virus dans tous les fichiers index.html / .php sur plusieurs sites

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] virus dans tous les fichiers index.html / .php sur plusieurs sites

    Salut à tous, c'est mon premier post, j'utilise joomla depuis quelques temps maintenant et j'ai fait quelques sites sous joomla 1.5.
    je sais très bien qu'il faut mettre à jour en version 2.5 ou 3.0, seulement le problème est qu'il y a bcp de travail au niveau template, différentes extensions...du coup j'ai laissé en 1.5 en attendant de trouver un peu de temps pour me prendre la tête avec une mise à jour...pensant que rien de grave ne pourrait se produire...
    or depuis environ 1 semaine, j'ai 2 sites en joomla 1.5 15 qui se sont infectés.

    c'est en allant sur un d'eux que j'ai eu le message :
    "Le site Web que vous allez ouvrir contient un logiciel malveillant !" sur Chrome et Firefox...
    et en allant sur le ftp, j'ai constaté que beaucoup de fichiers (tous les index.html et index.php...mais surement d'autres fichiers...) étaient infectés...la loose

    je suis sur ovh, avec des comptes différents pour les différents sites, j'ai toujours accès aux managers ovh, aux ftp, aux bases de donnée mysql ainsi qu'à l'administration de Joomla!....
    j'ai remis une sauvegarde de fichiers sur le ftp y a 2 jours, et aujourd'hui le site est encore infecté...chose dont je me doutais car si il y a une faille, elle ne va pas se fermer toute seule...
    sur un des 2 sites quand je vais dans l'interface d'administration, j'ai mon anti virus qui s'excite, me disant de supprimer un virus...

    niveau extensions, j'utilise en commun sur ces 2 sites infectés :
    - joomfish (traduction en d'autres langues)
    - morpheoshow (galerie photo)
    - jce (editeur de texte)

    j'ai un fichier .htaccess à la racine du site, sachant que les fichiers joomla eux, ne sont pas à la racine du site directement, mais dans le dossier www/site
    à la racine, en plus de ce dossier "site" j'ai un index.html avec une redirection vers "site", et ce fichier est infecté lui aussi...
    contenu du .htaccess :
    "SetEnv PHP_VER 5_TEST
    SetEnv REGISTER_GLOBALS 0"

    si quelqu'un a une idée et/ou peut me donner un coup de main, je suis preneur...
    merci à tous =)

  • #2
    Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

    Bonjour,

    Et bienvenue sur le forum.
    or depuis environ 1 semaine, j'ai 2 sites en joomla 1.5 15 qui se sont infectés.
    Même en restant en 1.5, la mise à jour vers 1.5.26 n'est pas optionnelle. De nombreux bugs et failles de sécurité ont été comblés http://aide.joomla.fr/telechargements/joomla-1-5-x-packages-d-installation-et-patches

    Remonter une sauvegarde, faire la mise à jour de Joomla! et de TOUTES les extensions.

    Lire les sujets Importants su sous-forum Sécurité http://forum.joomla.fr/forumdisplay....%A9curit%C3%A9

    Et installer une protection active genre CrawlProtect.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

      Salut,

      j'ai 2 sites en joomla 1.5.15
      Hum tu as donc 11 versions de retard sur Joomla 1.5, la dernière étant 1.5.26... Il est inutile de penser à un upgrade (joomla 2.5) si tu n'as pas déjà fait tes updates (Jommla 1.5.26).
      Après update, et si tu blindes le tout avec des outils genre Crawl, tu peux encore -même aujourd'hui- avoir un site robuste sans passer par les difficultés qu'implique une maj vers 2.5.

      Maintenant pour ton problème d'infection, va faire un tour sur le forum Sécurité ou tu trouveras pas mal d'éléments de réponse. (Même si comme d'habitude, l'ampleur de la tâche diminue drastiquement si tu as des sauvegardes à disposition).

      a+

      edit: joli grillage jisse, ça faisait longtemps

      Commentaire


      • #4
        Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

        Merci beaucoup pour vos réponses si rapides (et quasi identiques, ce qui prouve qu'elles sont bonnes =) )
        je fais ça et je vous tiens au courant
        merci encore

        Commentaire


        • #5
          Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

          salut à tous,
          bon bah l'infection est revenue... malgré la maj en 1.5 26 et crawlprotect...
          du coup je change le chmod de crawlprotect en 5 au lieu de 7 et je vais virer des modules (qui sont à jour)...
          en espérant que ça soit mieux ainsi... =/

          Commentaire


          • #6
            Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

            Si elle est "revenue" c'est probablement qu'elle n'est jamais partie.. Et elle peut être dure à trouver. Il te reste toujours la solution de repartir avec une install fraîche.

            Commentaire


            • #7
              Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

              est-ce que tes index.php et html ont tous été modifiés à la même date, même heure?
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

                merci pour vos messages =)
                en fait j'ai des sauvegardes plus ou moins récentes, et dessus l'infection n'est pas présente sur les fichiers...donc à chaque fois je remets les fichiers sauvegardés en place, ainsi que la base de donnée et je change les mots de passe mysql et d'administration joomla...

                et oui Webcrea, ils sont tous modifiés à la même heure à 2 min près...même un index.html hors du dossier contenant joomla...
                cette aprem j'ai remis les fichiers une fois de plus, j'ai viré les extensions d'éditeur JCE et de Morpheoshow, car ces 2 me semblent les plus suspects avec Joomfish (car ces 3 extensions sont, comme je le disais, en commun sur 2 sites infectés), je vire pas Joomfish pour le moment...si l'infection revient, je le virerai près avoir remis une fois de plus les fichiers en place...
                j'ai changé le niveau chmod de Crawlprotect comme prévu...y a plus qu'à attendre...lol

                sinon j'ai vu dans cette liste ( http://docs.joomla.org/Vulnerable_Extensions_List ) que JCE apparaissait, mais en version <2.2.4 et je l'avais mis à jour en 2.2.9.1...bref relou =)

                Merci encore pour vos réponses, si vous avez des idées n'hésitez pas, sinon je viendrai vous dire ce qu'il en est d'ici 1j ou 2...le temps que j'me refasse contaminer... =(

                Commentaire


                • #9
                  Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

                  si c'est 2 minutes, il se peut que cela soit un hack d'un fichier php installé sur ton site. Tu peux le savoir en regardant les logs à la date de la modif...
                  Christophe
                  http://www.webcrea.fr

                  Commentaire


                  • #10
                    Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

                    salut à tous,
                    après avoir viré les modules JCE et Morpheoshow, et mis le chmod de crawlprotect en 5, l'infection ne s'est pas reproduite... =D
                    je vais dans un premier temps repasser le chmod de crawlprotect en 7, puis réinstaller JCE et enfin trouver un autre module pour la galerie photo...d'ailleurs au passage, si vous en avez une à me conseiller, je suis preneur...
                    un grand merci à tous, ça fait un souci de moins =)

                    Commentaire


                    • #11
                      Re : virus dans tous les fichiers index.html / .php sur plusieurs sites

                      je peux pas t'aider mais je te souhaite bon courage.
                      Trop relou ces cc qui font perdre du temps aux pauvres abeilles laborieuses que nous sommes

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X