Site piraté

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site piraté

    Bonjour à tous,

    Je vous situe rapidement la situation.

    Je suis informaticien mais hardware / software. Si je connais grosso modo les sites Internet, je suis loin d'en être un pro surtout avec Joomla où je dois bien avouer ne pas me retrouver.

    Une cliente m'a contacté pour son site (Joomla 2.5) qui a été piraté.

    J'ai commencé à faire un peu de ménage mais je ne sais où aller pour corriger les pbs.

    Alors le site :

    http://www.leboudoir-esthetique.com/

    Attention certaines pages sont à nouveau infectées.

    J'ai également vu ça :

    http://sitecheck2.sucuri.net/results...esthetique.com

    Cependant je ne sais où se trouvent les fichiers à nettoyer.

    Pour ce que j'en sais, c'est un site qui a été créé il y a un moment et pour tout ce que j'ai pu voir par ci par là, aucune réelle sécurité n'a été implémentée.

    Je suis preneur de toute information / conseil / procédure.

    Merci par avance

  • #2
    Re : Site piraté

    Bonjour et bienvenue sur le forum.
    Au vu des résultats de sucuri.net il y a deux malwares qui infectent le site.
    Pour l'un (le premier cité), il faut chercher dans l'index.php du template, et éventuellement dans l'index.php à la racine. pour l'autre même punition même motif, mais en plus il peut y avoir des lignes dans le fichier .htaccess (voir les explications détaillées pour chacun des deux). La première chose à faire est donc de nettoyer tout ça, mais il va aussi falloir protéger le site, et pour cela tu peux utiliser aesecure, qui permet une bonne protection même dans sa version de base. Il faudra aussi mettre à jour Joomla vers sa dernière version, ainsi que toutes les extensions utilisées.
    Je suppose qu'il n'y a pas de sauvegardes régulières du site ? Donc installe AkkebaBackup, et fais une sauvegarde avant de faire quoi que ce soit d'autre. L'idéal serait de faire une install locale du site sauvegardé, et de travailler sur le site local, puis de renvoyer la version corrigée et mise jour en lieu et place de la version vérolée.
    Par prudence il faut aussi envisager un changement de tous les mots de passe : administrateur, ftp, Mysql principalement.
    Dernière édition par lesoutier à 25/03/2014, 16h24
    Connaissez-vous la loi de Murphy ? Appliquée à Joomla elle pourrait s'énoncer ainsi :
    C'est toujours lorsqu'on n'a pas pris le temps de faire une sauvegarde que les problèmes surgissent et s'enchainent.
    Moralité : faites des sauvegardes, elles vous paraitront peut-être superflues mais elles ne sont jamais inutiles.

    Commentaire


    • #3
      Re : Site piraté

      Quand ton site est déjà "contaminé", le nettoyage n'est pas simple. Si tu as une sauvegarde saine et récente, c'est toujours la manière la plus efficace de remonter son site.

      Si tu n'en as pas ou une ancienne, il te faudra t'armer de courage. Quelques pistes pour prendre le taureau par les cornes : http://aesecure.com/fr/blog/site-hacke.html.

      Bon courage.
      Christophe (cavo789)
      Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

      Commentaire


      • #4
        Re : Site piraté

        Je vous remercie pour vos réponses.

        La première chose que j'ai faite fut effectivement de modifier les logins / mot de passe.

        Effectivement en recherchant par ci par là aucune mais vraiment aucune sécurité n'a été prévue.

        Je n'ai pas à disposition de backup sain. Je demanderai mais je doute qu'elle en est.

        A la racine, tu entends bien dans le dossier racine /?

        Dès que j'ai un moment je ferai tout ça et vous tiendrai informé.

        Commentaire


        • #5
          Re : Site piraté

          A la racine, tu entends bien dans le dossier racine /?
          Je parle très exactement de la racine du site, donc le répertoire où tu retrouves entre autres les fichiers index.php et configuration.php.
          Connaissez-vous la loi de Murphy ? Appliquée à Joomla elle pourrait s'énoncer ainsi :
          C'est toujours lorsqu'on n'a pas pris le temps de faire une sauvegarde que les problèmes surgissent et s'enchainent.
          Moralité : faites des sauvegardes, elles vous paraitront peut-être superflues mais elles ne sont jamais inutiles.

          Commentaire


          • #6
            Re : Site piraté

            Oui je préférai être sûr car sur l'index.php de la racine, je n'y vois aucun code malicieux.

            Quand au dossier template, j'en vois deux sur le serveur ("template" et "Template").

            Il n'y qu'un index.html vide dans chaque. Il y avait également d'autres fichiers .php avec clairement du code malicieux car les noms et les fonctions étaient générées aléatoirement.

            Existe-t-il un logiciel permettant de charger l'intégralité du site Joomla (je pense à Dreamweaver par ex).

            Ma cliente m'a dit qu'en fait elle avait le site elle-même et donc rien prévu en sécurité.

            Je me demandais si finalement je ne pourrai pas repartir sur un site neuf et remplacer l'ensemble du site par un nouveau.

            A ce sujet, pas mal de dossier et de fichiers sont bloqués en écriture. Le chmod 755 ne passe pas sur eux. Un moyen de récupérer la main sur l'intégralité de ces dossiers?

            Commentaire


            • #7
              Re : Site piraté

              Bonjour,

              Envoyé par Goulamass Voir le message
              Effectivement en recherchant par ci par là aucune mais vraiment aucune sécurité n'a été prévue.

              Je n'ai pas à disposition de backup sain. Je demanderai mais je doute qu'elle en est.

              Si ta cliente ne faisait pas de backup, il est possible, voire probable que l'hébergeur lui en faisait, si la date d'infection n'est pas trop ancienne, il est possible qu'il y ait une version saine encore accessible auprès de l'hébergeur.
              Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

              Commentaire


              • #8
                Re : Site piraté

                Hum je ne peux modifier l'accès du ftp et des nouveaux fichiers type veni-vidi-vici et hehe .php apparaissent.

                Pourtant sur l'admin du site j'ai bien changé lgin et mot de passe.

                Cependant "activer ftp" est sur non et pas moyen de le basculer sur oui.

                Message d'erreur : "JFTP: :connect : impossible de se connecter à l'hôte 'xxx' sur le port ' 21 '.

                Il y a un autre endroit où modifier l'accès au ftp?

                Commentaire


                • #9
                  Re : Site piraté

                  Accès FTP via Configuration onglet Site ?

                  non, non pas la peine d'y toucher, c'est uniquement prévu pour les transferts FTP gérer par Joomla et déconseillé (surtout avec un site piraté)
                  Si tu veux te connecter au site via FTP, il faut utiliser un client FTP autre (Filezilla) ou un FTP sécurisé (certains hébergeurs en proposent de base)
                  Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                  Commentaire


                  • #10
                    Re : Site piraté

                    J'utilise Filezilla depuis le début.

                    Je cherche à modifier les accès ftp.

                    Depuis l'administration du site, j'ai beau changer cela n'influe pas les accès.

                    Pourtant dans le fichier de conf, je vois bien les nouveaux paramètres enregistrés

                    public $ftp_host = '***';
                    public $ftp_port = '21';
                    public $ftp_user = '***';
                    public $ftp_pass = '***';
                    public $ftp_root = '/';
                    public $ftp_enable = '0';

                    Je ne comprends pas pourquoi seul l'ancien accès fonctionne.

                    Edit => C'est bon j'ai récup et modifier tous les accès (admin du site, ftp et hébergeur).

                    Me reste qu'à récup le chmod 755 sur les dossiers, sécuriser le code et mettre en place les procédures que vous m'avez données.
                    Dernière édition par Goulamass à 28/03/2014, 15h57

                    Commentaire


                    • #11
                      Re : Site piraté

                      Je ne comprends pas pourquoi seul l'ancien accès fonctionne.
                      Tout simplement parce que la configuration ftp à l'intérieur de Joomla n'a rien à voir avec Filezilla. Comme te l'a indiqué PieceOfCake le paramétrage ftp dans Joomla ne sert à rien dans la plupart des cas, il est même souvent plus génant qu'autre chose.
                      Connaissez-vous la loi de Murphy ? Appliquée à Joomla elle pourrait s'énoncer ainsi :
                      C'est toujours lorsqu'on n'a pas pris le temps de faire une sauvegarde que les problèmes surgissent et s'enchainent.
                      Moralité : faites des sauvegardes, elles vous paraitront peut-être superflues mais elles ne sont jamais inutiles.

                      Commentaire


                      • #12
                        Re : Site piraté

                        Oui oui j'ai compris et mis dans mon dernier post (sans celui là)

                        Pour le chmod j'ai compris également que par sécurité, certains fichiers de joomla étaient protégés.

                        Reste donc que le nettoyage et la mise en place de sécurité.

                        Mais j'ai un doute, Joomla fonctionne par fichiers (type index.php) ou par base de données mysql? Dans ce dernier cas, me faudrait aussi modifier l'accès à la base mysql?

                        Commentaire


                        • #13
                          Re : Site piraté

                          Essaye quand même de jeter un oeil sur les principes de base ça va te simplifier la vie (à nous aussi accessoirement ) :
                          http://kiwik.net/joomla/livres-joomla tu y trouveras en ligne les infos à jour sur la version 2.5 et sur la version 3, au moins le principe de fonctionnement pour faciliter la conversation
                          Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins
                          Travaille ...
                          X