Site hacké ?Résolu/Fermé

Question

Bonjour,  
Du jour au lendemain, mon site est devenu inutilisable. 

http://www.unheilig.fr

Il est hébergé chez Celeonet (qui ne se presse pas pour m'aider) et ce n'est ni un CMS, ni un Wordpress/blog. 

Je soupçonne fortement un piratage car dans mes statistiques apparaissent les liens suivants : 
/language/fr-fr/wp-ru/chase/logoff.php 
/language/wp-ru/1/chase/logoff.php 
/language/wp-ru/2/chase/logoff.php  

Or le dossier"language" n'existe pas sur mon ftp. J'ai essayé de trouver des modifications dans mes pages, sans succès, également changé mes mots de passe et purgé mon ftp avant un nouvel upload du site, rien n'y fait. Bizarrement l'affichage de certaines pages en php a résisté, contrairement aux pages html. 
ex : http://www.unheilig.fr/unheilig/actu.php 

Malheureusement mes connaissances en code et autres subtilités sont limitées aussi j'espère avoir été assez claire pour vous permettre de faire la lumière sur mon problème. Merci d'avance.

PS: Mes excuses pour les liens "cliquables" qui n'ont pas fonctionné

Bacchus69 · Answer

Yop,

Tu as utilisé un éditeur Wysywyg pour la création du site ?

Utilisateur anonyme · Answer

Salut,
c'est bizarre ça demande pour télécharger le fichier index.html .

Contact ton hébergeur.

Bacchus69 · Answer

Oui, bizarre comme si la racine du site avait été déplacée un cran au-dessus.

Sedna · Answer

Oui, j'ai contacté mon hébergeur qui m'a pour l'instant uniquement répondu en m'envoyant un lien pour corriger un CMS hacké...
En ce qui concerne la création de mon site, j'utilise l'usine à gaz de adobe pour ne pas la nommer lol. Et mon site est en ligne depuis 2 ans, sans problème particulier à noter jusqu'ici.
Je reste persuadée que le "hack" (?)  provient de cette histoire de dossier "language" que mes stats voient et qui n'est pas sur mon ftp . Ce qui m'inquiète c'est ce "wp-ru" (= wordpress.ru) dans les liens mentionnés précédemment. Un peu comme une prise de contrôle à distance. Mais je ne sais pas comment corriger tout ça.

Bacchus69 · Answer

Perso, je te conseille si tu as un back-up sur ta machine de virer tout ce qu'il y a dans ton ftp et de tout remettre.

J'ai déjà eu un site hacké l'année dernière alors qu'il était en html et depuis, je préfère développer en php. En plus, je n'ai jamais été très fan des sites en flash car mal référencer et avec l'arrivée d'Html 5 Adobe va avoir à se faire du souci ! ^^

Adobe en a rêvé, Html l'a fait ! 

Bàt,

Sedna · Answer

Bon, avant de retenter la manoeuvre, je vais laisser une chance à mon hébergeur de faire son boulot un peu plus sérieusement. Merci pour les suggestions. J'espère avoir du nouveau au plus vite. Si d'ici-là une autre idée vous vient, je suis preneuse.

arth · Answer

"/language/fr-fr/wp-ru/chase/logoff.php "'

Donc tu as un dossier wp-ru sur ton FTP mais tu n'as pas de Wordpress? T'es sûr de ce que tu nous dis, là?

arth · Answer

Non ca y est j'ai compris, tes stats montrent les pages visitées, mais pas forcément desservies. 

Je pense que tes logs en question sont des essais de robot pour trouver une faille qui a existé dans le CMS Wordpress, ce qui n'est pas ton cas. 

Donc pas de souci de ce côté. Et j'ai même envie de dire pas de hack. 

Je pense que c'est ton hébergeur qui merde. Le serveur web semble ne pas vouloir desservir les pages HTML correctement, prouvé d'ailleurs par la demande de téléchargement de la page et non par son interprétation. Sur mon serveur Web ta page marche très bien. 

Ce que tu peux faire ceci dit vu que les pages PHP elles ne sont pas touchées, de déplacer tout le contenu de /unheilig/actu.php vers /, et de renommer actu.php en index.php. Et de renommer ton index.html en index.html.bak. 

Si tout va bien tu verras alors ton site apparaître comme par magie :-) 

EDIT : Mettre la pression sur l'hébergeur !

Le loup, solitaire et mystérieux.

Acid_ · Answer

Je vais juste rajouter un petit quelque chose.
Si tu passes par une offre payante auprès de ton hébergeur, celui-ci est tenu de t'offrir une disponibilité quasi-permanente (97-99%) auquel cas, il doit t'indemniser pour le préjudice subit (Imaginons que ton site ait 50 000 visites par jour, imagine le carnage s'il ne fonctionne pas correctement).
Demande donc à ton hébergeur de faire un geste sous forme de mois gratuits.
Qu'il ne dise pas que c'est impossible, il mentirait.

Sedna · Answer

Alors je viens de lire vos réponses et je vous en remercie. Je n'ai pas encore eu le temps de les mettre en application.

Au passage je vous glisse mon dernier échange avec mon hébergeur qui fait la sourde oreille :
{MOI : "...mon site n'est pas un CMS et il se trouve qu'il marche très bien en local. J'ai essayé de trouver des failles dans mes fichiers mais rien ne semble avoir été modifié. J'ai déjà fait ce que je pouvais faire à mon niveau, mais mon site est en grande partie inaccessible. Dans mes statistiques apparaissent ces liens :
/language/fr-fr/wp-ru/chase/logoff.php
/language/wp-ru/1/chase/logoff.php
/language/wp-ru/2/chase/logoff.php

Ce dossier "language" n'existe pas sur mon ftp et le code de mes pages n'a pas été touché.
Je ne voudrais pas que ce problème touche d'autres utilisateurs, pourriez-vous vérifier si quelque chose vous semble anormal, SVP? Car je ne suis pas aussi compétente que vous. Merci."

Hébergeur : "...Je ne peux intervenir sur votre script.

Si des répertoires vous paraissent suspect, je vous invite alors à les supprimer ou vous tourner vers l'éditeur de votre script."}

@ arth : c'est exact je n'ai pas de wordpress et ce dossier "language" ne figure aucunement sur mon ftp et je ne l'ai créé à aucun moment (ni forcément ce qu'il contient).
Comment  mon hébergeur pourrait-il merder maintenant alors que ça a toujours très bien fonctionné depuis que le site est en ligne? Une récente mise à jour/config sur leurs serveurs aurait pu faire planter mon site sans que je n'y change rien?

@ Acid_ : demander une indemnisation alors qu'ils n'ont visiblement pas la volonté de m'aider? Je n'ai jamais eu à faire ça, quels motifs de pression pourrais-je invoquer?

arth · Answer

C'est simple, tu lui demandes de parler à quelqu'un de compétent, ceci dit c'est louche que le serveur web ne desserve pas à minima les pages html. Ca va pas lui prendre 3 heures pour faire un test nondidiou !

C'est bien toutes les pages HTML qui sont touchées? Tu lui précises bien que ce sont uniquement les pages HTML qui sont touchées, et pas les pages PHP, en insistant sur le fait que le serveur demande à télécharger la page et ne l'interprète pas.

Après chez certains hébergeurs, le support ne veut rien entendre, c'est ton site point.

Au pire, changes d'hébergeur, celui-ci semble au plus haut point incompétent.

Sedna · Answer

Et surtout ils ne sont plus réactifs du tout: je dois attendre 24 heures avant qu'ils daignent me répondre.

Dans le cas où je déplacerais mon dossier, les pages html s'afficheraient mieux tu penses?
Je me suis "amusée" à accéder par mon navigateur à la racine de mon hébergement (= bien avant le dossier "www") et même à ce niveau ça me propose de télécharger ma page d'index alors qu'il n'y en a pas, c'est normal?

arth · Answer

Oui, c'est pour éviter les pages 404, tu tombes sur une page blanche.
Ca évite aussi de voir les potentiels fichiers listés par le serveur.

Je ne pense pas que tu es réellement accédé à plus haut que WWW, les sites sur des mutu étant normalement chrootés. Le serveur t'a je pense renvoyé au plus haut que tu pouvais atteindre, à savoir ton /.

Si tu déplaces les pages PHP comme je t'ai indiqué, ton site devrait fonctionner à nouveau, si tant est que le serveur soit bien paramétré chez ton hébergeur. Mais bon on est sûr de rien ;-)

Sedna · Answer

En réalité je n'ai que 2 pages en php, celle de mes news (avec une include vers mon script gestionnaire de news) et celle du formulaire de contact. Toutes deux sont accessibles. En testant mes pages au hasard, je me rends compte que ma galerie photo n'est plus accessible non plus alors qu'elle l'était encore avant hier. Tout ceci est contenu dans le dossier /unheilig/ . Je vais quand même tester. Merci. :-)

arth · Answer

HTML la galerie photo?

Sedna · Answer

Non, php. Elle est dans un sous-dossier.

arth · Answer

Et l'adresse?

Sedna · Answer

http://www.unheilig.fr/unheilig/uf_photo_gallery/index.php

Je ne sais pas pourquoi mes liens ne sont pas cliquables alors que je mets des "[ ] ".

arth · Answer

Juste comme ça ta galerie semble ne pas être là : Cette page n'existe plus ou vous n'y avez pas accès, vous allez être redirigé dans quelques instants sur notre page d'accueil
Pour signaler ce lien brisé cliquez ici
Pour revenir sans plus attendre sur notre page d'accueil cliquez ici
Erreur

Tu n'as pas un fichier .htacccess qui traîne quelque part?

Sedna · Answer

oops,  en fait j'avais juste oublié de remettre quelques fichiers lors du ré-upload du site, je ne m'en étais pas rendu compte. Désolée, voilà tu peux tester, ça remarche.

arth · Answer

Reste plus qu'à ton hébergeur à se bouger !

Sedna · Answer

Je vais essayer d'en tirer quelque chose, mais ils ne répondront pas avant demain encore... en attendant merci beaucoup pour ta patience et ton aide. Je vais déjà faire des tests et te tiens au courant.

Sedna · Answer

Alors résultat des courses: étant donné que mes pages php fonctionnaient et pas les html, ça m'a donné l'idée de réenregistrer toutes mes pages avec l'extension php et ô miracle ça remarche. Sans rien déplacer, le site est de nouveau là. J'ai ensuite fait une redirection htaccess et pour l'instant tout semble aller bien. Pourvu que ça dure. 

Faute de pouvoir résoudre le problème avec l'hébergeur, je l'ai contourné et je compte faire héberger mon site ailleurs très prochainement.
Merci pour votre aide si précieuse.

arth · Answer

Tant mieux dans ce cas ;-)

Site hacké ?

24 réponses

Discussions similaires

Newsletters