Joomladay francophone 2018 à Paris 18 et 19 mai

[Questions et quelques réponses] Hackage de site

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Questions et quelques réponses] Hackage de site

    Salut,

    Une petite histoire de site hacké (le mien), et comment j'ai réglé le problème. C'est du bricolage et je compte sur les conseils avertis des pros de ce forum pour me dire si j'ai fait des bêtises...

    Hier donc, je reçois un mail de notification de blocage http venant d'OVH. Ledit message m'explique qu'il y a une faille sur mon domaine (qui comprend plusieurs sites, pas seulement Joomla) mais sans vraiment me donner de pistes concrètes. Aïe, ouille. Mais je me doute qu'il s'agit de Joomla.

    Je regarde dans les fichiers de log, mais il est trop tard, donc je remets le site en activité en me disant qu'on verrait ce matin.

    Ce matin, j'ai une belle page de hackeur à la place de ma non moins belle page d'accueil habituelle.

    - Comme je suis en vacances, je n'ai aucun backup, donc je télécharge la dernière version stable de Joomla pour déjà remplacer index.php.
    - Je regarde si de nouveaux fichiers ont été introduits. Je n'en trouve pas.
    - Je regarde les logs et à l'heure indiquée par OVH, je trouve une mention du composant com_expose (versin 4). Lorsque j'essaie d'y accéder via le site à peu près remis en place, il ne m'affiche rien. Solution radicale : je désinstalle le composant.

    Mais j'ai encore des soucis, notamment un message d'erreur lorsque j'ouvre ma page d'accueil, qui me dit que les lignes suivantes de l'index.php posent problème :

    Code PHP:
    header'Expires: Mon, 26 Jul 1997 05:00:00 GMT' );
    header'Last-Modified: ' gmdate'D, d M Y H:i:s' ) . ' GMT' );
    header'Cache-Control: no-store, no-cache, must-revalidate' );
    header'Cache-Control: post-check=0, pre-check=0'false );
    header'Pragma: no-cache' ); 
    Je les mets en commentaire : les messages disparaissent, le site a l'air de refonctionner normalement. Il y a 5 mn, je remets ces lignes comme avant : ça marche à nouveau. J'en demande pas plus !

    Je ne sais pas si c'est vraiment le composant que j'ai désinstallé qui pose problème mais en tout cas, il y a eu un problème avec (puisque je ne pouvais plus y accéder alors qu'il marchait très bien). Il faudrait peut-être l'ajouter à la liste de Hornos. Si ce n'est pas lui, je devrais vite le savoir puisque mon site a l'air d'être dans le collimateur d'un scanneur quelconque.

    En attendant, j'en ai profité pour soigner (un peu) ma paresse et "arrangé" deux ou trois choses :

    - fichier configuration.php protégé contre l'écriture (il n'avait pas été changé mais bon)
    - quelques .htaccess un peu partout : est-ce utile d'en mettre dans les répertoires types "composants", "images", etc. ?

    Question subsidiaire... Apparemment, seule la page d'accueil a été hackée. Il y avait une redirection renvoyant toutes les pages du site vers la page mise par le hacker. Est-ce que quelqu'un peut m'expliquer simplement comment (et "si") on peut utiliser un composant pour ne modifier que la page d'accueil ?

    Voilà un petit résumé avec plein de questions qui peut-être servira à d'autres.

    Amicalement,

    Philippe
    Tout problème peut se régler avec un peu d'(ultra) endurance. La preuve ici : www.ultrafondus.net

  • #2
    Même problème... hacked

    Envoyé par Philufo Voir le message
    Salut,

    Une petite histoire de site hacké (le mien), et comment j'ai réglé le problème. C'est du bricolage et je compte sur les conseils avertis des pros de ce forum pour me dire si j'ai fait des bêtises...

    Hier donc, je reçois un mail de notification de blocage http venant d'OVH. Ledit message m'explique qu'il y a une faille sur mon domaine (qui comprend plusieurs sites, pas seulement Joomla) mais sans vraiment me donner de pistes concrètes. Aïe, ouille. Mais je me doute qu'il s'agit de Joomla.

    Je regarde dans les fichiers de log, mais il est trop tard, donc je remets le site en activité en me disant qu'on verrait ce matin.

    Ce matin, j'ai une belle page de hackeur à la place de ma non moins belle page d'accueil habituelle.

    - Comme je suis en vacances, je n'ai aucun backup, donc je télécharge la dernière version stable de Joomla pour déjà remplacer index.php.
    - Je regarde si de nouveaux fichiers ont été introduits. Je n'en trouve pas.
    - Je regarde les logs et à l'heure indiquée par OVH, je trouve une mention du composant com_expose (versin 4). Lorsque j'essaie d'y accéder via le site à peu près remis en place, il ne m'affiche rien. Solution radicale : je désinstalle le composant.

    Mais j'ai encore des soucis, notamment un message d'erreur lorsque j'ouvre ma page d'accueil, qui me dit que les lignes suivantes de l'index.php posent problème :

    Code PHP:
    header'Expires: Mon, 26 Jul 1997 05:00:00 GMT' );
    header'Last-Modified: ' gmdate'D, d M Y H:i:s' ) . ' GMT' );
    header'Cache-Control: no-store, no-cache, must-revalidate' );
    header'Cache-Control: post-check=0, pre-check=0'false );
    header'Pragma: no-cache' ); 
    Je les mets en commentaire : les messages disparaissent, le site a l'air de refonctionner normalement. Il y a 5 mn, je remets ces lignes comme avant : ça marche à nouveau. J'en demande pas plus !

    Je ne sais pas si c'est vraiment le composant que j'ai désinstallé qui pose problème mais en tout cas, il y a eu un problème avec (puisque je ne pouvais plus y accéder alors qu'il marchait très bien). Il faudrait peut-être l'ajouter à la liste de Hornos. Si ce n'est pas lui, je devrais vite le savoir puisque mon site a l'air d'être dans le collimateur d'un scanneur quelconque.

    En attendant, j'en ai profité pour soigner (un peu) ma paresse et "arrangé" deux ou trois choses :

    - fichier configuration.php protégé contre l'écriture (il n'avait pas été changé mais bon)
    - quelques .htaccess un peu partout : est-ce utile d'en mettre dans les répertoires types "composants", "images", etc. ?

    Question subsidiaire... Apparemment, seule la page d'accueil a été hackée. Il y avait une redirection renvoyant toutes les pages du site vers la page mise par le hacker. Est-ce que quelqu'un peut m'expliquer simplement comment (et "si") on peut utiliser un composant pour ne modifier que la page d'accueil ?

    Voilà un petit résumé avec plein de questions qui peut-être servira à d'autres.

    Amicalement,

    Philippe
    Bonjour j'ai 2 serveur dédiés (amen) et il m'est arrivé ce genre d'aventure... pas agréable... j'ai feu la même démarche que toi au départ... sur 25 sites tous les sites joomla (6) étaient en vrac par le hacker...
    J'ai réinstallé la configuration.PHP (effacée) ce qui à réglé le problème sur la majorité de mes sites joomla
    Il m'est resté un problème sur un site, après avoir réinstallé mon configuration.php mon site était toujours inaccesssible, (index.php modifié) j'ai résolu le problème un index.php que j'ai réinstallé en copiant un autre fichier index.php

    Lorsque j'ai eu AMEN au départ ils m'ont conseillé de formater le serveur ce qui m'a fait un peu blémir, en m'exliquant qu'ils ne faisaient pas d'infogérence.
    Heureusement que la casse à été "limitée" ceci étant je voudrais savoir si il existe une solution pour que ce genre de gag ne se produise pas ou plus...

    Commentaire

    Annonce

    Réduire
    1 sur 2 < >

    C'est [Réglé] et on n'en parle plus ?

    A quoi ça sert ?
    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
    Comment ajouter la mention [Réglé] à votre discussion ?
    1 - Aller sur votre discussion et éditer votre premier message :


    2 - Cliquer sur la liste déroulante Préfixe.

    3 - Choisir le préfixe [Réglé].


    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

    2 sur 2 < >

    Assistance au forum - Outil de publication d'infos de votre site

    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

    UTILISER À VOS PROPRES RISQUES :
    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

    Problèmes connus :
    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

    Installation :

    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

    Archive zip : https://github.com/AFUJ/FPA/zipball/master

    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
    et remplacer www. votresite .com par votre nom de domaine


    Exemples:
    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
    Télécharger le script fpa-fr.php dans: /public_html/
    Pour executer le script: http://www..com/fpa-fr.php

    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
    Télécharger le script fpa-fr.php dans: /public_html/cms/
    Pour executer le script: http://www..com/cms/fpa-fr.php

    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
    Voir plus
    Voir moins
    Travaille ...
    X