Joomladay francophone 2018 à Paris 18 et 19 mai

Fichiers index modifiés (virus)

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Fichiers index modifiés (virus)

    Bonjour,
    j'ai un probleme avec l'un de mes sites. Il a fallu qu'un ami à moi y accède par ftp et que je constate un message d'avertissement de mozilla, comme quoi mon site est dangereux pour mon pc.
    J'ai vite fait de remplacer mes fichiers index à la racine de joomla et plus rien.
    Par contre en admin le problème persiste. après quelques bidouilles j'ai remarqué que c'était du à mes fichiers index.html;
    TOUS MES FICHIERS INDEX SONT INFECTES! Comment? il y a un ajout automatique de balise à la suite, un iframe qui appelle l'ouverture d'un site odiklaf.net je crois...
    j'ai déjà pris mon mal en patience en remplacant tous mes fichiers index.html... vous imaginez le nombre...
    mais paf ça recommence... la balise se rajoute au fur et à mesure.
    Je pense à juste titre qu'un fichier se charge de le rajouter... mais lequel? où peut il se trouver? aucune idée. Si qq a déjà eu ce problème ou a une idée... prière bien vouloir m'éclairer...

    PS: mon ami n'a plus accès au ftp depuis belle lurette.. donc ça ne peut être lui qui s'amuse avec mes nerfs... lol...

  • #2
    Salut
    J'ai déjà eu le même problême.

    Tu n'utiliserais pas Filezilla par hasard ? Si c'est le cas, n'enregistre pas tes identifiants dans ce logiciel.

    J'ai eu un cheval de troie sur mon pc, celui-ci utilisait mes codes enregistrés dans filezilla pour modifier mes fichiers index et y ajouter des iframe.

    Dans ce cas, plusieurs choses à faie :

    - netoyer l'ordi
    - changer les identifiants ftp
    - ne pas les enregistrer dans filezilla
    - vérifier TOUS les fichiers index (c'est long mais parfois ils sont bien planqués)

    Bon courage
    Nico
    Regarde Bill ... Y'a encore des £ogici€l$ gratuits !!

    Commentaire


    • #3
      ok!

      oui j'utilise filezilla et j'ai enregistré mes identifiants sous le logiciel.
      Merci pour le conseil. Je vais m'y atteler ce week end et je te tiendrai au courant.

      Merci encore

      Commentaire


      • #4
        Bonjour,
        un peu de lecture :
        http://forum.joomla.fr/showthread.ph...rame+injection
        http://forum.joomla.fr/showthread.ph...rame+injection
        http://forum.joomla.fr/showthread.ph...rame+injection
        tu te sens moins seul ?
        En gros, arrête de mémoriser les mots de passe dans Filezilla, nettoie ta machine, change tes mots de passe FTP et nettoye tous les fichier index.* sur tous tes sites...
        Schtroumpfe toi le Schtroumpf t'aidera.
        Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

        Commentaire


        • #5
          Merci Grand Schtroumpf,
          vais m'atteler à cette tache.

          Commentaire


          • #6
            Bonjour les amis,
            alors j'ai tout nettoyer tous les fichiers index... supprimé mon identifiant et mon mot de passe de filezilla. Mais en l'espace d'un jour, meme probleme. Je crois qu'un de mes fichiers include doit etre infecté. Que dois-je fairE?

            Commentaire


            • #7
              Bonsoir

              As tu essayé le solution antivirus de sirius pour cibler ou?

              http://forum.joomla.fr/showthread.php?t=100674
              Attention cela risque de ne pas de trouver le petit vilain fichier infecté mais ça ne te coutera rien.

              @+
              SVP pas de MP pour de l'aide, le forum est l’outil idéal

              Commentaire


              • #8
                oui je l'ai déjà essayé... mais que dalle.Merci

                personne n'a une idée?

                Commentaire


                • #9
                  Re,
                  tu ne dis pas avoir désinfecté ton poste de travail et changé ton mot de passe FTP...
                  Schtroumpfe toi le Schtroumpf t'aidera.
                  Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                  Commentaire


                  • #10
                    Oui c'est fait. désolé j'avais oublié. J'ai utilisé antimalware bytes... et j'ai découvert 9 infections.
                    J'ai cru lire quelque part qu'on pouvait utliser notepad ++ pour remplacer automatiquement des lignes de code.. ne l'ayant jamais fait, pouvez-vous m'indiquer comment le faire. Je reprendrai tout le site au peigne fin

                    Commentaire


                    • #11
                      Salut

                      Lorsque ça m'est arrivé, j'ai rapatrié mon site en local et j'ai trié les fichiers par date de modification.

                      Seul des fichiers index avaient été modifiés, mais tous à la même heure donc facilement identifiable.

                      C'est comme ça que j'ai vu que même si un fichier index n'est pas modifié, ça ne veut pas dire que celui du sous-dossier ne l'est pas !!
                      Dernière édition par nico.bzh à 03/12/2009, 14h20
                      Regarde Bill ... Y'a encore des £ogici€l$ gratuits !!

                      Commentaire


                      • #12
                        J'ai refait la même opération en changeant encore une fois les identifiants du ftp (ils ne sont plus enregistrés sous filezilla.) En complément j'ai utilisé les fichiers du dernier patch que j'ai renvoyé.
                        pour le moment je n'ai encore rien... je verrai bien.

                        Merci encore

                        Commentaire


                        • #13
                          problème apparement résolu!
                          Une fois encore thanks

                          Commentaire


                          • #14
                            slt les amis,
                            je reviens vers vous (toutes mes excuses pour la relance du sujet) à propos d'un tout petit problème qui subsiste. En effet, j'ai constaté que sur la page d'inscription et celle des profils(community builder) il y avait un dernier virus qui se baladait.

                            Alors j'ai refait toute la procédure, et même le téléchargement des fichiers, mais mon antivirus ne détecte aucune page infectée. J'ai fouillé tous les fichiers de community builder idem..

                            Avez-vous une petit idée de l'endroit où il peut se dissimuler?
                            Merci pour tout

                            Commentaire

                            Annonce

                            Réduire
                            1 sur 2 < >

                            C'est [Réglé] et on n'en parle plus ?

                            A quoi ça sert ?
                            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                            Comment ajouter la mention [Réglé] à votre discussion ?
                            1 - Aller sur votre discussion et éditer votre premier message :


                            2 - Cliquer sur la liste déroulante Préfixe.

                            3 - Choisir le préfixe [Réglé].


                            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                            2 sur 2 < >

                            Assistance au forum - Outil de publication d'infos de votre site

                            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                            UTILISER À VOS PROPRES RISQUES :
                            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                            Problèmes connus :
                            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                            Installation :

                            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                            Archive zip : https://github.com/AFUJ/FPA/zipball/master

                            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                            et remplacer www. votresite .com par votre nom de domaine


                            Exemples:
                            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/
                            Pour executer le script: http://www..com/fpa-fr.php

                            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/cms/
                            Pour executer le script: http://www..com/cms/fpa-fr.php

                            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                            Voir plus
                            Voir moins
                            Travaille ...
                            X