SPAM dans mon site, id=HideMe

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] SPAM dans mon site, id=HideMe

    Bonjour à tous,

    je me suis rendu compte par hasard que mon site est spammé par une ligne commençant par <div id='hideMe'> pour du Viag__ canadien. Spam c'est un peu léger pour appeler cette horreur.
    Je voudrais savoir :
    - comment (par quel moyen précisément) une telle chose a pu arriver et comment faire pour que cela n'arrive plus. Ça m'intéresse beaucoup.
    - comment virer la ligne et ses effets.

    En fait quand ma collègue veut lier un article dans twitter ou autre, le spam s'injecte avec.

    Sinon, rien dans mon template. J'ai un peu cherché au sein des modules et de tous les fichiers que je connais pour voir en HTML mais je ne sais pas par où chercher, et je n'ai rien trouvé.
    On ne voit rien sur les pages (hide me je présume) mais le spam est apparent dans le code et survient quand on lie des articles. Avec webdeveloper en revanche on voit tout si par exemple je désactive les css.


    Voilà, bon dimanche.
    Dernière édition par Ottosha à 16/03/2013, 15h30

  • #2
    Re : [Problème] SPAM dans mon site, id=HideMe

    Bonjour,

    Il faut lire les sujets sur l'injection de code sur ce forum, les malveillants peuvent passer par n'importe quoi qui n'est pas à jour (Joomla, toutes les extensions).
    Le mieux est de remonter une sauvegarde saine et mettre tout à jour, ensuite protégé l'ensemble pas Crawlprotect par exemple.

    Commentaire


    • #3
      Re : [Problème] SPAM dans mon site, id=HideMe

      Merci Zepelin,

      j'avais déjà parcouru certains topic et effectivement j'y suis retourné et appris pas mal de choses. Seulement je ne sais pas m'en sortir pour autant. Mais là où je suis un peu responsable c'est que j'ai repoussé la MAJ pensant que c'était compliqué, je suis encore au 1.5. En fait j'ai repris l’administration de ce site un peu en urgence et j'ai dû tout apprendre petit à petit, n'étant pas webmaster pure souche.
      Donc ok, maj obligatoire, je vais m'y atteler rapidement et installer des parades.
      Mais je demande encore de l'aide, savoir s'il existe un moyen de trouver la source de l’intrus et la faire disparaitre.
      Ne sachant pas trop manipuler à l'époque, je n'ai pas de copie du site, seulement un copier collé intégral par FTP, mais qui date. Du coup je me dis que toutes les modifs seront perdues si j'écrase le nouveau par l'ancien, cela me semble quasi impossible en temps et en rectifications.
      C'est très ennuyeux car nous ne pouvons plus publier d'articles pour le moment, de plus google signale que le site est hacké. J'ai passé un temps fou à essayer de comprendre ce que je pouvais faire, en vain. Je pensais qu'il serait relativement simple d'effacer ce spam et ensuite de tout mettre à jour.

      Voilà je suis toujours bien embêté car toute la vie de notre association repose sur la parution d'articles frais.

      En tout cas merci pour ce début de piste. J'ai compris comment faire pour que ça n'arrive plus, ou presque.

      Commentaire


      • #4
        Re : [Problème] SPAM dans mon site, id=HideMe

        Mais je demande encore de l'aide, savoir s'il existe un moyen de trouver la source de l’intrus et la faire disparaitre.
        Oui en analysant par date de modification des fichiers, mais aussi par les logs de l'hébergeur, à conditions qu'ils soient existant et surtout que tu saches les interpréter.

        Ne sachant pas trop manipuler à l'époque, je n'ai pas de copie du site...
        Là c'est ennuyeux car il va y avoir beaucoup de travail pour analyser tout cela: fichiers+db.

        Commentaire


        • #5
          Re : [Problème] SPAM dans mon site, id=HideMe

          Envoyé par zepelin57 Voir le message
          mais aussi par les logs de l'hébergeur, à conditions qu'ils soient existant
          j'ai fait envoyer un mail à OVH dans ce sens par la directrice

          Envoyé par zepelin57 Voir le message
          et surtout que tu saches les interpréter.
          wé là, je crois qu'on va me revoir par ici...Mais je suis prêt à apprendre le maximum de choses pour régler cette histoire. En plus ça me plait bien.


          Envoyé par zepelin57 Voir le message
          Là c'est ennuyeux car il va y avoir beaucoup de travail pour analyser tout cela: fichiers+db.
          et mon copié/collé de l'intégralité des fichiers que j'ai en sauvegarde, c'est utile ?

          Commentaire


          • #6
            Re : [Problème] SPAM dans mon site, id=HideMe

            Chez Ovh tu as la possibilité de reprendre des sauvegardes jusqu'à 3 semaines.

            Commentaire


            • #7
              Re : [Problème] SPAM dans mon site, id=HideMe

              Bonsoir,

              J'ai tenté sur la dernière, pas de changement, mais pas du tout, cad que tout y est comme avant, les parutions, ... Je pensais retrouver le site d'il y a 3 semaines, je ne comprends pas. Seuls quelques trucs alphacontent ont été modifiés.
              J'y croyais car il me semblait que c'était à peu près part là. Mais en fait il s'agit de restaurations partielles j'ai l'impression.

              Commentaire


              • #8
                Re : [Problème] SPAM dans mon site, id=HideMe

                Si tu restaures la dernière sauvegarde cela ne risque pas d'être celle de 3 semaines !
                Ici il faut reprendre une sauvegarde avant l'apparition de la cochonnerie.

                Mais en fait il s'agit de restaurations partielles j'ai l'impression.
                Les backup sont complets chez Ovh.

                Commentaire


                • #9
                  Re : [Problème] SPAM dans mon site, id=HideMe

                  Bonjour Zepelin,

                  Je me suis mal exprimé, j'ai monté la rescue du 15/10/2012, la 5ème et plus ancienne que j'ai trouvé, qui ne fait pas 3 semaines d'ailleurs mais 2, alors que c'est noté "3 semaines" antérieures.
                  Résultat : je confirme que le site est à l'identique, toutes les parutions depuis ont été conservées, les petits modules aussi que j'ai mis à jour ou carrément ajouté entre temps (acymailing), seuls des paramètres alphacontent ont été modifiés et semblent être revenus à l'origine (liste plus courte).

                  Qu'ai-je fait de travers ?

                  Commentaire


                  • #10
                    Re : [Problème] SPAM dans mon site, id=HideMe

                    Bonjour,

                    Voilà, j'en suis un peu toujours au même point, à part que maintenant je n'ai plus accès au gestionnaire à cause d'une erreur 500, suite à la restauration caduque, j'ai alerté OVH.
                    J'ai tenté de voir un peu ces logs : autant pour le FTP ça a l'air relativement simple à comprendre, autant pour le web c'est autre chose. En tout cas pour le FTP, il n'y a que mon IP qui apparait.
                    J'ai tapé qq IP pour voir, certaines sont référencées comme malveillantes, j’imagine que c'est le lot de tous les sites internet et qu'on ne peut pas savoir qui fait quoi...
                    Il faut que je règle ce problème, cela devient très ennuyeux.
                    OVH a répondu, ils procurent une liste d'informations de sécurité intéressante mais comme attendu, pas de solution, normal. Ils proposent de lire les logs...Ok j'essaye...Mais pas facile.
                    Quelqu'un sait vers qui je peux me tourner ou bien quelle démarche je dois suivre pour virer ce truc ?

                    Commentaire


                    • #11
                      Re : [Problème] SPAM dans mon site, id=HideMe

                      Quelqu'un sait vers qui je peux me tourner ou bien quelle démarche je dois suivre pour virer ce truc ?
                      Postes une demande dans cette section du forum, en précisant si rémunéré ou pas.

                      Commentaire


                      • #12
                        Re : [Problème] SPAM dans mon site, id=HideMe

                        Bonsoir Zepelin,

                        merci pour ton aide.
                        En fait j'aimerais bien tenter de m'en sortir, c'est un peu comme une revanche, bien que je sois un peu pressé effectivement, auquel cas j'irai faire un tour là bas. Mais j'ai envie d'essayer.
                        Du coup, est-ce que quelqu'un sait comment je peux analyser ces logs ? Est-ce que c'est raisonnable ?
                        Et est-ce que je dois passer de 1.5 à 2.5 dès à présent ou attendre d'avoir réglé le problème ?

                        Commentaire


                        • #13
                          Re : [Problème] SPAM dans mon site, id=HideMe

                          Bonjour,

                          je viens apporter la solution, au cas où:
                          J'ai donc cherché dans mes fichiers récemment modifiés à la racine /www du site FTP.
                          J'ai trouvé dans le dossier www/templates/[nom du template]/CSS un fichier récent appelé main.css. Dans ce fichier il y avait la fameuse balise <div id='hideMe'> et son contenu, le spam, plus le script à la fin:

                          <div id='hideMe'>canad--- pharm--- <a href="http://t.........[que des liens]...........<a href="http://..........for sale</a></div><script type='text/javascript'>if(document.getElementById('hideMe') != null){document.getElementById('hideMe').style.visi bility = 'hidden';document.getElementById('hideMe').style.d isplay = 'none';}</script>

                          Seulement la destruction du fichier complet entrainait un panne d'affichage du site puisque le script appelle un élément du template. On pouvait éventuellement déjà retirer tout le contenu de la division, le spam était détruit, mais pour faire tout propre, il fallait trouver la source et l'éliminer.

                          Toujours dans le même dossier, dans le fichier index.php il y avait ça :

                          <?php @require(dirname(__FILE__).'/css/main.css'); ?>

                          Je l'ai viré sans conséquence pour le site, le spam est détruit. Ce n'était pas si compliqué, on m'a un peu aidé.

                          Je ne sais toujours pas comment on a pu modifier ce fichier. En tout cas, tous les logs de connexion du FTP correspondaient à mon IP.


                          Voilà, à la prochaine.
                          Dernière édition par Ottosha à 23/11/2012, 12h34 Raison: Résolu

                          Commentaire


                          • #14
                            Re : [Problème] SPAM dans mon site, id=HideMe

                            et tu as toujours un style appliqué sur ton site?

                            As-tu la date de modification de ce fichier, main.css ?
                            Christophe
                            http://www.webcrea.fr

                            Commentaire


                            • #15
                              Re : [Problème] SPAM dans mon site, id=HideMe

                              Webcrea,

                              Mille ans après. Pour répondre et clore le sujet... Oui aucun autre css altéré.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X