SIte hacker

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • SIte hacker

    Bonjour,

    J'ai un site internet développé en Joomla 2.5 pour mon activité de chambres d'hôtes. Actuellement je suis en Joomla 2.5.18.
    J'utilise le composant RSform!Pro pour gérer les contacts avec les clients. Lorsque quelqu'un veut avoir des renseignements ou réserver des chambres, il remplit le formulaire RSform!Pro et nous lui envoyons automatiquement un email l'informant que nous avons bien reçu sa demande.
    La nuit dernière, plus de 8.000 emails ont été envoyé automatiquement via l'accès RSform!Pro.
    Mon site est hébergé chez OVH.
    OVH a immédiatement bloqué l'accès du site.
    Je ne peux même plus accéder à l'administration du site.
    Le blocage sera supprimé par OVH quand j'aurai résolu le problème.
    comment puis-je faire ?
    Merci par avance pour les réponses que vous pourrez m'envoyer.

  • #2
    Re : SIte hacker

    Hello jp27,
    C'est sûr ça fout les boul... !

    J'ai eu un coup dans ce goût là mais sur un site perso, voici
    ce qui m'a considérablement aidé
    => Lire ceci (excellent !) http://allevents.avonture.be/fr/joomla-security.html

    Repartir d'une sauvegarde saine, si elle existe en local,
    appliquer au mieux les mesures décrites dans le document (lien ci-dessus),

    Changer tous les mots de passe, revoir les .htaccess ...

    Effacer tout sur le serveur et restaurer la nouvelle version "blindée"

    Voilà en rapide ce qui a marché pour moi, je vais laisser maintenant les spécialistes s'exprimer.
    Solidaire avec les dinosaures

    Commentaire


    • #3
      Re : Site hacké

      Merci pour cette réponse.

      Malheureusement, on croit toujours être à l'abri et je n'ai pas de sauvegarde récente.

      Je ne sais pas quoi faire !!

      Commentaire


      • #4
        Re : SIte hacker

        Bonjour

        Si ton site est bloqué (=> plus accès à une url), une seule possibilité : tu le récupères par FTP, tu montes un serveur web local (EasyPhp, Wamp, ...) et puis tu scannes les fichiers à la recherche de la bestiole.

        Il existe des scripts php pour scanner comme p.ex. JAMSS.

        Tu peux aussi utiliser Notepad++ ou d'autres logiciels de ce type pour rechercher des chaînes de caractères précises dans les fichiers.

        Remarque : 9 fois sur 10, l'infection se trouve dans un fichier index.php; soit à la racine du site soit dans le dossier /templates/ton_template.
        Christophe (cavo789)
        Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

        Commentaire


        • #5
          Re : SIte hacker

          Je tombe juste sur cet article : http://korben.info/filesearchy-outil...s-windows.html

          A lire la description, cela semble être un outil assez sympa pour rechercher des patterns dans les fichiers php du site (local) ... pour autant qu'on sache quoi chercher.


          [Edit]Je viens de l'installer (version free) et il est diablement rapide! Reste qu'il faut d'abord savoir quoi chercher...[/Edit]
          Dernière édition par cavo789 à 11/02/2014, 14h05
          Christophe (cavo789)
          Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

          Commentaire


          • #6
            Re : Site hacké

            Aussi déjà rechercher sur la date et heure de création / mise à jour des fichiers
            sur le serveur.

            Si accés ssh coté serveur, regarder du coté script pour parcourir tous les répertoires
            et ressortir une liste ...
            Du coté donc de allevents / cavo789, j'avais trouvé par la doc, un script qui faisait ce travail,
            il suffit de le récupérer, puis le mettre sur le serveur et l'exécuter ou demander à OVH de
            l'exécuter et renvoyer les résultats par exemple, ça sera un bon point de départ à mon avis !?

            =>
            /*
            Donne la liste des derniers fichiers créés ET modifiés.
            Très utile en cas de piratage pour savoir quels fichiers sont ajoutés et ceux qui ont été modifiés. Utile pour comprendre le comportement d'un script ou d'un CMS et voir quels fichiers ont été manipulés.

            Mettez ce script dans votre hébergement, ouvrez-le avec votre navigateur web, donnez le nombre de jours représentant la période à vérifier, puis le nom du dossier à analyser.
            Ce script ne va donner la liste que des dossiers à partir du chemin /home/votreloginftp/www/ de votre hébergement.

            Crédits: Les 4/5 du code sont l'oeuvre de Linda MacPhee-Cobb (http://timestocome.com)
            */


            Solidaire avec les dinosaures

            Commentaire


            • #7
              Re : Site hacké

              J'ai découvert ces deux fichiers .fantasticodata et .sqmaildata à la racine du site.
              Je les ai enlevé et le site a été débloqué par OVH pour être réactivé.
              Merci pour vos aides.

              Commentaire


              • #8
                Re : SIte hacker

                Ces fichiers se nomment exactement comme tu l'as mentionné ci-dessus ? ==> ce ne sont pas des scripts exécutables ====> la bestiole est toujours présente.

                Ton travail de nettoyage ne fait que commencer... Utilise un script qui permet de scanner la liste des fichiers ayant été modifiés récemment pour tenter de mettre le doigt sur des fichiers virusés.
                Christophe (cavo789)
                Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                Commentaire


                • #9
                  Re : SIte hacker

                  Merci pour l'info.
                  Je ne suis pas expert dans ce domaine.
                  Quel script je peux utiliser pour scanner les fichiers ?
                  Y a t'il un logiciel qui peut analyser le contenu des fichiers pour trouver l'intrus ?

                  Commentaire


                  • #10
                    Re : SIte hacker

                    Dans la doc http://allevents.avonture.be/fr/joomla-security.html

                    Voir le script ici
                    =>
                    http://ralph.davidovits.net/internet...html#fichmodif
                    Solidaire avec les dinosaures

                    Commentaire


                    • #11
                      Re : SIte hacker

                      J'ai copié le script dans un fichier test et je l'ai installé à la racine www
                      Je ne comprends pas comment je peux l'exécuter ?

                      Commentaire


                      • #12
                        Re : SIte hacker

                        Envoyé par jp27 Voir le message
                        J'ai copié le script dans un fichier test et je l'ai installé à la racine www
                        Je ne comprends pas comment je peux l'exécuter ?
                        il faut qu'il s'appelle test.php
                        Pour l'exécuter http://www . monsite . com / test . php
                        Solidaire avec les dinosaures

                        Commentaire


                        • #13
                          Re : SIte hacker

                          Bonjour,

                          J'ai appliqué les recommandations. J'ai vu les fichiers qui ont été modifiés. J'étais en version Joomla 2.5.17, j'ai ensuite appliqué la mise à jour 2.5.18, ainsi que la dernière mise à jour sur le module RSform!Pro que j'utilise. J'ai refais un test des fichiers changés et j'ai pu constaté que ca a remplacé tous les fichiers qui avaient été modifiés juste avant.

                          Tout semble en ordre maintenant.

                          Grand merci pour l'aide.

                          Commentaire


                          • #14
                            Re : SIte hacker



                            Dernière étape; importante : prends un backup de ton site; télécharge-le et fais une restauration en local pour garantir que ton backup est fonctionnel.

                            A la prochaine alerte, tu auras donc un backup jugé sain et tu pourras p.ex. comparer ton site ayant été à nouveau virusé avec ton archive saine et identifier immédiatement et facilement les fichiers modifiés sur ta production.

                            Bonne journée.
                            Christophe (cavo789)
                            Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                            Commentaire


                            • #15
                              Re : SIte hacker

                              Le Backup est fait. Tout est en ordre,

                              Merci

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X