[HELP!] mon site piraté(?) par "components/com_fpss" et "com_remository_files"

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [HELP!] mon site piraté(?) par "components/com_fpss" et "com_remository_files"

    Bonjour à tous,

    Depuis quelques temps, mes fichiers Logs contiennent des milliers de lignes de ce genre :

    66.249.66.171 - - [28/Sep/2010:22:04:00 +0200] "GET /components/com_fpss/bruto-naar-netto-loon-p-1726.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:11:56 +0200] "GET /components/com_fpss/startdownload-Ben-Watt---Buzzin-Fly--Incl-Stimming-Guestmix-SBD-03-05-2010-TALiON-INT.rar.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:12:19 +0200] "GET /components/com_fpss/grand-canyon-area-hotels-p-1857.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:13:32 +0200] "GET /components/com_fpss/tamil-christian-mp3-download-p-1631.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    81.52.143.16 - - [28/Sep/2010:22:18:11 +0200] "GET /components/com_fpss/copa-cabana-video-p-1410.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) VoilaBot BETA 1.2 (support.voilabot@orange-ftgroup.com)" "-"
    66.249.66.171 - - [28/Sep/2010:22:18:19 +0200] "GET /components/com_fpss/you-keep-me-hangin-on-vanilla-fudge-p-113.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:20:37 +0200] "GET /components/com_fpss/dinas-hotel-rivisondoli-p-157.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:24:43 +0200] "GET /components/com_fpss/startdownload-Ben-Watt-and-Stimming-Ft-Julia-Biel-Bright-Star--050BUZZDBPTX--WEB-2010-wWs.rar.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:28:16 +0200] "GET /components/com_fpss/startdownload-Ferrari-360-2.jpg.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:28:18 +0200] "GET /components/com_fpss/startdownload-training%20wheels%20comic.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    66.249.66.171 - - [28/Sep/2010:22:28:56 +0200] "GET /components/com_fpss/part-time-retail-salary-p-1703.html HTTP/1.1" 404 823 www.xxx.com "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

    J'ai donc effacé ce component que j'ai retrouvé dans mon site sans jamais l'avoir installé ainsi qu'un autre : com_remository_files car j'ai trouvé un fichier .php plutôt étrange dans mon dossier 'COMPONENTS' (com_remository_filescopy_right.php)

    Mais j'ai toujours ces milliers de lignes !!!

    Quelqu'un pourrait-il m'aider ??????
    Merci !!!!!!!!

  • #2
    topic transfere : questions generale--->securite
    sommaire thématique des astuces du forum e-commerce ici http://www.webtimarket.com/fr/telechargements
    http://virtuemart.fr

    Commentaire


    • #3
      Bonsoir,

      J'ai l'impression que tu as confondu le access.log (qui contient toutes les requêtes, même celles qui n'ont jamais abouti, avec le error.log qui contient les erreurs sur ces accès et le reste.
      J'ai donc effacé ce component que j'ai retrouvé dans mon site sans jamais l'avoir installé ainsi qu'un autre : com_remository_files car j'ai trouvé un fichier .php plutôt étrange dans mon dossier 'COMPONENTS' (com_remository_filescopy_right.php)
      Aucun composant ne s'installe seul, donc soit:
      1. tu as installé un jour ce composant
      2. ton site a été plus que largement piraté et donc est compromis à la moelle et là, vu ce que tu racontes, une réinstallation propre est la seule solution.
      Pas de demande de support par MP.
      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

      Commentaire


      • #4
        Bonsoir et merci de ta réponse.

        C'est bien dans mon access.log que je retrouve ces milliers de fichiers.

        Une réinstallation "propre" est difficile à mettre en oeuvre :
        Refaire toutes mes pages, ré-entrer tous mes produits .... c'est un travail de titan !!!

        Je n'arrive pas à comprendre qu'après avoir effacé les 2 composants suspects, on retrouve l'instruction " GET /components/com_fpss/ etc ..." dans l'access.log

        fpss sur google me renvoit vers FrontPage Slide Show ... que je n'ai pas installé...

        Les composants "com_remository_files " et " com_fpss" contiennent entre autres :

        - un fichier base.txt contenant des milliers de lignes
        ( ex : how to pronouce french words;0.34M#MobiSoft.English-French.Word.Tutor.v2.0.Crack-hdf.rar;4.63 MB#0470009799_Hypnotic_Writing_-_How_to_Seduce_and_Persuade_Customers_with_Only_Yo ur_Words_2006.zip... etc ...)
        -un fichier .htaccess ( voici celui de fpss )
        allow from all
        Options -Indexes
        DirectoryIndex item.php

        RewriteEngine On
        RewriteBase /components/com_fpss

        #RewriteRule ^startdownload-(.*)\.html$ download.php?type=download&item=$1 [L]
        RewriteRule ^startdownload-(.*)\.html(.*)$ download.php?type=download&item=$1&$2 [L]
        RewriteRule ^(.+)-p-([0-9]{1,32})\.html$ item.php?item=$1&lpos=$2 [L]
        RewriteCond %{REQUEST_FILENAME} !-f
        RewriteRule .* item.php?type=search&item=$1 [NC,L]

        En cherchant encore et encore j'ai trouvé ce site :
        http://www.exploit-db.com/exploits/14811/
        à ton avis d'agit-il d'instructions de piratage ?

        Je ne sais plus quoi faire ...

        MERCI ENCORE
        DENCH

        Commentaire


        • #5
          Pour ça, ton site a été compromis, et sans une action de vraie sécurisation, il le sera à nouveau.
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Envoyé par jisse03 Voir le message
            Pour ça, ton site a été compromis, et sans une action de vraie sécurisation, il le sera à nouveau.
            je suis désespéré... que veux-tu dire par " une action de sécurisation" ? des conseils pour empecher que cela se reproduise ( si je dois tout refaire )?

            Commentaire


            • #7
              Vu l'injection de faux composants sur ton site, il y a nécessairement :
              1. un composant ou module avec une faille (ou dans une vieille version pas à jour. Regardes la liste des extensions vulnérables et appliques les mises à jour
              2. Ton PC lui même est infecté et c'est via FTP que les crackeurs ont pu injecter leur cochonnerie...

              Dans tous les cas de figure, regardes les sujets épinglés de cette section sécurité, tu y trouveras toutes les actions à entreprendre (installation de CrawlTrack et CrawlProtect...), méthodes d'analyse des infections des sites, etc.
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire


              • #8
                Je suis toujours aussi désemparé ... mais je tiens à tous vous remercier de vos réponses ...

                Il est hors de question que je refasse mon site entièrement, c'est trop de travail. Il se trouve que je vous écris de l'hôpital où je suis depuis 3 mois à cause d'un chauffard qui m'a renversé. Vous imaginez dans quel état de calme et de patience je me trouve

                Je vais donc vous demander si vous connaissez quelqu'un qui pourrait s'occuper de tout à ma place ... et combien, à votre avis, cela me couterait ?

                J'attends impatiemment vos réponses !
                denis

                Commentaire


                • #9
                  Bonjour,

                  Je vais donc vous demander si vous connaissez quelqu'un qui pourrait s'occuper de tout à ma place ... et combien, à votre avis, cela me couterait ?
                  Cette question me semble relever de la section Demandes de services.

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins
                  Travaille ...
                  X