Remository et les trojans?

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Remository et les trojans?

    Bonjour,

    J'ai reçu ce mail de mon hébergeur:

    Cher Client,

    nous venons de suspendre l'accès au site libracces.bz car il y a un trojan en téléchargement. Nous vous avons laissé l'accès FTP pour que nous puissiez supprimer les fichiers indésirables.

    Voici la plainte reçu :

    "You are receiving this message because you are listed as the contact
    for the networks below.

    This message is intended for the person responsible for computer
    security at your site. If this is not the correct address, please
    forward this message to the appropriate party.

    The logs attached at the bottom of this message show information about
    malicious code, used in phishings/scams, hosted at your network. The
    URLs have been found in phishings/scams reported to CERT.br and were
    online when we tested them (you can find more information about
    phishings/scams at the end of this message).

    We would like to ask you to:

    * remove the malicious code from your site

    Also, please check if your machine has been compromised and is now
    being used by intruders in malicious activities, or if a legitimate
    user is engaged in activity that is probably in violation of your
    terms of service agreement. In either case, please investigate this
    matter.

    If your site is hosting more than one malicious code, you will
    receive more than one message, each one with different content.

    We would appreciate a reply that this note has been received.

    Thank you,
    --
    CERT.br
    <cert@cert.br>
    http://www.cert.br/


    # begin logs

    IP: 195.14.0.11
    URL: http://www.libracces.biz/administrat...carta/amor.exe
    Tested on: 2006-11-01 14:01:44 GMT
    Kaspersky antivirus signature: Trojan-Downloader.Win32.Delf.acc

    # end logs
    et quand je suis allé en ftp sur mon site j'ai trouvé dans le répertoire com_remository non seulement le répertoire "carta" avec plein de programmes du type amor.exe love.exe et j'en passe. Il y avait aussi d'autres fichiers intrus directement dans le répertoire com_remository. Facile à identifier: ils étaient tous du 01/11.
    Impossible de savoir s'ils étaient téléchargeables depuis le frontend puisque je n'y avais plus accès. Depuis dans le doute j'ai supprimé Remository pour éviter tout problème avec mon hébergeur.

    La faille peut-elle provenir de Remository? Si oui quelqu'un est-il au courant de ce genre de problème et quelle est la solution à appliquer (c'est vrai que ce n'était pas la dernière version de Remository, les cordonniers sont les plus mas chaussés )

    En tous cas dans cette mésavanture, je me félicite d'avoir choisi un hébergeur aussi efficace que rapide, même les jours fériés:
    attaque malicieuse le 01/11
    mon hébergeur averti le 01/11
    moi-même averti le 01/11
    problème réglé le 02/11 au matin
    ma société : http://pdrevon.xlphp.net

  • #2
    Envoyé par picpus Voir le message
    Bonjour,
    et quand je suis allé en ftp sur mon site j'ai trouvé dans le répertoire com_remository non seulement le répertoire "carta" avec plein de programmes du type amor.exe love.exe et j'en passe. Il y avait aussi d'autres fichiers intrus directement dans le répertoire com_remository. Facile à identifier: ils étaient tous du 01/11.
    [...]
    La faille peut-elle provenir de Remository? Si oui quelqu'un est-il au courant de ce genre de problème et quelle est la solution à appliquer (c'est vrai que ce n'était pas la dernière version de Remository, les cordonniers sont les plus mas chaussés )
    Cordonnier ou pas, sans les logs difficile de savoir exactement...

    Cordialement,
    Richard.
    Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
    École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

    Commentaire

    Annonce

    Réduire
    1 sur 2 < >

    C'est [Réglé] et on n'en parle plus ?

    A quoi ça sert ?
    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
    Comment ajouter la mention [Réglé] à votre discussion ?
    1 - Aller sur votre discussion et éditer votre premier message :


    2 - Cliquer sur la liste déroulante Préfixe.

    3 - Choisir le préfixe [Réglé].


    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

    2 sur 2 < >

    Assistance au forum - Outil de publication d'infos de votre site

    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

    UTILISER À VOS PROPRES RISQUES :
    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

    Problèmes connus :
    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

    Installation :

    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

    Archive zip : https://github.com/AFUJ/FPA/zipball/master

    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
    et remplacer www. votresite .com par votre nom de domaine


    Exemples:
    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
    Télécharger le script fpa-fr.php dans: /public_html/
    Pour executer le script: http://www..com/fpa-fr.php

    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
    Télécharger le script fpa-fr.php dans: /public_html/cms/
    Pour executer le script: http://www..com/cms/fpa-fr.php

    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
    Voir plus
    Voir moins
    Travaille ...
    X