Site toujours piraté par pharma hack

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site toujours piraté par pharma hack

    Bonjour

    Je viens chercher de l'aide

    J'avais un site sous joomla 1.5 qui était fréquemment piraté par le pharma hack.
    Je me suis battu contre cette saloperie pendant des mois sans trouver de solution et j'ai donc décidé voilà qq jour de refaire intégralement le site sur joomla 2.5 et changer toutes les extensions.

    Rien n'est donc d'origine sauf une galerie photos qui ne contenait que des photos en jpg et passée à l'antivirus.
    Tous les dossiers était en chmod 555 et fichiers en 644. J'ai de plus installé crawlprotect.

    Et deux jours après la mise en ligne ,le site est à nouveau hacké par le meme truc!
    Avec les memes symptômes sur google et les memes fichiers rajoutés sur mon site.
    Chose curieuse cette fois ; les chmod n'ont pas changé.

    Je finis par me demander si ce n'est pas le serveur mutualisé qui est en cause.
    Pensez-vous que l'on puisse etre infecté par un voisin?

    Merci

  • #2
    Re : Site toujours piraté par pharma hack

    Bonjour,

    Sur un serveur mutualisé, suivant le paramétrage hébergeur, il y a énormément de variantes.

    Et Google regarde le sous-domaine. Le site lui-même est-il mis en cause, ou est-ce le sous-domaine ?
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : Site toujours piraté par pharma hack

      Voir http://whatis.techtarget.com/definition/pharma-hack (le problème Pharma Hack ne touche pas que Joomla, mais aussi WordPress et dans une moindre mesure Typo3 et ezPublish).
      Ce truc est très intelligent, hélas, il est très difficile à repérer sur les sites compromis (la compromission pouvant avoir de très multiples origines).
      Pas de demande de support par MP.
      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

      Commentaire


      • #4
        Re : Site toujours piraté par pharma hack

        Bonjour

        Envoyé par rescator Voir le message
        Rien n'est donc d'origine
        Tu veux dire "Tout est d'origine" ? Non ?

        Envoyé par rescator Voir le message
        Pensez-vous que l'on puisse etre infecté par un voisin?
        Clairement oui : au niveau de l'hébergeur, un site, ce n'est qu'un sous-dossier "tonsite". Mon site "monsite" sur le même serveur est donc un dossier au même niveau que le tien. Si "monsite" est mal sécurisé et qu'un script php remonte l'arborescence avec un simple "../tonsite" comme chemin d'accès, oui, il arrive chez toi.

        C'est à l'hébergeur à sécuriser tout cela. Entre autre avec le openbase_dir de php et interdire qu'un script de "monsite" puisse remonter dans l'arborescence.

        Note : je suis à mille lieux d'être expert en hébergement; je tenais juste à répondre à ta question.

        Bonne journée.
        Christophe (cavo789)
        Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
        Mes logiciels OpenSource : https://www.avonture.be

        Commentaire


        • #5
          Re : Site toujours piraté par pharma hack

          Merci pour vos réponses. Ca fait du bien d'être soutenu moralement...

          Je voulais dire que je n'ai rien repris de ce qui a été fait à l'origine sur le premier site.
          Des copiés/collés de texte où j'ai bien analysé le code source et des photos; c'est tout.

          A peine le site posé sur le serveur (2 jours)c'est dans le dossier media/...tiny_mce que j'ai vu apparaitre un fichier php/ircbot.dw qui est un virus. Dois-je en conclure que cette extension installée d'origine dans joomla 2.5 est vulnérable? Je ne crois pas vu le nombre d'utilisateurs de cet éditeur; tout le monde aurait mes pbs. C'est une des conséquences de l'attaque qui reste invisible dans les stats, et c'est là le pb.

          La reflexion de Cavo a propos d'openbase_dir est très intéressante car j'ai un autre site joomla au meme niveau de l'arborescence qui est lui aussi attaqué par le meme genre de bétiole mais sans aucune conséquence visible. Je ne m'en suis donc pas préoccupé.

          Je vais enquêter de ce coté là. Je suis peut etre le "voisin" malfaisant sans le savoir!

          cordialement

          Commentaire


          • #6
            Re : Site toujours piraté par pharma hack

            Envoyé par rescator Voir le message
            Je vais enquêter de ce coté là. Je suis peut etre le "voisin" malfaisant sans le savoir!


            Oui, cela peut être le cas mais si tu es sur un hébergeur de qualité, cela ne devrait pas arriver.

            Pour ton Joomla : installes-tu des extensions particulières qui pourraient être défaillantes ? Je ne te prête pas cette intention (c'est juste pour illustrer mon propos) : si tu installes un programme téléchargé sur un site de type warez; ne cherche plus.

            Pour tes extensions, vérifie sur le Vulnerable Extension List : http://vel.joomla.org/. Sont-ils repris ?

            Bonne chasse.
            Christophe (cavo789)
            Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Commentaire


            • #7
              Re : Site toujours piraté par pharma hack

              Je suis chez phpnet et à priori, pas de pbs.

              J'ai vérifié cette liste avant de me lancer dans le choix des extensions.
              En fait j'ai juste rajouté par rapport aux extensions d'origine de joomla 2.5:
              phocagallery v 3.2.6, qui à priori a réglé le pb des xss sur son script

              falang

              un template qui a l'air clean.

              et c'est tout!

              Ce qui est sidérant, c'est la vitesse à laquelle le bot m'aurait retrouvé vu que j'ai "anonymisé" le site le plus possible. C'est pourquoi l'hypothèse la plus probable est que , soit il y a une saloperie à la racine de mon site (que j'ai analysé), soit je me contamine moi-meme. (Antivirus pas assez performant?)

              Parmi les recommandations qu'on trouve sur internet certains préconisent de nettoyer le site sur un ordi non connecté à internet avant de l'uploader. Il y a peut etre une piste à explorer là?

              Commentaire


              • #8
                Re : Site toujours piraté par pharma hack

                "falang", tiens ça me dit quelque chose, peux-tu nous dire sur quel site tu as trouvé ce template?
                Christophe
                http://www.webcrea.fr

                Commentaire


                • #9
                  Re : Site toujours piraté par pharma hack

                  Falang? C'est pas un template. C'est l'extension qui a remplacé joomfish.
                  Module de traduction.

                  Commentaire


                  • #10
                    Re : Site toujours piraté par pharma hack

                    Salut
                    Rien n'est donc d'origine
                    Même tes accès ftp et bdd ?
                    Et es-tu certain que tes images ne contenais pas de virus ?
                    Formation Joomla agence internet https://www.stylitek.com
                    Melijoy création de site Joomla compétitif https://www.melijoy.fr
                    agence web spécialiste référencement http://www.agence-web-stylitek.fr

                    Commentaire


                    • #11
                      Re : Site toujours piraté par pharma hack

                      soit je me contamine moi-meme. (Antivirus pas assez performant?)
                      Un antivirus ne va pas forcement voir ce genre de danger.
                      Sur ton PC, si tu es sur PC, une analyse avec ADWCleaner donne quoi ?
                      Un message d’erreur sur votre site Joomla, consultez la base de connaissance https://kb.joomla.fr
                      ---
                      UP, un plugin "couteau suisse" à découvrir sur https//up.lomart.fr
                      bgMax
                      , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                      Commentaire


                      • #12
                        Re : Site toujours piraté par pharma hack

                        Tous les accès changés bien sûr après chaque attaque.

                        Comment savoir si une image jpg est vérolée? Elles s'affichent ttes normalement. L'antivirus dit rien.

                        Commentaire


                        • #13
                          Re : Site toujours piraté par pharma hack

                          Adccleaner et d'autres antimalwares ne signalent que des trucs mineurs et classiques.
                          Tous nettoyés très souvent.

                          Commentaire


                          • #14
                            Re : Site toujours piraté par pharma hack

                            Envoyé par rescator Voir le message
                            Bonjour

                            Je viens chercher de l'aide

                            J'avais un site sous joomla 1.5 qui était fréquemment piraté par le pharma hack.
                            Je me suis battu contre cette saloperie pendant des mois sans trouver de solution et j'ai donc décidé voilà qq jour de refaire intégralement le site sur joomla 2.5 et changer toutes les extensions.

                            Rien n'est donc d'origine sauf une galerie photos qui ne contenait que des photos en jpg et passée à l'antivirus.
                            Tous les dossiers était en chmod 555 et fichiers en 644. J'ai de plus installé crawlprotect.

                            Et deux jours après la mise en ligne ,le site est à nouveau hacké par le meme truc!
                            Avec les memes symptômes sur google et les memes fichiers rajoutés sur mon site.
                            Chose curieuse cette fois ; les chmod n'ont pas changé.

                            Je finis par me demander si ce n'est pas le serveur mutualisé qui est en cause.
                            Pensez-vous que l'on puisse etre infecté par un voisin?

                            Merci
                            Si on reprenait du début ton problème ?
                            Quel url?
                            Quel hébergeur ?
                            Quelle version 2.5 installée ensuite?
                            Comment as-tu procédé à l'install, as-tu bien supprimé tout ce qu'il y avait sur le serveur avant?
                            Une fois la ré-install faite, as-tu exporté ton ancien dossier images?
                            As-tu bien vérifié la galerie de photos?
                            Cette galerie, elle doit permettre l'export d'images sur le serveur peut-être même via le front, as-tu désactivé cette fonctionnalité?
                            Quelles extensions installées?
                            As-tu consulté les fichiers de logs?

                            A moins que la config de php est été mal faite, il y a peu de chance qu'un "voisin" puisse accéder à tes fichiers
                            Tu peux consulter cette config dans l'admin joomla.. en revanche, si l'accès root de l'hébergeur est connu du pirate, alors, il y a des chance pour que d'autres sites hébergés sur le même serveur soient aussi hackés et ça l'hébergeur ne l'avouera jamais.

                            Si le pirate accède toujours à ton site après mise à jour, c'est que son ou ses fichiers sont toujours présents sur le serveur. Tu auras beau exporter un joomla neuf, ils demeureront sur le serveur, ils ne seront pas écrasés puisqu'il n'existe pas dans le package joomla..
                            Christophe
                            http://www.webcrea.fr

                            Commentaire


                            • #15
                              Re : Site toujours piraté par pharma hack

                              La plupart des réponses sont dans ce fil de discussion.

                              La version de joomla 2.5.14 avec les extensions d'origine du package.
                              J'ai rajouté Phocagallery v 3.2.6 et Falang v 1.3.1

                              J'ai fabriqué le site en local et vérifié les photos de la galerie et tous les textes que j'ai copié/collé. (J'ai fait particulierement attention au code source qui comprend parfois des lignes cachées qd on est attaqué par le pharmahack)
                              Puis j'ai supprimé toutes les tables de ma base, et effacé le dossier qui contient le site par ftp.
                              Et j'ai uploadé le nouveau site avec sa galerie et installé les nouvelles tables. J'en ai profité pour changer les préfixes.
                              J'ai changé tous les mots de passe et identifiants.

                              Pour la galerie, je ne comprends pas ce que tu veux dire. Que les utilisateurs puissent uploader leurs photos? c'est non.
                              La galerie affiche des images et c'est tout. Aucun partage , aucun commentaire.

                              L'hébergeur c'est Phpnet.org
                              config php:
                              Open basedir (dossier limite d'arborescence) /home/users/m/xxxx/:/home/temporaire/upload:/tmp:/usr/local/lib/php/

                              J'ai consulté une petite partie des logs concernant la période durant laquelle je pense avoir été attaqué.... C'est des milliers de requetes opérées par des robots essentiellement. Quelques tentatives d'acces à l'admin. Et des lignes que je ne sais pas interpréter.
                              Si tu t'y connais, je peux t'envoyer qq exemples.

                              Voilà

                              cordialement

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X