| sujet suivant »

Bonsoir,

Lors d'une consultation de "qui est en ligne", j'ai remarqué ceci :

202.157.178.100 12:08:33 12:08:33   
  Temps passé/dernière fois clique:
    00:05:11 ago Session ID: dca078dc03b4912ed9c4648ba5ef26d8
Host: apollo.webvis.net
User Agent: Mozilla/5.0
/index.php?main_page=product_info&cPath=12_123&products_id=360//images/noskinoskieskimoski.php 


Le terme "noskinoskieskimoski" m'interpelle !!!!  Est-ce normal ?

Amicalement

Freddy

Bonjour,

normalement il s'agit de la page que l'internaute est entrain de consulter.

/index.php?main_page=product_info&cPath=12_123&products_id=360//images/noskinoskieskimoski.php

Je dirais plutot que ta boutique à été ou est entrain de se faire attaquer !!!

déjà un double slash // dans l'adresse c'est pas clair (=360//images)

de plus la page noskinoskieskimoski.php n'est pas une page ZC !

fait une recherche sur ce théme dans Google ou autre: noskinoskieskimoski.php zencart

Vérifies aussi tous tes dossiers images, il se peut que tu retrouves des truc n'appartenant pas à ZC
mettre ou vérifier un fichier htaccess dans les répertoires images, enfin en un mot : PROTEGER les répertoires en écriture.

Bonjour,

Suite à ton conseil, j'ai consulté google et ai trouvé ceci :

"Traduction automatique" :

De nombreux opérateurs de chariot zen aurez remarqué le trafic dans leur web-logs d'appels vers un fichier appelé noskinoskieskimoski.php. Ces appels ont tendance à être des requêtes automatisées pour tenter d'exploiter une faiblesse au sein de la plate-forme Zen Cart.


La menace noskinoskieskimoski est facilement traitée par l'installation du noskinoskieskimoski patch de ZENCART. Vous devez également suivre les instructions sur la façon de modifier le dossier admin comme un moyen de réduire vos chances d'être trouvé par des méthodes automatiques.

Si vous vous sentez particulièrement paranoïaque, vous pouvez obtenir une protection supplémentaire en supprimant les fichiers PHP Company enregistrer dans votre dossier ADMIN. Les sondes automatiques ont tendance à être adressées à l'administrateur de disques comme un chemin vers votre site. Si vous n'utilisez pas l'installation de la maison de disques: login puis supprimer les fichiers afin de la sonde reçoit un 404.

C'est une menace facile à traiter et rapide pour vous protéger contre les sondes.

Qu'est-ce que noskinoskieskimoski signifie? Eh bien, c'est un peu de nonsence vraiment mais son prononcé comme:


No Ski - Pas de ski - ski Eskimo.






Amicalement

Freddy

Bonjour,

Freduf, tu as vu juste.  Il s'agit bien d'un hacker.  Son IP serait 77.88.43.25 from RU.
Suite à ton conseil j'ai consulté google et ai remarqué que de nombreux sites ont été victime de"noskinoskieskimoski"
Maintenant reste à faire un nettoyage et sécuriser un max.  Hier, je ne pouvais plus sécuriser mon configure.php en 444, il me mettait automatiquement 644.  J'en ai informé mon hébergeur qui a rectifié le tir.
Si je lis bien, tous les repertoires devraient être protégé en écriture après téléchargement ?

Amicalement

Freddy

personnellement, je protège tous les répertoires en écritures, c'est sur que lorsque l'on veut modifié, par exemple la main_page, il faut repasser par le ftp avant pour permettre l'écriture, mais je préfère perdre 1mm que ma boutique :p

Bonsoir,

j'avais bien dit "normalement" mais les pages oskinoskieskimoski font un peu bizarre en effet...

Bonjour,

Après quelques nettoyages, installation d'un back-up et consultations de conseils de Zen-Car Wiki "Important Site Security Recommendations", j'ai de nouveau un semblant de site qui apparaît à l'écran : www.kadomino.com.

Mais il me semble que mon site soit  infecté par un virus "worm" !

1. En effet lors d'une consultation sur un PC d'un livre "Lorenzo", l'image a disparu.  Je consulte ce même ouvrage sur un autre PC là figure l'image ????
J'ouvre mon panneau Adm - prévisualisation du produit : pas d'affichage de l'image mais d'un rectangle blanc avec icône "feuille déchirée".

2. Continuant mes investigations, je vois un "client" qui consulte la rubrique librairie.  La page qu'il lit :  "Désolé, le produit correspondant n'a pas été trouvé" ; or la librairie contient plus de 200 références !

3. Ce matin, je consulte le site et dans la rubrique "Nouveaux produits pour janvier" s'affichent les images des produits dont trois : feuille blanche avec un icône "Tête souriante" ?

4. Pour en terminer  dans la colonne "Fabricants" - "Veuillez sélectionner" devient parfois "- RAZ -".  Lorsqu'on effectue un clic sur un fabricant toute la fenêtre se met en surbrillance.  Est-ce normal ?

A priori, il me semble que mon site soit infecté ?  Que faire pour le nettoyer à fond.   J'ai effectué un récent back-up et l'ai fait analyser par mon anti-virus : réponse NO viruses found !.  Je n'y comprend plus rien. 

Merci pour vos réponses.


Freddy