Attaque de script malveillant sur joomla 2.5

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Attaque de script malveillant sur joomla 2.5

    Version Joomla! : 2.5.1
    Hébergement : 1&1 mutualisé, linux.
    Extensions installées :
    Gantry
    RSFormPro
    FoxContact
    JCE
    WidgetKit
    RSMediagallery
    AcyMailing


    Bonjour;

    En entrant sur le back-office de mon site je suis tombé sur ça :


    Et sur le front-end ça :


    La totalité des fichiers .html, .php, .ini sont "vérolés" par un script malveillant.
    Je vais tout supprimer et recharger un joomla propre, il ne s'agit, ici, que d'un site de travail et non un site pro.
    Heureusement !!
    Toutefois, à votre avis :
    Que s'est-il passé ?
    Que puis-je faire pour me protéger à l'avenir de ce genre d'attaque ?
    Mon hébergeur est-il en cause ?

    Merci d'avance.

    Cordialement.

    Erod

  • #2
    Re : Attaque de script malveillant sur joomla 2.5

    [modo]Sujet déplacé en sécurité[/modo]

    Il y a eu manifestement une intrusion.

    Pour mieux protéger les sites, l'installation de CrawlProtect/CrawlTrack peut aider tout au moins à filtrer les attaques HTTP.
    Par contre, si l'attaque est via FTP (par un Filezilla compromis par exemple), ces protections ne servent à rien.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : Attaque de script malveillant sur joomla 2.5

      Quelques extensions commerciales, ont-elles toutes été achetées ou viennent-elles d'un monde // ?
      Si monde // faut pas chercher plus loin.

      Sinon voir au niveau de ta machine utilisée, si elle est bien propre et protégée.

      Commentaire


      • #4
        Re : Attaque de script malveillant sur joomla 2.5

        Merci pour le déplacement dans la bonne rubrique.
        Toutes les extensions commerciales sont officielles et achetées.
        Ma machine est sous windows7 avec MSE (microsoft security essentiel), malwareBytes et le defender windows sur ON.
        Pour le FTP, j'utilise le client intégré de totalcommander (depuis des lustres d'ailleurs).
        En effet j'ai éradiqué récemment des rogues sur ma machine, ceci explique cela ?
        Je vais m’intéresser à CrawlProtect/CrawlTrack après la réinstalle.
        Et modifier mes mdp FTP.

        Merci.

        Erod
        Dernière édition par erod à 29/02/2012, 23h48

        Commentaire


        • #5
          Re : Attaque de script malveillant sur joomla 2.5

          Bonjour,
          En effet j'ai éradiqué récemment des rogues sur ma machine, ceci explique cela ?
          Qui dit malwares sur la machine dit risques. Ensuite reste à savoir quel type de malware y trainait.
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Re : Attaque de script malveillant sur joomla 2.5

            Machine formatée ce jour, mon antivirus à contré encore une attaque de type "password-grabber" ce matin.
            Chais pas ou j'ai chopé ça, mais le ver est dans le fruit, donc....
            Mot de passe FTP changé et je remets joomla! en place demain.

            [Hors sujet = ON] PS: j'en profite pour signaler aux utilisateurs de thunderbird (mozilla messagerie) que j'ai utilisé mozbackup pour sauvegarder l'ensemble de mes mails, dossiers, contacts, profil et qu'après formatage ce soft remet absolument tout en place, mention spéciale pour mozbackup bien pratique sur ce coup. [Hors sujet = OFF]

            Erod

            Commentaire


            • #7
              Re : Attaque de script malveillant sur joomla 2.5

              Je suis sur le serveur de hostmonster

              je fait l'objet de akquage sur tout mes site

              Au debut il me sufisais de remplacer l'index.php et je récuperer mon site

              Depuis ce matin sur deux des site des que je remplace l'index il et à nouveau remplacer par l'index poluée comme ci cela ce fait automatiquement

              si vous pouviez m'aider

              je suis perdu je ne sais pas quoi faire contre ces acker

              Les sites utilise des version 1,5 et 1,7 je pense qu'il son rentrée par la possiblilité de s'enregistrée en ligne qu j'ai suprimer

              Merci

              Commentaire


              • #8
                Re : Attaque de script malveillant sur joomla 2.5

                Envoyé par samuelhaggai Voir le message
                je fait l'objet de akquage sur tout mes site

                Au debut il me sufisais de remplacer l'index.php et je récuperer mon site

                Depuis ce matin sur deux des site des que je remplace l'index il et à nouveau remplacer par l'index poluée comme ci cela ce fait automatiquement

                si vous pouviez m'aider
                Une discussion très longue sur les divers types d'intrusions et comment protéger ses sites se trouve là: http://forum.joomla.fr/showthread.ph...-OVH-%21%21%21. Ces indications restent valides sous Joomla!2.5, ainsi que ce qui a été dit sur ce sujet même.

                Envoyé par samuelhaggai Voir le message
                Les sites utilise des version 1,5 et 1,7 je pense qu'il son rentrée par la possiblilité de s'enregistrée en ligne qu j'ai suprimer
                Un intrus n'a vraiment pas besoin de s'enregistrer sur un site, les outils utilisés pour les intrusions exploitant les extensions faibles ou les vulnérabilités introduites par le webmaster du site, voire des failles de sécurité du système d'exploitation, ou encore plus souvent, le vol des accès FTP.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : Attaque de script malveillant sur joomla 2.5

                  Pour faire suite à mes mésaventures sus citées, j'ai tout bien mis propre coté client et serveur, et j'ai installé crawlprotect .
                  Je viens d'aller voir sur le board de crawlprotect de mon site et il y a eut un blocage :
                  Ca prouve qu'il fonctionne même si il m'a fallu changer les droits pour Akeeba afin de réussir une sauvegarde...



                  Que puis-je faire avec ces infos et que comprendre des raisons du blocage ?

                  Cordialement.

                  Erod
                  Dernière édition par erod à 10/03/2012, 19h15

                  Commentaire


                  • #10
                    Re : Attaque de script malveillant sur joomla 2.5

                    Bonjour,

                    Oui, ce rapport de CrawlProtect indique bien qu'il fonctionne parfaitement.
                    Et le système t'indique même ce que tu peux en faire. Soit laisser vivre, si (comme souvent) il s'agit d'une IP non fixe, soit bloquer cette IP dans le .htaccess.

                    Et le système t'indique également la raison du blocage (un script bot d'intrusion qui tente de se faire passer pour un Mozilla 3.0 alors que c'et sIndy Library, une bibliothèque archi utilisée par les craqueurs de sites).
                    Pas de demande de support par MP.
                    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                    Commentaire


                    • #11
                      Re : Attaque de script malveillant sur joomla 2.5

                      Si tu retournes régulièrement voir ce qu'a bloqué CrawlProtect, tu verras le nombre d'attaques que tu subis et qui, sans lui, soit donnent des erreurs 404, soit passent si elles utilisent une faille...
                      Récemment, en une journée, j'ai eu plus de 170 tentatives d'injection SQL bloquées par CrawlProtect ou CrawlTrack (je ne me souviens plus lequel).
                      Tout ce que tu peux faire de ces stats, c'est bloquer l'IP si elle est responsable de trop d'attaques 5CP n'aura plus besoin d'analyser l'adresse pour savoir si c'est une attaque, ce qui pourrait pénaliser un simple visiteur qui récupèrerait un jour cette adresse et l'empêcherait d'accéder à ton site.
                      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

                      Commentaire


                      • #12
                        Re : Attaque de script malveillant sur joomla 2.5

                        Ok, merci pour ces infos bonnes à savoir.
                        J'ai injecté l'IP dans le .htaccess, mange pas de pain.
                        La sens pas l'IP flottante from Poland...


                        170 attaques le même jour ! rou nou dou diou !

                        Dites voir, dans la mesure ou je ne souhaite pas particulièrement de stats, crawlprotect sans crowlTrack est suffisant non ?
                        Dernière édition par erod à 10/03/2012, 19h54

                        Commentaire


                        • #13
                          Re : Attaque de script malveillant sur joomla 2.5

                          Ce matin sur un de mes site en voulan entrée dans l'administrateur je trouve le message suivant:

                          JAuthentication::__construct: Could not load authentication libraries.
                          Username and password do not match

                          Quelqu'un peux m'aider

                          J'ai changer mon mots de passe dans la base de donnée rien na changer

                          Merci

                          Samuel

                          Commentaire


                          • #14
                            Re : Attaque de script malveillant sur joomla 2.5

                            Bonjour,
                            Envoyé par erod Voir le message
                            Dites voir, dans la mesure ou je ne souhaite pas particulièrement de stats, crawlprotect sans crowlTrack est suffisant non ?
                            Là dessus les avis sont souvent partagés, ces 2 produits se complétant particulièrement bien.
                            Pas de demande de support par MP.
                            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                            Commentaire

                            Annonce

                            Réduire
                            1 sur 2 < >

                            C'est [Réglé] et on n'en parle plus ?

                            A quoi ça sert ?
                            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                            Comment ajouter la mention [Réglé] à votre discussion ?
                            1 - Aller sur votre discussion et éditer votre premier message :


                            2 - Cliquer sur la liste déroulante Préfixe.

                            3 - Choisir le préfixe [Réglé].


                            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                            2 sur 2 < >

                            Assistance au forum - Outil de publication d'infos de votre site

                            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                            UTILISER À VOS PROPRES RISQUES :
                            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                            Problèmes connus :
                            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                            Installation :

                            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                            Archive zip : https://github.com/AFUJ/FPA/zipball/master

                            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                            et remplacer www. votresite .com par votre nom de domaine


                            Exemples:
                            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/
                            Pour executer le script: http://www..com/fpa-fr.php

                            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/cms/
                            Pour executer le script: http://www..com/cms/fpa-fr.php

                            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                            Voir plus
                            Voir moins
                            Travaille ...
                            X