farvest

Au niveau de mes logs j'ai des connexions avec l'adresse IP 77.221.133.198 Cette IP provient de Russie, plus précisément de http://www.infobox.ru Ce prestataire a une adresse abuse : [email protected] Donc connexion par FTP, et après recoupement, infection sur mes sites perso, ceux de mon collègues depuis notre habitation perso et même chose dans la société ou nous travaillons : Nous utilisons une version sans licence d'un logiciel FTP FlashFXP et nous pensons FORTEMENT qu'un malware installé dans ce soft a permis la récupérations de tous nos comptes FTP!! Avis aux personnes qui ont le même problème, utilisez-vous un soft FTP sans licence?

L'administrateur de la machine, tu veux dire l'administrateur du serveur, l'hébergeur en faite? J'en ai plusieurs, OVH et NEXEN et un autre au luxembourg peu connu VO, qui me répondent que ça ne vient pas de chez eux... Première attaque Mercredi 11 juin 20h13, 80% des fichiers index.php/htm/html/txt/old etc.. infecté par ce code javascript, et que les fichiers index, sur mon hébergement chez NEXEN. Le lendemain, 2 horaires d'infections, 15h33 sur moins de la moitié des sites hébergés chez OVH, et les sites se faisant hacké sont ceux qui sont soit sous CMS, soit proposant un formulaire, ou petite administration. Le plus petit, un système me permettant l'envoi d'emailing et de newsletter avec uniquement un champ dans l'index (ou je met le nombre de mail à envoyer) et quelques fichiers php + bdd mysql. sous OVH. Ce système est protégé par un htaccess qui empêche le listage, pas de formulaire avec identification, pas de passage d'URL en GET, pas de possiblité de faire une injection SQL, pas de page en include.. enfin j'ai fait le tour et je ne vois vraiment pas. Et une autre attaque vers 17h15.. Le plus étrange est que hier soir j'ai mis en place un site sous le CMS SPIP, j'ai télechargé la dernière release, et quelque temps après l'installation, sans avoir rien modifié, je retrouve un index infecté, et en plus un fichier login.html (servant à la construction du squelette pour ceux qui connaissent) Celà écarte la possibilité que l'attaque puisse utiliser une machine particulière... A ceux à qui se problème est arrivé, comment l'avez-vous empêché d'atteinde vos pages? Aujourd'hui je recense une attaque à 10h45 environ, je suis en train de parcourir les logs mais je ne trouve rien pour l'instant. merci beaucoup,