redirection page d’administration vers l'accueil

**lesoutier** · 22/09/2014, 08h24

Re : redirection page d’administration vers l'accueil

Bonjour, et bienvenue sur le forum.

un script spam

Il faudrait sans doute creuser de ce coté. Es-tu sur d'avoir tout enlevé ? As-tu fait quelque chose pour que ça ne se reproduise pas (mise à jour de Joomla et de toutes les extensions, changement des mots de passe, etc.)?
Installer Crawlprotect est très bien, mais il faut être sur d'avoir totalement assaini la situation avant de l'installer, sinon si le ver est déja dans le fruit ...

**phenom64** · 22/09/2014, 12h01

Bonjour,

nouveau blocage...

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : ../www/libraries/joomla/cache/storage/helpers/.nfs0000000004cb8fd4000005d7
Horodatage: 2014-09-22 08:55:06

c'est ce matin, je n'ai pas encore le log.

En fait ils disent de supprimer le script mais le programme exécuté n'existe pas...
Lors du premier blocage j'ai fait une mise à jour du site en allant vers 2.5 et j'ai changé tous les mot de passe.
l’exécutable utilisé était dans

/www/libraries/joomla/html/.nfs000000000102e1f50000032b

Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : .../www/libraries/joomla/html/.nfs000000000102e1f50000032b
Horodatage: 2014-09-18 15:45:39

Je me retrouve donc avec 2 problèmes :
-je n'arrive pas à accéder à la page d'administration
- je ne sais pas comment faire pour bloquer ces scripts qui sortent de nulle part...

Voici le log
log.txt

**phenom64** · 25/09/2014, 13h33

Re : redirection page d’administration vers l'accueil

quelqu’un pourrait me conseiller sur la méthode à suivre pour nettoyer joomlà...

je ne vois vraiment pas d'où peut venir le problème

**webcrea** · 25/09/2014, 14h08

Re : redirection page d’administration vers l'accueil

Le fichier exécuté commence par un point .nfs000.....etc donc il faut afficher les fichiers commençant par un point

dans filzila : [Edtion][Paramètres]{Type de fichier}

sinon, pour le nettoyage j'ai fait un article à ce sujet

403 Forbidden

http://www.webcrea.fr/prestations-site-internet-joomla/depannage-desinfection-site-joomla/site-joomla-pirate-conseils.html

**phenom64** · 25/09/2014, 15h01

Re : redirection page d’administration vers l'accueil

Envoyé par webcrea Voir le message

Le fichier exécuté commence par un point .nfs000.....etc donc il faut afficher les fichiers commençant par un point

Problème rencontré : Executing deleted program

en fait le fichier exécuté a disparu, j'avais pensé que c'était bon, mais le problème est revenu sous la même forme, avec un autre fichier dans un autre répertoire comme on peut le voir...

-effectivement la dernière fois un dossier cache a été utilisé, je l'avais supprimé , ...

**webcrea** · 25/09/2014, 15h07

Re : redirection page d’administration vers l'accueil

Consulte tes logs pour connaître la backdoor..., bien si c'est instantané, il y a des chance pour que cela soit index.php, configuration.php ou l'index.php du template

**phenom64** · 25/09/2014, 16h41

Re : redirection page d’administration vers l'accueil

Envoyé par webcrea Voir le message

Consulte tes logs pour connaître la backdoor..., bien si c'est instantané, il y a des chance pour que cela soit index.php, configuration.php ou l'index.php du template

Concernant la redirection...
ok,je vais fouiller entre les lignes, ou tout simplement les écraser avec une version d'origine.

Cependant, cela implique que quelqu’un a eu accès pour modifier mes fichiers ?

22/09/2014, 13h01, mon log est inclu dans ce post précédant, Je ne trouve rien d'anormal...

**webcrea** · 25/09/2014, 16h57

Re : redirection page d’administration vers l'accueil

Effectivement, quand je vois tes logs, c'est un peu la fête du slip, pratiquement tous les appels directs vers des fichiers .php réponse 200 donc ok, sont des backdoors!

Ecraser avec la version d'origine, c'est bon mais pas mal de ces fichiers n'en font pas partie donc ils seront toujours présents. donc bon courage, tu répertories tous les .php des logs et tu les supprimes..

A l'avenir concentre toi sur les appel de l'ip 37.139.47.122, c'est lui le petit malin

**phenom64** · 01/10/2014, 19h55

Re : redirection page d’administration vers l'accueil

Bonjour,

mon gros problème c'est que je ne sais pas où sont les scripts malveillants qui sont sur mon site joomla.

je ne peux donc pas désinfecter le site.

par exemple je prends une ligne de mon log les heures avant le blocage:

37.139.47.122 www.nom_de_domaine.org - [18/Sep/2014:15:19:56 +0200] "POST /components/com_search/models/search.php HTTP/1.1" 200 20 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/24.0"

1-)Dois je supprimer "search.php" ?
2-)N'est ce pas un fonction intégrante du CMS ?
3-)Et comment je fais pour trouver les autres scripts de Hack, j'attends le prochain blocage par ovh ?

**webcrea** · 02/10/2014, 09h12

Re : redirection page d’administration vers l'accueil

Si tu trouves le même fichier sur ta version saine (locale) tu écrases le fichier sinon, tu le supprimes

**phenom64** · 20/11/2014, 23h28

Re : redirection page d’administration vers l'accueil

Re-bonjour,

En effectuant la manœuvre précédente je viens d'avoir une piste sur pourquoi le site bloquait sur la page admin...

Je me retrouve actuellement avec un Template incompatible avec la mise à jour 2.5... La mise à jour s'était effectuée mais le Template que j'utilisais précédemment est resté.
Seulement il est en partie fonctionnel, cela fait que je suis incapable d'arriver sur la page d'admin et la page utilisateur normale quand à elle est mal affichée.

j'ai des erreurs de Template du genre :

Notice: Undefined variable: slideCaptions in \templates\themza_j17_01\index.php on line 56

Y'a t il un moyen de désélectionner un Template sans passer par la page admin ? Ou même de récupérer le contenu de mon site et l'installer sur un autre dépôt joomla clean ?

Merci d'avance.

redirection page d’administration vers l'accueil

[Problème] redirection page d’administration vers l'accueil

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association