommation explosive dû à un simple bloc ( qui je présume a un gros soucis )

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

me doutait un peu que c'étaient eux, mais alors là je vois pas d'où ca vient, seul cyril, ou epsy et helger pourront t'aider correctement je pense là dessus...

Helger · Inscrit le: Feb 03, 2006 Messages: 2647 30808 points Lieu de résidence

Hello.

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

ne mélangeons pas tout helger Smile

dans ce cas précis c'est bien son hébergeur qui a modifié le fichier !
après que le module soit vérolé, c'est un autre débat Smile