le joom****.php nouveau est arrivé

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] le joom****.php nouveau est arrivé

    Bonjour,
    J'espère que ce que vais raconter peut vous aider si cela vous arrive

    Depuis le 26-01-2013 un pirate essaie de s’introduire dans mon site :
    Il place un index.thml vérolé à la racine du site et je le vire aussitôt-> le site marche

    Le 28-01-2013 il change l'index.php de la racine du site (voir ci-dessous le contenu du fichier) et en plus il me l'a passé de chmod 400 en chmod 705
    Je remets l'index normal en chmod 400 et de changer le mot de passe du ftp.
    Le site marche


    Par curiosité je suis allé dans les logs chez OVH (voir cidessous) et j'ai trouvé une adresse ip bizarre (41.98.XX.XXX) qui intervient juste au moment du hackage (par whois ->adresse ip d’Algérie)
    Dans les logs je vois qu'il m'a mis des fichiers bizarres dans images/stories qui n'y sont pas normalement (j'ai vérifié en local sur une sauvegarde et sur un autre site joomla en ligne)
    Je pense qu'il a mis les fichiers vérolés avec l'instruction POST (voir les logs) je n'y comprends pas grand chose mais avec l'instruction GET il ne peut pas faire grand chose à part consulter (me semble-t-il)

    Impossible d’envoyer 2 fichiers par mel à un ami super calé en php ils sont refusés par google pour cause de virus : joom****.php (9 Ko) et h2628.php (1 Ko)

    Manipulations : je vire tous les fichiers bizarres et je mets le dossier images en chmod 555

    Index.php vérolé 6 Ko (quelques détails)
    Code:
    <head>
    ................ 
    <title>Hacked By XXXXXX</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> 
    ......................
    </head>  
    ............................
    <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By xxxxxxxxxxxxx</font>
    ...........................
    <font face="Courier New">HHH **** ALL USER FOR SITE</font>
    <font style="font-size:20pt; font-weight:700" color="#FFFFFF" face="Courier New"> MY EMAIL : GJW@HOTMAIL.FR</font><font style="font-size:16px" color="#FFFFFF" face="Courier New"><br> </font></div> <div id="bv_Text13" style="position:absolute;left:221px;top:5px;width:439px;height:18px;z-index:10" align="left"> <font face="Courier New">sory admin ... hhh ... about for hacked</font>
    .................................................
    <title>Hacked By MR JINZO</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> 
    ...............
    <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By MR Jxxxxxx</font><font style="font-size:16px" color="#666666" face="Courier New">@</font><font style="font-size:16px" color="#FFFFFF" face="Courier New">hacker</font>
    ..............................
    <img border="0" src="http://" 
    .............................
    <font face="Courier New">HHH **** ALL USER FOR SITE</font></div> 
    ................................................
     <font face="Courier New">sory admin ... hhh ... about for hacked</font></div> 
    ..........................................
    </body> </html>
    Et voici la liste des fichiers que le pirate a installé dans images/stories joom****.php et h2628.php sont des virus (détectés par google mail mais pas par mon antivirus)
    Liste des fichiers ajoutés dans images/stories : (par l’instruction POST)
    Cpanel.php
    domains.php
    h2628.php
    index.php(le même qu’à la racine du site)
    joom****.php
    mailer.php
    php.ini
    shell.php
    shell2.php
    shell3.php
    shell4.php
    sql.php
    sym.php
    whm.php
    wp****.php
    zone.php

    Les logs chez OVH

    28/Jan/2013:00:00:13 ->28/Jan/2013:00:04:20

    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:13 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 5028 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:16 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4624 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:03:27 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4654 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    etc.....

    Et pourtant j'ai le fameux Crawlprotect pour générer le .htaccess j'ai mis en chmod 555 quelques dossiers et en 444 les fichiers de la racine du site. Pour le moment ça marche.
    Que feriez vous de plus à ma place ???
    J'espère que cela ne vous arrivera pas mais je surveille très souvent les logs et le FTP.




    Alber
    Dernière édition par zepelin57 à 28/01/2013, 22h47 Raison: Inutile de lui faire de la pub, lien et nom supprimé
    Alber - Sous le clavier la plage

  • #2
    Re : le joom****.php nouveau est arrivé

    Si tu utilises Crawlprotect, il faudrait remonter ces infos sur leur forum, ça ne t'aidera pas à régler le problème dans l'immédiat, mais ça peut permettre d'améliorer le produit.

    Commentaire


    • #3
      Re : le joom****.php nouveau est arrivé

      Si il utilise toujours la même ip, ou la même plage d'ip, tu as
      http://extensions.joomla.fr/afficher...p-addressrange
      Christophe
      http://www.webcrea.fr

      Commentaire


      • #4
        Re : le joom****.php nouveau est arrivé

        Oui je suis en contact avec le créateur de Crawlprotect.
        Mon problème fera sans doute améliorer le produit qui avait tout bloqué jusqu'à présent.
        Ma dernière sauvegarde est de décembre 2012 (même pas 2 mois) mais je veux tester si j'ai bien prottégé mon site en cahngeant les CHMOD et le .htaccess etc.................
        Alber - Sous le clavier la plage

        Commentaire


        • #5
          Re : le joom****.php nouveau est arrivé

          Merci de m'indiquer cette extension "Ban Ip Address/Range" que je ne connais pas
          Mais j'ai découvert le pot aux roses en allant dans les logs chez OVH. et j'ai tout de suite vu les dossiers infectés ainsi que les fichiers vérolés ajoutés. Que j'ai virés aussitôt.
          J'ai remis des CHMOD costauds.
          Pour bloquer l'adresse ip du malotru j'ai utilisé .htaccess . Jai même bloqué toutes les ip commençant par les mêmes chiffres comme fait je pense "Ban Ip Address/Range ".
          Pour le moment le site est OK. Pas besoin de remettre ma sauvegarde du mois de décembre.
          Merci pour ton message
          Alber - Sous le clavier la plage

          Commentaire


          • #6
            Re : le joom****.php nouveau est arrivé

            Pour le moment le site est OK. Pas besoin de remettre ma sauvegarde du mois de décembre.
            Tu devrais en profiter pour faire une nouvelle suvegarde. Il peut s'en passer des choses en un mois. Tu devrais sauvegarder au moins la bdd (les fichiers bougent assez peu en général) à intervalles plus rapprochés.

            Commentaire


            • #7
              Re : le joom****.php nouveau est arrivé

              Envoyé par lesoutier Voir le message
              Tu devrais en profiter pour faire une nouvelle suvegarde. Il peut s'en passer des choses en un mois. Tu devrais sauvegarder au moins la bdd (les fichiers bougent assez peu en général) à intervalles plus rapprochés.
              Merci pour ta suggestion mais j'ai fait tout ça avant hier.
              Ceci dit j'ai été un peu surpris que le fichier Tuckjoom.php (remplace le T par un F) n'apparaisse que sous la forme ****joom.php c'est un gros mot le Tuck mais cela peut servir dans un moteur de recherche pour quelq'un qui serait infecté par ce fichier et lancerait une recherche sur google.
              Tout ceci pour dire qu'il y a certains malveillants qui en veulent à joomla et veulent le "Tucker"
              Alber - Sous le clavier la plage

              Commentaire


              • #8
                Re : le joom****.php nouveau est arrivé

                Bonjour,
                En fait le pirate a exploité uns faille de JCE (version 1.54)
                J'ai installé la version 2.31 puis changé les CHMOD en 555 pour certains dossiers) et en 404 pour certains fichiers sensibles
                Alber - Sous le clavier la plage

                Commentaire

                Annonce

                Réduire
                1 sur 2 < >

                C'est [Réglé] et on n'en parle plus ?

                A quoi ça sert ?
                La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                Comment ajouter la mention [Réglé] à votre discussion ?
                1 - Aller sur votre discussion et éditer votre premier message :


                2 - Cliquer sur la liste déroulante Préfixe.

                3 - Choisir le préfixe [Réglé].


                4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                2 sur 2 < >

                Assistance au forum - Outil de publication d'infos de votre site

                Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                UTILISER À VOS PROPRES RISQUES :
                L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                Problèmes connus :
                FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                Installation :

                1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                Archive zip : https://github.com/AFUJ/FPA/zipball/master

                2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                et remplacer www. votresite .com par votre nom de domaine


                Exemples:
                Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/
                Pour executer le script: http://www..com/fpa-fr.php

                Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/cms/
                Pour executer le script: http://www..com/cms/fpa-fr.php

                En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                Voir plus
                Voir moins
                Travaille ...
                X