Hack régulier du fichier index.php de Drupal...

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by KevinCH on

Bonjour,

Alors j'ai un petit soucis avec la version Drupal 7.50, depuis moins d'un mois j'ai constaté que le site est régulièrement hacké au niveau du fichier index.php, c'est à dire que le fichier index.php est alteré avec tout un tas de code php pour une sorte d'emailing spam avec des caractères chinois ou japonais...

J'ai fouillé la base de donnée et rien trouvé au niveau d'un quelconque utilisateur ajouté... Quand je remets la version Drupal 7.50 avec les fichiers standard, ça marche à nouveau mais souvent 2-3 jours après le fichier index.php est à nouveau altéré....

J'ai demandé à mon ami de changer les identifiants FTP et j'ai mis à jour à nouveau le site web et ça ne change rien du tout...

Au niveau des mises à jours, je viens de faire la mise à jour du coeur drupal 7.51 aujourd'hui. Je suis tout à jour au niveau des modules sauf mon thèmes Zen qui n'est pas à jour (car si je mets à jour ça casse la structure du site...).

Bref j'aimerai avoir vos avis et conseils pour savoir là ou ça peut merdre et comment l’intrusion est faite.

Merci bien,

Bonne journée,

Kevin

Forum : 
Support général
Version de Drupal : 
7.x

Soumis par William le 21 Octobre, 2016 - 10:55

Bonjour,

J'ai eu un problème similaire et je ne peux répondre sur la manière dont s'est faite l'intrusion mais il faut vérifier si d'autres fichiers n'ont pas été introduits et viendrait polluer le index.php

Une manière pour vérifier ;
Sur FileZilla,

  1. en allant sur 'Transfert'', il faut cocher 'Préserver l'horodatage des fichiers transférés et l'on garde la date où les fichiers sont déposés.
  2. Rapatrier les fichiers du serveur sur le PC.
  3. Faire une recherche sur 'type:PHP'
  4. Trier par date ces fichiers PHP.

Tous les fichiers piratés seront regroupés à la même date / heure. Il faut alors les repérer sur le serveur et les supprimer.

Bon courage

Soumis par sahuni le 2 Novembre, 2016 - 16:50

oui mais il y a des fichiers dans plusieurs centaines de répertoires, avec des arborescences très profondes.
On ne peut pas aller dans chaque répertoire, sous-répertoire etc.
Quelle est la façon de faire?

Soumis par William le 3 Novembre, 2016 - 09:37

Bonjour,

1) Récupérer tous les fichiers sur le PC par Filezilla en ayant soin au préalable de cocher l'option 'Garder la date'

2) Sélection via l'explorateur tous les fichiers PHP (case 'Rechercher dans: Accès rapide').

3) Trier le résultat de la recherche par date

4) Voir à une même date (souvent une date récente) les fichier qui ne sont pas de Drupal. En cas de doute ouvrir le fichier et voir le texte, même sans connaitre php, on voit de suite si ces fichiers ne sont pas conformes.

Détruire les fichiers pirates sur le serveur.