ticketNlU.php Backdoor?

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [RÉGLÉ] ticketNlU.php Backdoor?

    Bonjour à tous,

    je me transfert par ftp le repertoire plugins et windows m'averti d'un backdoor dans le repertoire plugins/captha/ticketNlU.php

    j'ai regardé mes 2 autres sites et se fichier n'est pas présent, quelqu'un connais avant que je le supprime?

    Merci
    Dernière édition par Tee shot à 21/09/2014, 15h31
    Tags: Aucun
  • #2
    Re : ticketNlU.php Backdoor?

    Ce nom est en tout cas suspect et vu que ton antivirus l'a notifié; il serait bon d'ouvrir ce fichier avec Notepad (n'exécute pas le fichier via une URL!!!); ouvre juste Notepad et va ouvrir le fichier.

    Que contient-il ? Un code malsain est repérable des à milliers de kilomètres à la ronde car, dans 99% des cas, tout est crypté (base64).

    Si tu as un fichier malsain ==> ton site a été corrompu et pas de chance pour toi, il va falloir le nettoyer ce qui prend vite 4 heures de travail + changer ici et là tes mots de passes (admin Joomla, FTP, etc.)
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire

    • #3
      Re : ticketNlU.php Backdoor?

      Tu as raison j'ai regardé et c'est vraiment pas clair!

      y a du code et j'avoue que je ne sais pas ce que c'est.

      Apparement c'est pour du spam, il y a Mailto, to:, RCPT TO.

      Je fais le tour, au mois d'octobre j'avais déja eu un problème sur un autre site, c'était passé par jnews. Apparement pas de problème pour le moment, sinon mon compte serait bloqué.

      Merci

      Commentaire

      • #4
        Re : ticketNlU.php Backdoor?

        Scanne ton site avec différents antivirus et l'un ou l'autre anti-malware.

        Cherche aussi des chaines comme base64_decode(, eval(, $_POST, ... dans les fichiers php de ton site. Une possibilité parmi d'autre : Notepad++ qui peut faire des recherches dans tous les fichiers d'un dossier donné.

        Tu as eu une crasse => ce serait miraculeux que tu n'ais qu'un seul malware.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire

        • #5
          Re : ticketNlU.php Backdoor?

          Merci pour les conseils, je scanne régulièrement mon pc avec mon site stocké dessus, pour l'instant rien, je lance une recherche avec notepad++

          @+

          Commentaire

          • #6
            Re : ticketNlU.php Backdoor?

            Salut,

            Je trouve quelques trucs bizarre que je n'ai pas dans mes 2 autres sites, mais je ne suis pas sur. Jn'ai pas forcément les mêmes composants, comment savoir quel sont les composants qui peuvent s'y rattacher?

            components\com_joom\sittir.php
            et
            components\com_jooomlas\codex.php

            dans les 2 avec il y a juste un fichier index.html

            Pour situer il y a les mêmes lignes dans le 2 fichiers, dont la même chose qu'ici :http://forum.joomla.org/viewtopic.ph...11018#p3204645

            Je supprime?

            Merci
            Dernière édition par Tee shot à 16/09/2014, 22h14

            Commentaire

            • #7
              Re : ticketNlU.php Backdoor?

              Bon je suis mort, je viens de sauvegarder mon site entièrement par FTP et mon antivirus m'en a trouver une dizaine!!

              Le boulot de ouf!!

              Commentaire

              • #8
                Re : ticketNlU.php Backdoor?

                Sur base des noms, c'est du très mauvais : com_joomlas; le pirate (un peu beaucoup bête quand même) pense que tu vas penser que nous penserons que com_joomlas est une extension native. Que nenni !

                Sur base du nom, cela sent pas bon. Ouvre le fichier avec Notepad comme tu l'as fait hier pour avoir la certitude; ce millième de pourcent qui manque pour confirmer que c'est un malware.

                Un truc de ouf!, oui. Je te disais hier : au moins 4 heures de boulot. J'étais très sérieux pour une fois.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire

                • #9
                  Re : ticketNlU.php Backdoor?

                  Merci pour ton aide. Il me semble que j'ai tout nettoyé, j'ai terminé vers 0h30.

                  J'ai quand même un problème et du coup je me demande s'il n'est pas lié. Je n'arrive plus à avoir les vérifications de version de joomla et des extensions (inconnus), si je clique sur la vérification des extensions, ça me met sur la page et je peux quand même vérifier, si je clique sur vérifier la version de joomla au bout de quelques mn j'ai une erreur 500. J'ai remplacer tous les fichiers joomla par FTP avec la dernière version joomla, mais ça n'a rien changé.

                  Tout le site semble ok, mais du coup je me pose des questions sur ce problème auquel je ne trouve pas de solution pour le moment.

                  @+

                  Commentaire

                  • #10
                    Re : ticketNlU.php Backdoor?

                    En local, sous Windows, cela peut être normal. Il s'agit d'un problème de timeout dans le fichier php.ini.

                    Il faut aussi, toujours en local, que curl soit activé dans les modules Apache.

                    Donc : ne t'inquiète pas de ça sur ton localhost.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire

                    • #11
                      Re : ticketNlU.php Backdoor?

                      Envoyé par cavo789 Voir le message
                      En local, sous Windows, cela peut être normal. Il s'agit d'un problème de timeout dans le fichier php.ini.

                      Il faut aussi, toujours en local, que curl soit activé dans les modules Apache.

                      Donc : ne t'inquiète pas de ça sur ton localhost.
                      Non, c'est sur mon site en prod.

                      Je ne fais pas tourner mon site en local, je fais juste des sauvegardes.

                      J'ai 2 autres sites sur le même serveur et pas de problème.
                      Dernière édition par Tee shot à 17/09/2014, 10h38

                      Commentaire

                      Précédent template Suivant

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire
                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X