mon site cracké

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] mon site cracké

    ce matin je recois un mail de google

    Dear site owner or webmaster of travail-domicile-bio.fr,
    We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.
    Below are one or more example URLs on your site which may be part of a phishing attack:
    http://www.travail-domicile-bio .fr/language/pdf_fonts/us/Cgi-bin/webscr.htm
    http://www.travail-domicile-bio .fr/language/pdf_fonts/us/Cgi-bin/webscr.htm?cmd=_login-run
    Here is a link to a sample warning page:
    http://www.google.com/interstitial?u...bin/webscr.htm
    We strongly encourage you to investigate this immediately to protect users who are being directed to a suspected phishing attack being hosted on your web site. Although some sites intentionally host such attacks, in many cases the webmaster is unaware because:
    1) the site was compromised
    2) the site doesn't monitor for malicious user-contributed content
    If your site was compromised, it's important to not only remove the content involved in the phishing attack, but to also identify and fix the vulnerability that enabled such content to be placed on your site. We suggest contacting your hosting provider if you are unsure of how to proceed.
    Once you've secured your site, and removed the content involved in the suspected phishing attack, or if you believe we have made an error and this is not actually a phishing attack, you can request that the warning be removed by visiting
    http://www.google.com/safebrowsing/r...r/?tpl=emailer
    and reporting an "incorrect forgery alert." We will review this request and take the appropriate actions.
    Sincerely,
    Google Search Quality Team
    Note: if you have an account in Google's Webmaster Tools, you can verify the authenticity of this message by logging into https://www.google.com/webmasters/tools/siteoverview and going to the Message Center, where a warning will appear shortly.



    aprés avoir verifié j'ai trouvé les pages en question demande de payement par payal + un tas de truc

    j'avais un htaccess que j'ai blindée ,comment est ce possible ?

  • #2
    Un composant non mis à jour est une faille possible : j'ai eu le même soucis, il y a quelques mois avec CKforms (dossier paypal sur mon site)
    Une autre piste possible : Si tu enregistres tes codes FTP dans filezilla par exemple, et que ton PC est infecté par un trojan : un haker peut avoir accès à ton site par FTP
    C'est en forgeant qu'on devient ...
    Je ne connais pas tout de joomla mais je peux toujours essayer d'aider quelques personnes avec ma petite expérience
    PENSEZ A SAUVEGARDER VOTRE SITE ! (Ça vous sauve en cas de problèmes !)

    Commentaire


    • #3
      je suis a jour au niveau joomla,module et plugin

      je suis a jour au niveau joomla,module et plugin je suis entrain de cherche ce qui pourrais avoir mis une faille

      mon soucis ,vient du fait que je ne suis pas sur que ma base de données ne sois pas touché,comment savoir et comment verifier si quelqu'un a une idée ?

      Commentaire


      • #4
        Rends toi directement sur l'espace reservé à la sécurité sur le forum il a des centaines de sujet ou tu trouveras surement des réponses..
        Si ça n'est pas fait installe crawltrack et crawlprotect, le plugin sentinelle, vérifie que ton pc n'est pas infecté, change tous les mots de passe, vérifie tous tes composants et modules, etc, etc
        http://www.restowebservices.com

        Commentaire


        • #5
          Re : mon site cracké

          bonjour,

          je viens d'être attaqué par un systeme de pishing.

          la faille vient de /components/com_virtuemart/themes/pbv_multi/scripts/timThumb.php du composant

          pbv multi

          le virus a été déposé dans un repertoire /components/com_virtuemart/themes/pbv_multi/scripts/tmp/ pendant 10 mois

          puis le pirate à créer un répertoire /paypal.com

          Comment j'ai su cela?
          j'ai reçu un message de google
          We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

          j'ai commencé par regardé en ftp les repertoires et fichiers ayant une date recente et inconnu

          puis j'ai regardé les logs chez 1&1 dans /logs, rechercher paypal

          c'est là que j'ai trouve le script et l'ip incriminé 93.112.79.107.

          j'ai regardé dans http://docs.joomla.org/Vulnerable_Extensions_List les composants vulnérables
          pvb multi n'y est pas.

          comment prévenir de cette faille?

          avez vous des solution de protection?
          pour contrer la faille de thumb.php, on conseil de mettre dans .htaccess

          <Files ^(*.jpeg|*.jpg|*.png|*.gif|*.css)>
          commander deny, allow
          deny from all
          </ Files>

          et
          Options-ExecCGI
          AddHandler cgi-script. Php. Pl. Py. Jsp. Asp. Htm. Shtml. Sh. Cgi

          d'apres : http://www.webrevised.com/130-timthu...ates-affected/

          qu'en pensez-vous?

          cordialement,
          phit

          Commentaire

          Annonce

          Réduire
          1 sur 2 < >

          C'est [Réglé] et on n'en parle plus ?

          A quoi ça sert ?
          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
          Comment ajouter la mention [Réglé] à votre discussion ?
          1 - Aller sur votre discussion et éditer votre premier message :


          2 - Cliquer sur la liste déroulante Préfixe.

          3 - Choisir le préfixe [Réglé].


          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

          2 sur 2 < >

          Assistance au forum - Outil de publication d'infos de votre site

          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

          UTILISER À VOS PROPRES RISQUES :
          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

          Problèmes connus :
          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

          Installation :

          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

          Archive zip : https://github.com/AFUJ/FPA/zipball/master

          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
          et remplacer www. votresite .com par votre nom de domaine


          Exemples:
          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
          Télécharger le script fpa-fr.php dans: /public_html/
          Pour executer le script: http://www..com/fpa-fr.php

          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
          Télécharger le script fpa-fr.php dans: /public_html/cms/
          Pour executer le script: http://www..com/cms/fpa-fr.php

          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
          Voir plus
          Voir moins
          Travaille ...
          X