Piratage d'un site Web ?

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Piratage d'un site Web ?

    Bonjour,

    Je viens vers la communauté Joomla car j'ai depuis plusieurs jours déja un problème avec un site web sous joomla (mes excuses si le problème a déja été posé, mes mes recherches n'ont rien donné )

    J'ai un site web sous joomla 2.5.28 (malheureusement non encore mis à jour vers la version 3) chez OVH qui depuis plusieurs jours est injoignable. L'accès à la page du site n'affiche rien, le sablier tourne sans arrêt, je n'ai non plus pas accès à la page d'administration joomla.

    J'ai appelé le support OVH qui m'a dit que mon site a été piraté par des hackers d' Ukraine, sans me dire réellement comment ils ont pu savoir ça

    Après insistance de ma part ils m'annoncent qu'il y aurait de nombreuses connexions sortantes émanant de mon site web vers l'ukraine qui provoquent de nombreux temps de latences. Voici en gros leurs commentaires :

    Monsieur,

    je fais suite à notre conversation téléphonique de ce jour,

    voici le lien d'accés pour visonnez les connexions sortantes effectuée depuis votre hébergement et qui entrainent des latences sur votre site :

    http://logs.ovh.net/xxxx.fr/osl/out/...28-12-2015.log

    Si vous ne parvenez pas à accéder à cette URL, vous trouverez en pièce jointe un fichier texte avec le log des connexion sortantes d'aujourd'hui.

    Je reste à votre disposition pour toute demande complémentaire.

    Cordialement,

    xxxx
    Conseiller WEB


    Ils me disent avoir peut être installé un module qui fait des requêtes vers ces adresses ip, alors que cela fait des mois que je n'ai rien installé sur le site . Voici ci-dessus un extrait de leur logs qu'il m'ont envoyés sur lequel on peut voir ces ip :

    [2015 Dec 28 02:23:26] [2305342.010151] TCP:42503 => 198.232.124.192:80
    [2015 Dec 28 02:23:26] [2305342.205841] TCP:42505 => 198.232.124.192:80
    [2015 Dec 28 02:23:26] [2305342.222311] TCP:42506 => 198.232.124.192:80
    [2015 Dec 28 02:23:27] [2305342.755014] TCP:39594 => 188.94.248.159:80
    [2015 Dec 28 02:23:27] [2305342.860847] TCP:36678 => 95.110.228.148:80
    [2015 Dec 28 02:23:27] [2305342.925146] TCP:42512 => 198.232.124.192:80
    [2015 Dec 28 02:23:28] [2305343.554235] TCP:60544 => 72.249.159.54:80
    [2015 Dec 28 02:23:28] [2305344.057969] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:29] [2305345.057308] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:31] [2305347.060837] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:35] [2305351.067921] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:43] [2305359.090116] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:50] [2305365.743837] TCP:42608 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305365.782429] TCP:42609 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305365.799026] TCP:42610 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305366.200981] TCP:39696 => 188.94.248.159:80
    [2015 Dec 28 02:23:50] [2305366.265519] TCP:36781 => 95.110.228.148:80
    [2015 Dec 28 02:23:50] [2305366.326422] TCP:42615 => 198.232.124.192:80
    [2015 Dec 28 02:23:51] [2305366.674532] TCP:60644 => 72.249.159.54:80
    [2015 Dec 28 02:23:51] [2305367.168294] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:52] [2305368.168012] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:54] [2305370.171561] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:58] [2305374.174632] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:59] [2305375.118411] TCP:49883 => 193.169.189.135:80


    Ma question est :

    - Comment puis-je récupérer mon site tout en sachant que je n'y ai plus accès ?
    - Y a t'il moyen par ftp de récupérer ma page d'accueil et d'administration par ftp, si oui comment ?

    Si l'un de vous pouvait m'aider à sortir de ce pétrin je luis serais très reconnaissant.

    Pour information j'ai fait une restauration du site sur une version datant de 2 semaines à partir des sauvegardes d'OVH (sur leur conseils) mais cela n'a rien donné

    Merci d'avance pour votre aide

    Therion

  • #2
    Re : Piratage d'un site Web ?

    Salut,

    si tu as un accès FTP essaye ça :

    http://www.aesecure.com/fr/blog/site-hacke.html

    http://www.aesecure.com/fr/blog/aese....html#download

    tu as des accès de démo si tu veux tester avant.

    A+
    Site d'entraide pour les utilisateur francophones de la CRM Vtiger https://aide-crm-vt.fr/
    Pour des extensions au top : http://joomlack.fr
    Pour la sécurité et l'optimisation : http://www.aesecure.com/ <--- Incontournable !
    Pour des petites choses sympa : http://lomart.fr

    Commentaire


    • #3
      Re : Piratage d'un site Web ?

      Envoyé par Casper17 Voir le message
      Salut,

      si tu as un accès FTP essaye ça :

      http://www.aesecure.com/fr/blog/site-hacke.html

      http://www.aesecure.com/fr/blog/aese....html#download

      tu as des accès de démo si tu veux tester avant.

      A+
      Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
      Par ftp sous le dossier /www/logs j'ai trouvé le fichier logs que je joint et qui semble surprenant. Quelqu'un peut t'il m'aider à l'interpréter ?

      Merci encore
      Fichiers joints

      Commentaire


      • #4
        Re : Piratage d'un site Web ?

        Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
        tu as quoi ? une page blanche ?
        Site d'entraide pour les utilisateur francophones de la CRM Vtiger https://aide-crm-vt.fr/
        Pour des extensions au top : http://joomlack.fr
        Pour la sécurité et l'optimisation : http://www.aesecure.com/ <--- Incontournable !
        Pour des petites choses sympa : http://lomart.fr

        Commentaire


        • #5
          Re : Piratage d'un site Web ?

          Bonjour

          Envoyé par Therion Voir le message
          - Comment puis-je récupérer mon site tout en sachant que je n'y ai plus accès ?
          Si tu as un backup récent et sain (je pense à un fichier JPA), tu pourrais installer ce backup sur ta machine locale (càd installer un programme comme EasyPHP ou WAMP ou MAMP (si Mac)). Tu aurais ton site en localhost et tu pourrais le scanner pour vérifier s'il est propre. Si oui, tu pourrais alors supprimer ton site distant (via FTP) et remonter ton archive.

          Tu n'as plus accès ? Il faut demander à OVH de réouvrir l'accès pour ton IP; le temps que tu fasses le travail.
          Voir aussi si tu n'as pas simplement un blocage réalisé au travers du fichier .htaccess.

          Envoyé par Therion Voir le message
          - Y a t'il moyen par ftp de récupérer ma page d'accueil et d'administration par ftp, si oui comment ?
          J'ai partiellement répondu ci-dessus. Ton site web peut être bloqué mais pas ton FTP. Si tu as un backup, c'est bon, récupère-le.
          Si tu n'en as pas; télécharge les fichiers par ton FTP; nettoie les fichiers du site et reproduit ces corrections sur ton site distant. Le faire manuellement sera un long travail mais, si tu le fais par toi-même, tu n'auras pas d'autres possibilités.

          Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
          Si ton hébergeur a coupé ton accès web, c'est logique que plus rien ne se lance. Sinon, tente toujours de renommer ton .htaccess en old.htaccess et réessaye. Je vois que tu utilises AdminTools : ce composant va bloquer l'exécution de tout scripts non "whitelisté"; renommer .htaccess est ici une solution pour lever ce blocage.

          Bonne journée et bon nettoyage.
          Christophe (cavo789)
          Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

          Commentaire


          • #6
            Re : Piratage d'un site Web ?

            Envoyé par Casper17 Voir le message
            tu as quoi ? une page blanche ?
            Un ami qui a essayé de se connecter sur le site m'a dit avoir une page blanche. Moi je n'ai pas attendu jusque là, tellement ça rame

            Commentaire


            • #7
              Re : Piratage d'un site Web ?

              @Casper 17

              J'ai pas de backup, j'ai deja essayé avec celui d'OVH datant d'il y a deux semaines sans succès. Le renommage du .htaccess n'a rien donné non plus.
              je vais voir avec OVH comme tu dis A suivre, ceci dit je suis toujours tout ouie à toute aide

              Commentaire


              • #8
                Re : Piratage d'un site Web ?

                Sachant que c'est OVH, il te faut réactiver les chmods de ton site (755); voir cette FAQ : https://www.ovh.com/fr/g1392.procedu...eture-hack-ovh

                Tant que ce n'est pas fait, ton site est dans un état "non-exécutable".

                Bonne soirée.
                Christophe (cavo789)
                Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                Commentaire


                • #9
                  Re : Piratage d'un site Web ?

                  Envoyé par cavo789 Voir le message
                  Sachant que c'est OVH, il te faut réactiver les chmods de ton site (755); voir cette FAQ : https://www.ovh.com/fr/g1392.procedu...eture-hack-ovh

                  Tant que ce n'est pas fait, ton site est dans un état "non-exécutable".

                  Bonne soirée.
                  Bonjour

                  Merci encore pour la réponse. Je suis en train d'analyser tout cela et lire attentivement les recommandations issues du lien que tu m'as fourni.
                  Je joins un nouveau fichier d'erreur web récupéré chez OVH, si ça peut aider... Après lecture ils disent ceci : Prêtez plutôt attention aux requêtes de type POST, qui sont la principale source de hack ;
                  Sur le fichier joint je n'ai vu qu'une seule requete POST qui est celle-ci "POST /libraries/joomla/exporter.php HTTP/1.1" 404 227. J'ai recherché le fichier exporter.php à l'endroit indiqué, il n'existe pas
                  A suivre donc
                  Fichiers joints

                  Commentaire


                  • #10
                    Re : Piratage d'un site Web ?

                    Bonjour

                    Le log d'erreur ne sert strictement à rien pour débusquer les fichiers hackés. Au mieux, c'est le log des accès mais difficile de s'y retrouver dans les milliers de lignes de ce dernier et, de plus, une requête vers le fichier index.php n'est pas malsain et pourtant index.php pourrait être vérolé.

                    Selon moi, la seule bonne méthode de nettoyer est :

                    * soit tu as un backup sain et tu le remontes
                    * soit tu fais le ménage manuellement : en local, tu télécharges ton site (akeeba backup & kickstart), tu le restaures et tu supprimes 100% des dossiers de Joomla pour ne garder que /images et /media. Pour les dossiers supprimés, tu réinstalles Joomla et tu réinstalles 100% des extensions, templates, modules, ... que tu avais (tu le comprendras vite, c'est un travail conséquent) et, enfin, tu scrutes /images et /media à la recherche de virus (fichiers .php).
                    * soit tu fais appel à un pro

                    Dans les trois cas, il faut ensuite sécuriser le site pour qu'un hack ne puisse plus se produire : être à jour pour ton Joomla, tes extensions, templates, ... et faire le ménage (virer tout ce que tu n'utilises pas).

                    Sur mon site, tu peux trouver différents documents comme une présentation comme celle de la sécurité des sites Joomla (http://www.aesecure.com/fr/blog/joomla-securite.html), un tutoriel pour nettoyer ton site (http://www.aesecure.com/fr/blog/site-hacke.html) et un scanner gratuit pour p.ex. scanner tes dossiers /images et /media.

                    Bonne journée et bonne chasse aux virus.
                    Christophe (cavo789)
                    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                    Commentaire


                    • #11
                      Re : Piratage d'un site Web ?

                      @Cavo789

                      Merci pour toutes ces infos, ton site est très intéressant je suis en train de le lire avec intérêt. Je vais déjà essayer de trouver akeeba backup et kickstart pour une sauvegarde manuelle car je n'ai pas de sauvegarde, si tu connais une documentation simple rapide d'utilisation de ces deux outils je suis preneur. Je vais déja les télécharger et voir ce que je peux en tirer.

                      Pour info, apparemment le site n'était pas (ou n'est pas) fermé par OVH, les droits était toujours à 705

                      Le message d'erreur renvoyé par la page après une longue attente est "La connexion a été réinitialisée : La connexion avec le serveur a été réinitialisée pendant le chargement de la page.

                      Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus tard ;
                      Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion au réseau de votre ordinateur ;
                      Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy, assurez-vous que Firefox est autorisé à accéder au Web.


                      Bonne journée
                      Dernière édition par Therion à 31/12/2015, 08h35

                      Commentaire


                      • #12
                        Re : Piratage d'un site Web ?

                        Bonjour

                        Voici le meilleur tuto franchophone : http://cinnk.com/joomla/3/le-livre-p...placer-un-site

                        Pour OVH, leur robot passe et repasse sur ton site. Si tu l'ouvres à nouveau, le robot peut le refermer encore s'il détecte toujours la trace de virus.

                        Bonne journée.
                        Christophe (cavo789)
                        Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                        Commentaire


                        • #13
                          Re : Piratage d'un site Web ?

                          Ce matin le site refonctionne tout seul sans que je n'ai eu rien à faire Je ne comprends plus rien. Etait ce vraiment un piratage ou c'est OVH qui a mal géré quelque chose ? Dans tous les j'essaye d'exécuter "aesecure_quick_scan.php" qui est dans /www pour vérification mais une page blanche est affichée

                          Bonne année 2016 à vous et merci encore pour votre aide

                          Commentaire


                          • #14
                            Re : Piratage d'un site Web ?

                            J'ai re-telechargé le fichier et ça marche. Scan OK, pas de problème trouvé ? Allez savoir Je continue mes investigations car je trouve que le site ait été plusieurs bloqué pour des problèmes de timeout, sans message particulier, et OVH qui dit le site hacké sans preuve particulière sur le fait qu'il y a des connexions vers l'Ukraine. Ils ont peut être raison mais c'est tout aussi bizarre que le site s'est mis à refonctionner tout seul sans une seule action de ma part. Je fais de suite avec Akeeba une sauvegarde complète.

                            A suivre donc

                            Encore bonne année à vous.

                            Commentaire


                            • #15
                              Re : Piratage d'un site Web ?

                              @Therion : quelle version d'aeSecure QuickScan utilises-tu ? Si c'est la 1.1.3, cela m'intéresse de pouvoir jeter un oeil à ton site afin que j'analyse la cause de la page blanche. Si cela te convient, envoie-moi par MP un accès FTP à ton site ainsi que son URL. Je me connecterai et je tâcherai de comprendre l'origine de la page blanche.

                              Bonne journée.
                              Christophe (cavo789)
                              Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X