25/02/2010, 12:39:55
On peut dire que les pirates n'ont pas trainés à exploiter la faille..
sur mon dernier site, j'ai des traces dans les logs a partir de 16h jusqu'a 00h15.
Technique utilisé : ils crawlent tous les répertoires à la recherche des fichiers suivant : index.php, index.html, login.php, et home.php.
Ils les téléchargent systèmatiquement puis y insère une iframe pointant vers un site russe infecté (a la vue de la source il s'agit d'une fausse page google qui essaye de récupérer les cookies et indentifiant des compte google, personne n'a oublié la mésaventure de webrankinfo l'an dernier via ce biais) et les remmettent en place.
Un conseil jeter un oeil à vos fichiers par FTP et classé les par dates afin de voir si il n'y a pas eu de modification hier ou avant hier.
Ca m'a pris 1h pour faire le tour de tous les répertoires...pour infos chez moi ils se sont arréter à 2 niveaux de répertoires, les 3ème n'étant pas touchés.
Bon courage si vous avez été victime comme moi de cette faille.
sur mon dernier site, j'ai des traces dans les logs a partir de 16h jusqu'a 00h15.
Technique utilisé : ils crawlent tous les répertoires à la recherche des fichiers suivant : index.php, index.html, login.php, et home.php.
Ils les téléchargent systèmatiquement puis y insère une iframe pointant vers un site russe infecté (a la vue de la source il s'agit d'une fausse page google qui essaye de récupérer les cookies et indentifiant des compte google, personne n'a oublié la mésaventure de webrankinfo l'an dernier via ce biais) et les remmettent en place.
Un conseil jeter un oeil à vos fichiers par FTP et classé les par dates afin de voir si il n'y a pas eu de modification hier ou avant hier.
Ca m'a pris 1h pour faire le tour de tous les répertoires...pour infos chez moi ils se sont arréter à 2 niveaux de répertoires, les 3ème n'étant pas touchés.
Bon courage si vous avez été victime comme moi de cette faille.