Tweet
Bonjour,
J’ai un site joomla 2.5.6 qui vient d’être piraté.
Pour infos si d’autres utilisateurs joomla rencontraient la même mésaventure :
Le site redirigeait vers des vidéos extrémistes sur youtube.
L’ip du pirate est localisé à Téhéran mais bon ça peut venir de n’importe où.
J’ai vérifié le htaccess : rien
J’ai regardé le index.php : Tout le code était supprimé. Il restait une redirection simplement. J’ai remis un back up du index.php et le site était en ligne.
J’ai vérifié les logs et j’ai vu une requête post suspecte.
Elle appelait un fichier situé dans le dossier tmp.
Dans ce fichier, j’ai trouvé ce fameux
Le pirate a modifié toute les noms de users et les mots de passe dans la BDD. Ils étaient tous identiques.
Première mesures d’urgence :
Modification des passwords user de joomla,
password sql,
passwords ftp,
passwords cpanel du serveur,
hatpassword sur l’admin.
Mais je ne sais pas encore comment il a pu placer ce fichier. D’ailleurs je me demande ce que ça fait si je le lance. Je ferais peut-être un test en local.
C’est la première fois que je me fais piraté un joomla. J’ai déjà eu une mauvaise expérience avec un site ecommerce.
J’ai un site joomla 2.5.6 qui vient d’être piraté.
Pour infos si d’autres utilisateurs joomla rencontraient la même mésaventure :
Le site redirigeait vers des vidéos extrémistes sur youtube.
L’ip du pirate est localisé à Téhéran mais bon ça peut venir de n’importe où.
J’ai vérifié le htaccess : rien
J’ai regardé le index.php : Tout le code était supprimé. Il restait une redirection simplement. J’ai remis un back up du index.php et le site était en ligne.
J’ai vérifié les logs et j’ai vu une requête post suspecte.
Elle appelait un fichier situé dans le dossier tmp.
Dans ce fichier, j’ai trouvé ce fameux
Code PHP:
eval(base64_decode(
Première mesures d’urgence :
Modification des passwords user de joomla,
password sql,
passwords ftp,
passwords cpanel du serveur,
hatpassword sur l’admin.
Mais je ne sais pas encore comment il a pu placer ce fichier. D’ailleurs je me demande ce que ça fait si je le lance. Je ferais peut-être un test en local.
C’est la première fois que je me fais piraté un joomla. J’ai déjà eu une mauvaise expérience avec un site ecommerce.
Commentaire