Virus

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Virus

    Bonjour
    Plusieurs sites (joomla1.5.25 et 1.7.3)
    attaqués par des virus.
    Certains fichiers (exemple : /plugins/system/debug/debug.php) se voient ajouté du code
    je les ai remplacé par des fichiers "propres" et placé leur CHMOD à 444 (lecture seule) cela fonctionne
    Mais la contamination se fait en cascade. Google signale "site malveillant".
    Existe t'il une action corrective.
    Les sites sont hébergés chez 3 hébergeurs différents
    un site sous Prestashop est également concerné !
    En rapatriant les dossier/fichiers sur mon ordi l'anti-virus détecte
    JS.iframe.agf
    TR.Kyptik.gyh.3 (celui-ci uniquement sur Joomla 1.7)

    Sites concernés :
    http://www.rnr-pibeste-saintpe.com
    http://nature-pyrenees.com/
    http://www.honey-miel.fr/ (ce site est suspendu car très contaminé)
    http://www.echelles-neressy.fr/ (sous Prestashop)

    Merci pour vos commentaires et solutions ?

  • #2
    Re : Virus

    Bonjour,
    si la contamination touche plisueurs sites avec des CMS différents, le point commun est soit l'hébergement si tes sites sont sur le même serveur, soit ton poste de travail. Tant que tu n'auras pas trouvé la faille, tu risques fort de corriger pour rien.
    Schtroumpfe toi le Schtroumpf t'aidera.
    Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

    Commentaire


    • #3
      Re : Virus

      Merci pour ta réponse
      Ces 4 sites sont chez 3 hébergeurs différents, pour 3 de ces sites je n'ai apporté aucune modif par ftp depuis plus de 6 mois avant l'attaque.
      Je pense que mon ordi est clean, mon anti-virus (Avira) detecte les virus dès que je rapatrie les fichiers infectés par ftp depuis l'hébergeur...
      Ces attaques ont toutes eu lieu à peu près en même temps ce 12/13 février...
      CHMODER en 444 (lecture seule) les fichier ou s'écrivent les boucles permet pour le moment de suppléer au problème.
      Ce type de problème est il connu ?
      Grand merci

      Commentaire


      • #4
        Re : Virus

        Bonjour,

        Il faut peut-être aussi penser à une faille PHP découverte récemment, si les serveurs n'ont pas été mis à jour. Cette faille permet l'exécution et l'injection de code arbitraire sur tout serveur possédant un PHO avec cette faiblesse (liée à un bug de format dans la fonction realpath de la libc sous-jacente).
        Pas de demande de support par MP.
        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

        Commentaire


        • #5
          Re : Virus

          Grand merci pour cette réponse !
          J'en avise les hébergeurs
          A+
          Dque

          Commentaire


          • #6
            Re : Virus

            Bonjour ,

            Je pense être moi aussi victime d'un virus qui cause un dysfonctionnement au niveau de l'organisation de mon template.

            www.as-graces.fr

            Pouvez-vous m'aider s'il vous plait à corriger ce beug ?

            CDT

            Merci de votre aide.
            on craint degun

            Commentaire


            • #7
              Re : Virus

              Pouvez-vous m'aider s'il vous plait à corriger ce beug ?
              Ton site est vérolé, il te reste à parcourir le forum dédié à la sécurité pour le faire revenir propre, mais avant assures toi d'avoir ta machine aussi blanche que possible.

              Commentaire


              • #8
                Re : Virus

                Merci zepelin57

                C'est ma machine du boulot qui est infecté comme pas permis , quel idiot que je fais de l'avoir utilisé.

                Bref , je vais voir comment virer tout cela.

                merci encore
                on craint degun

                Commentaire


                • #9
                  Re : Virus

                  C'est ma machine du boulot qui est infecté comme pas permis
                  Hé ben, je ne sais pas ou tu bosses mais là il faut se poser des questions

                  Commentaire


                  • #10
                    Re : Virus

                    Je suis stagiaire , donc on m'a filé un vieille ordi portable :s

                    Bref , pas évident ce Malware . Espérons que crawltrack et crawlprotect m'en débarrasse.
                    on craint degun

                    Commentaire


                    • #11
                      Re : Virus

                      Espérons que crawltrack et crawlprotect m'en débarrasse.
                      J'en doute ce n'est pas leurs fonctions.

                      Commentaire


                      • #12
                        Re : Virus

                        Bonjour,
                        Je pense que mon ordi est clean, mon anti-virus (Avira) detecte les virus dès que je rapatrie les fichiers infectés par ftp depuis l'hébergeur...
                        ça ne prouve rien... Il y a eu à une époque une épidémie de saloperies qui utilisaient les mots de passe stockés de Filezilla. Passe sur ton poste un Hijackthis et poste le résultat sur un forum spécialisé.
                        Schtroumpfe toi le Schtroumpf t'aidera.
                        Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                        Commentaire


                        • #13
                          Re : Virus

                          Bon bah je n'ai toujours pas trouvé la solution. J'ai virer les "index.php" et remplacer par ceux enregistré en local mais toujours le même souci.

                          Quelqu'un à une idée ?

                          CDT et bonne soirée
                          on craint degun

                          Commentaire


                          • #14
                            Re : Virus

                            Quelqu'un à une idée ?
                            Oui, comme je te l'ai dit il faut éplucher le forum dédié à la sécurité. Virer et remplacer les index.php ne suffit pas. Il faut analyser les fichiers/dossiers par rapport aux dates de modifications par exemple etc...

                            Commentaire


                            • #15
                              Re : Virus

                              Re,
                              Quelqu'un à une idée ?
                              Oui : passe sur ton poste un Hijackthis et poste le résultat sur un forum spécialisé (bis). En attendant change tes comptes FTP.

                              Dans tous les cas ce que tu vois sur le site (fichiers index) sont des symptômes secondaires. Ça ne sert à rien de les traiter tant que tu n'as pas trouvé (et traiter) la cause primaire.
                              Prendre de l'aspirine contre le mal de tête ne sert à rien tant que ne s'est pas occupé du gars qui tape dessus avec un marteau.
                              Schtroumpfe toi le Schtroumpf t'aidera.
                              Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X