Joomladay francophone 2018 à Paris 18 et 19 mai

Cheval de troie

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Cheval de troie

    Bonjour,

    Site avec joomla 1.0.15.

    A l'ouverture de chaque page de mon site, Karspersky me signale le cheval de troie "Packed.JS.Agent.r". Mon site charge la page "http://www.qmems.com.my/technology/html/" qui m'infecte.

    J'ai downloadé mes fichiers mais Kaspersky ne retrouve rien.

    Comment éradiquer le souci ?

    Merci d'avance.

    Ballman.
    Dernière édition par ballman50 à 24/10/2008, 11h56

  • #2
    Analyser la trame !

    Hello,

    Il y a sans doute un truc dans tes fichiers, mais il peut-etre plus ou moins planqué dans la myriade de fichiers chargés !

    As-tu tenté d'analyser la trame de ton site avec un sniffer comme l'extension Firebug sous Firefox ?

    Ca prend 5 minutes, donc si tu ne connais pas, fais-moi suivre l'url de ton site par PM .. je regarderai (j'essayerai de pas oublier d'activer mon antivirus ) !
    Garstud Workshop - Concepteur, Développeur et Formateur Joomla - http://www.garstud.com
    « Ce n’est pas parce que les choses sont difficiles que nous n’osons pas,
    c’est parce que nous n’osons pas qu’elles sont difficiles. »
    - Sénèque

    Commentaire


    • #3
      Analyse Firebug

      Firebug a l'air trés bien.

      Je vois le bout de script rajouté sur mon site.

      Comment le retirer ?
      Je ne vois pas dans quel fichier il est placé. Et quand j'ouvre mon fichier index je ne retrouve pas.

      Merci d'avance.

      Ballman.
      Dernière édition par ballman50 à 23/10/2008, 06h56

      Commentaire


      • #4
        En éditant le fichier ...
        Et ne donnes pas le lien, on ne veut pas être infecté

        Pour te pister: cherche les fichiers dernièrement modifiés, à la racine, dans le emplate. Il y a aussi peut-être un module qui a été créé ...
        Règlement du forum : http://forum.joomla.fr/faq.php
        Comment mettre le post en [Réglé]: http://forum.joomla.fr/announcement.php?f=58
        Joomla! 3 Le Livre Pour Tous , n'hésitez pas à le lire pour vous aider
        http://www.iwannaclick.org

        Commentaire


        • #5
          Editer

          Bonjour,

          Je pense que c'est mon fichier index.php.
          Avec php edit, cela va suffire si je supprime le 2 ou 3 lignes rajoutées ??

          Merci.

          Commentaire


          • #6
            Plus de souci

            Merci Garstud et Sharky.

            Firebug est top et m'a permis de visualiser le problème rapidement.
            Un script avait été rajouté dans l'index.php et tous les index.html.
            Je pense que ce cheval de Troie était inoffensif...

            Un petit nettoyage et c'est reparti...

            A+

            Commentaire


            • #7
              Royal ! tu t'en es bien sorti, tant mieux ... d'autant que je me rend compte que je n'ai pas été très bavard sur l'utilisation de Firebug !

              Je suppose que tu as utilisé la fonction "Net" (qui permet de visualiser les "éléments chargés" avec leur temps de chargement), puis la fonction "Inspect" pour localiser le bestiaux (?)

              Tiens nous au courant de ta démarche, ca pourra servir a d'autre !


              P.S. Bon Sharky, c'est "quand tu veux" pour monter une Brigade d'Intervention Rapide (une BIR ?) sur Joomla
              Garstud Workshop - Concepteur, Développeur et Formateur Joomla - http://www.garstud.com
              « Ce n’est pas parce que les choses sont difficiles que nous n’osons pas,
              c’est parce que nous n’osons pas qu’elles sont difficiles. »
              - Sénèque

              Commentaire


              • #8
                Firebug

                Bonjour,

                Royal... je ne sais pas encore.
                Pas la foncion Net mais inspect oui.
                Ensuite, j'ai corrigé via Filezilla.

                Je recherche des infos sur la sécurité et dans le forum, je suis un peu paumé :
                - .htaccess
                - register_globals
                - attributs des fichiers et répertoires

                Connaissez-vous un document clair ou des consignes basiques ??

                Merci et A+

                Commentaire


                • #9
                  Tu devrais regarder la fonction Net de Firebug, elle est terrible !

                  Pour tes autres point je te conseille de creuser les posts du forum, y a vraiment plein d'infos dessus ... et si vraiment tu as une question particuliere, alors ouvres un nouveau Topic avec un titre bien clair dans ce sens.

                  Bon courage
                  Garstud Workshop - Concepteur, Développeur et Formateur Joomla - http://www.garstud.com
                  « Ce n’est pas parce que les choses sont difficiles que nous n’osons pas,
                  c’est parce que nous n’osons pas qu’elles sont difficiles. »
                  - Sénèque

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins
                  Travaille ...
                  X