Site joomla 2.5.6 piraté, redirections dans index.php

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site joomla 2.5.6 piraté, redirections dans index.php

    Bonjour,

    J’ai un site joomla 2.5.6 qui vient d’être piraté.

    Pour infos si d’autres utilisateurs joomla rencontraient la même mésaventure :

    Le site redirigeait vers des vidéos extrémistes sur youtube.
    L’ip du pirate est localisé à Téhéran mais bon ça peut venir de n’importe où.

    J’ai vérifié le htaccess : rien
    J’ai regardé le index.php : Tout le code était supprimé. Il restait une redirection simplement. J’ai remis un back up du index.php et le site était en ligne.

    J’ai vérifié les logs et j’ai vu une requête post suspecte.
    Elle appelait un fichier situé dans le dossier tmp.

    Dans ce fichier, j’ai trouvé ce fameux

    Code PHP:
    eval(base64_decode
    Le pirate a modifié toute les noms de users et les mots de passe dans la BDD. Ils étaient tous identiques.

    Première mesures d’urgence :
    Modification des passwords user de joomla,
    password sql,
    passwords ftp,
    passwords cpanel du serveur,
    hatpassword sur l’admin.

    Mais je ne sais pas encore comment il a pu placer ce fichier. D’ailleurs je me demande ce que ça fait si je le lance. Je ferais peut-être un test en local.

    C’est la première fois que je me fais piraté un joomla. J’ai déjà eu une mauvaise expérience avec un site ecommerce.

  • #2
    Re : Site joomla 2.5.6 piraté, redirections dans index.php

    Je vais installer crawl protect et JLSecure My Site sur les conseils vus sur le forum.

    Je cherche à comprendre par où est passé le pirate.

    Dans mes logs, je vois :

    41.141.223.75 - - [23/Sep/2012:15:11:54 +0100] "GET /tmp/r57.php HTTP/1.1" 200 62669 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1"
    Ici, on voit bien l'appel du fichier r57.php qui était dans le dossier tmp.

    La question, c'est de savoir comment ce fichier est arrivé là. Si vous avez un idées ?

    Ensuite, dans les logs, je vois des choses comme

    41.141.223.75 - - [23/Sep/2012:15:11:50 +0100] "GET /administrator/templates/bluestork/images/notice-alert.png HTTP/1.1" 200 892 "http://mon-site.fr/administrator/templates/bluestork/css/template.css" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1"
    Est ce que c'est normal ? J'ai l'impression qu'il y a beaucoup de lignes qui font références au template.

    Ensuite, je vois des choses comme ça :

    41.141.223.75 - - [23/Sep/2012:15:11:27 +0100] "POST /administrator/index.php?option=com_installer&view=update&task=up date.ajax HTTP/1.1" 200 1451 "http://mon-site.fr/administrator/index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1"

    41.141.223.75 - - [23/Sep/2012:15:11:45 +0100] "POST /administrator/index.php?option=com_installer&view=install HTTP/1.1" 303 - "http://mon-site.fr/administrator/index.php?option=com_installer" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1"

    41.141.223.75 - - [23/Sep/2012:15:11:49 +0100] "GET /administrator/index.php?option=com_installer&view=install HTTP/1.1" 200 21020 "http://mon-site.fr/administrator/index.php?option=com_installer" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1"
    Si vous avez des idées ou conseils ? Merci !

    Commentaire

    Annonce

    Réduire
    Aucune annonce pour le moment.

    Partenaire de l'association

    Réduire

    Hébergeur Web PlanetHoster
    Travaille ...
    X