NPDS
Responsive

oki, le zip est parti vers ta bàl. J'ai vidé le cache et uploadé les fichiers index, header et header-before mais rien n'a changé

son message est bien sur toute les pages ?

si oui = header de ton theme peut-être

oui le message est sur toutes les pages, mais en changeant le header du theme rien n'y fait. Par contre je remarque que plusieurs textes, ou phrases sont en rouge ... bizarre

bien recu ton zip / je regarde demain avec un analyseur de log

Son commentaire doit bien être quelque part ...

oki, merci Dev, tu es le plus sympa parmi les sympas lol.
Bonne nuit (il paraît que cela porte conseil) :-D en tout cas npds est vraiment :=!

De rien / on se tien au courant demain ! / bonne nuit

Bonjour,

Je suis chez l'hébergeur www.Oxito.fr

Même problème en allant sur mon site Npds, le message "this site is defaced" :-|
Même problème en allant sur mes bases de données avec PhpMyAdmin.
Par contre, mon autre site qui n'utilise pas de base de données fonctionne toujours.

Cela s'est passé hier en fin de journée. J'étais sur mon site, çà marchait, je pars diner, je reviens sur mon site 20mn après et c'est l'apparission du message "this site is defaced".

J'ai contacté Oxito qui m'a dit

"Bonjour

Pour l'accès par phpmyadmin, le problème a été résolu. Pour le problème sur certaines de vos pages, elles ont été hacké car avaient des droits trop permissifs.

Meilleures salutations"

En effet, le PhpMyAdmin fonctionne à nouveau mais pas mon site.

Je suis débutant dans la matière. J'ai utilisé les CHMOD comme indiqué dans les tuto. Est ce que cela permet quand même à des hacker d'agir ?

Plusieurs clients d'Oxito se sont plein de la même chose en même temps sur le forum d'Oxito.

Un client d'Oxito a mis sur le forum d'Oxito qu'Oxito avait dit qu'il changerait de version de PhpMyAdmin fin décembre.
Pensez vous que ce changement de version peut être à l'origine de ce problème ?

Apparemment l'hébergeur Oxyd (dont le nom ressemble beaucoup à mon hébergeur ! ) de Florian-w changeait également de version.

Grosses coïncidences quand même !!!! :D

- phpMyAdmin à effectivement corriger une faille importante récement.

- les tutos indique des chmods qui sont assez sécuritaires :
CHMOD 777 sur les répertoires (indispensable mais non directement dangereux)
CHMOD 766 sur les fichiers devant être écrit par NPDS (c'est la suel solution)
CHMOD 744 sur le reste

Tous les sites chez oxito sont des NPDS ?

A suivre

florian-w : c'est une page html qui est incluse je dirais.

Les logs ne montre que le site adopoemes et rien d'anormal (mais ce n'est pas un NPDS) ?

attention aussi à des trojans / psyware sur vos machines perso ... le dernier hack d'un site NPDS a été réalisé avec ce type d'outil (et non pas via une faille).

A Suivre

salut florian-w

Je viens de faire un tour sur ton site.
En affichant le code source de ta page d'accueil, voila ce que le début me donne:


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Club de Tir L. Uselding, Habay</title>
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 10.</b></ADDRESS>
</BODY></HTML>
<LINK REL="StyleSheet" HREF="themes/XBlue/style/style.css" TYPE="text/css">

<style type="text/css">@import !url(!"themes/XBlue/style/style.css"); </style><SCRIPT type="text/!javascript!" language="!javascript!">
<!--
function showimage() {
if (!document.images)
return
document.images.avatar.src=
'images/forum/avatar/' + document.Register.user_avatar.options[document.Register.user_avatar.selectedIndex].value
}
//-->



En cliquant sur "livre d'or" (qui est une encapsulation, le message This site is defaced!!! s'affiche en plein centre de ta page. A verifier ;)

Bon courage et tiens nous au courant.

Message édité par : leloup31

Réponse d'Oxito :



Bref, après avoir fait le point avec mes collègues qui travaillent sur ces problèmes depuis l'aube, la situation est la suivante :

- Seuls les fichiers avec un droit 777 ont été touchés.
- Seuls les fichiers qui appartiennent au user oxito-oxito sur Apache ont été touchés, par exemple les stats et l'accès phpmyadmin.
=> Comme vous le voyez, seulement certains sites, voire certaines pages de certains sites ont été touchés.

Les bases de données n'ont pas été touchées.


CONSEIL : Il faut absolument modifier les droits des fichiers 777 en 644.
(pour ceux qui maîtrise, il faut éviter 777, 773, 772 et 776).




Oxito nous a même donné le n° IP du Hacker

Avec NPDS, seul les répertoires sont en 777, les fichiers c'est 744 ou 766.

Oxito a donné des infos sur le hacker.

Un client d'Oxito a donné le liens web suivant qui parle de ce hacker :

http://www.secuser.com/alertes/2004/santy.htm

bonjour,
j'ai enfin réussi à réparer mon site (comme de quoi les backups c'est pas fait pour les chiens lol). Pour ceux à qui le même pb est arrivé, il faut vérifier tous les fichiers dont la taille est égale à 270. Ils sont tous vérolés.

Merci à tous pour vos réponses très constructives et surtout pour votre aide précieuse et que ce désagrément ne nous empêche pas de passer un Joyeux Noel :=!