Tweet
Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...
Historique de mon problème (qui peut servir à d’autres)
Sur un site Joomla 1.5.23 (à jour à ce moment là) hébergé par 1and1 on détecte il y a 10 jours un gros problème :
le site est accessible normalement par son adresse url, mais en faisant une recherche via Google, le site est inaccessible et l’antivirus s’affole : AvastPro signale une tentative de malveillance.
Je m'aperçois qu’une injection de code a été opérée dans de nombreux fichiers php avec un code ressemblant à ça : “eval(base64_decode("ZXJyb3Jf... “
Après avoir fouillé, cherché, comme le site avait un certain nombre de modules et composants divers et variés inutilisés je refais une installation propre à partir d’une sauvegarde ancienne et nettoie les extensions en ne conservant que les composants sûrs qui ne font pas partie de la liste des extentions vulnérables.
On en profite pour changer le mot de passe de la base, de l’accès ftp (on pensait que filezilla pouvait être en cause pour l’avoir vu dans certains posts).
On fait une demande de réindexation auprès de Google pensant que le problème était réglé.
Deux jours après le code malveillant réaparait.
On décide de passer le site sur la dernière version de joomla : la 1.7.2
On utilise pour cela un composant payant mais efficace : spupgrade
Donc on résume :
l’installation de Joomla 1.7.2 est propre, à jour avec de nouveaux mots de passe pour la base, pour filezilla; il y a à l’intérieur sh404SEF (avec son système de surveillance) entre temps j’ai même changé d’ordinateur (un tout beau tout neuf) (c’était un concours de circonstance, mais je me suis dit au cas où j’aurais un espion à l’intérieur de l’ancien)
Après beaucoup d’heures de travail dès le lendemain (c’est à dire hier) le code malveillant réapparaît : près de 700 fichiers infectés trouvés par prgrep.
Après de nouvelles recherches, j'ai trouvé ce lien :
Cela ne viendrai donc peut-être pas de filezilla.
J’ai donc repris la sauvegarde faite du site en joomla 1.7.2 avant que le code ne réapararaisse, j’ai réinstallé sur une nouvelle base, nouvel accès ftp et suivi les instructions du lien ci-dessus et mis le fichier php.ini recommandé à la base du site.
Par ailleurs pour qu'il soit placé partout j'ai mis également un script nommé phpini.php après avoir suivi les instructions de 1and1 ici :
A l’heure ou j’écris ce post j’ai rétablit la situation mais :
- 1 je ne sais toujours pas comment et par quoi le piratage est arrivé ?
- 2 je ne sais toujours pas si le site est bien protégé...
- 3 je ne connais pas la motivation des hackers et les conséquences de l'alerte de malveillance si je n'avais pas de protection...
Si vous avez des réponses...
Sur un site Joomla 1.5.23 (à jour à ce moment là) hébergé par 1and1 on détecte il y a 10 jours un gros problème :
le site est accessible normalement par son adresse url, mais en faisant une recherche via Google, le site est inaccessible et l’antivirus s’affole : AvastPro signale une tentative de malveillance.
Je m'aperçois qu’une injection de code a été opérée dans de nombreux fichiers php avec un code ressemblant à ça : “eval(base64_decode("ZXJyb3Jf... “
Après avoir fouillé, cherché, comme le site avait un certain nombre de modules et composants divers et variés inutilisés je refais une installation propre à partir d’une sauvegarde ancienne et nettoie les extensions en ne conservant que les composants sûrs qui ne font pas partie de la liste des extentions vulnérables.
On en profite pour changer le mot de passe de la base, de l’accès ftp (on pensait que filezilla pouvait être en cause pour l’avoir vu dans certains posts).
On fait une demande de réindexation auprès de Google pensant que le problème était réglé.
Deux jours après le code malveillant réaparait.
On décide de passer le site sur la dernière version de joomla : la 1.7.2
On utilise pour cela un composant payant mais efficace : spupgrade
Donc on résume :
l’installation de Joomla 1.7.2 est propre, à jour avec de nouveaux mots de passe pour la base, pour filezilla; il y a à l’intérieur sh404SEF (avec son système de surveillance) entre temps j’ai même changé d’ordinateur (un tout beau tout neuf) (c’était un concours de circonstance, mais je me suis dit au cas où j’aurais un espion à l’intérieur de l’ancien)
Après beaucoup d’heures de travail dès le lendemain (c’est à dire hier) le code malveillant réapparaît : près de 700 fichiers infectés trouvés par prgrep.
Après de nouvelles recherches, j'ai trouvé ce lien :
Cela ne viendrai donc peut-être pas de filezilla.
J’ai donc repris la sauvegarde faite du site en joomla 1.7.2 avant que le code ne réapararaisse, j’ai réinstallé sur une nouvelle base, nouvel accès ftp et suivi les instructions du lien ci-dessus et mis le fichier php.ini recommandé à la base du site.
Par ailleurs pour qu'il soit placé partout j'ai mis également un script nommé phpini.php après avoir suivi les instructions de 1and1 ici :
A l’heure ou j’écris ce post j’ai rétablit la situation mais :
- 1 je ne sais toujours pas comment et par quoi le piratage est arrivé ?
- 2 je ne sais toujours pas si le site est bien protégé...
- 3 je ne connais pas la motivation des hackers et les conséquences de l'alerte de malveillance si je n'avais pas de protection...
Si vous avez des réponses...
Commentaire