Quoting denisb <denisb@laposte.net>:
george@diwanalarab.com wrote:
SecFilterEngine on
ça c'est la mise en oeuvre du ModSecurity de Apache (filtrage POST,
cookies...). ça risque de faire remonter des erreurs 500...RewriteRule ^forum/?$ http://forum.3almani.org [R=302,L]
forum transféré donc
le fichier index.php a ete hacke
si ce n'est pas indiscret, index.php a donc été remplacé par un autre
index.php qui faisait quoi ?
vous en avez gardé une copie ?
C'est un fichier HTML cree a partir de OpenOffice contenant des
insultes> La section head est:
<HEAD>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=utf-8">
<TITLE>.: Hacked By , VerY SecReT :.</TITLE>
<META NAME="GENERATOR" CONTENT="OpenOffice.org 2.2 (Linux)">
<META NAME="CREATED" CONTENT="20080203;530600">
<META NAME="CHANGEDBY" CONTENT="secret">
<META NAME="CHANGED" CONTENT="20080204;5272700">
</HEAD>
Ce site a de nouveau subi une attaque hier
la précédente était-elle celle de 2006 quand votre hébergeur s'est fait
hacker quelques centaines de ses hébergements par un défaut dans son
interface d'administration ?
Je ne me rappelle plus mais un certain nombre de sites chez cet
hebergeur se font hackes essentiellement parce qu'ils sont des forums
PHPBB.
l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack.tiens donc.
il n'y a que votre site qui a subit l'attaque cette fois-ci ?
il faudrait demander au crocodile quelles sont ces very vulnérabilités...
il a des log votre hébergeur.
Justement il ne nous donne jamais les logs. Chaque fois qu'on demande
il dit qu'il les a effaces
> Apres un certain temps ces liens ne donnaient plus l'adresse attendue:
> spip.php?page=about
> mais quelque chose du genre:
>
spip.php/local/cache-vignettes/L250xH126/squelettes/squelettes/spip.php?page=about
ah ça, ça ressemble à une (mauvaise) construction de liens faisant
intervenir #SELF et 'bouclant' sur elle-même ou encore à une
construction en javascript (un location.href malvenu).quoique... ah non, c'es un lien bizarrement traduit :
construction dans inc-pied.html avec <a href="#URL_PAGE{backend}"
mais traduit dans http://www.3almani.org/?page=forum par
<a href="http://www.3almani.org/index.php/squelettes/local/
cache-css/squelettes/forum/forum/IMG/doc/spip.php?page=backend"et idem pour #URL_PAGE{plan}
voilà qui est surprenant...
...
ah ouais ok dac...*vider le cache !*
c'est arrive sur d'autres sites aussi. Quand je vide le cache le lien
redevient correct mais des qu'on clique dessus une deuxieme fois cet
url bizarre revient. Je ne peux pas vidert le cache tout le temps,
c'est pour ca que j'ai remplace #PAGE_URL par spip.php?page=... mais
je ne suis pas content du tout de ca.
et, tout comme stephane, je réitère mon conseil :
modifier les login/pass (spip ET cpanel)
les login/pass changent pratiquement toutes les semaines.
George
----- End forwarded message -----