Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

il s'agit visiblement d'une attaque malware qui cherche à diriger le site vers getyourbet.org
comment nettoyer tout ça à présent???

site joomla2.5 chez ovh


merci pour toute aide!

Sites attaqués besoin d'aide

Bonjour
plusieurs de mes sites en j1.5 ont été attaqués, ils sont tous en mutu chez ovh.

Les sites provoquent une erreur 500 que sh404sef traduit comme ceci à l'écran :
500 -
SH404SEF : headers were already sent when I got control!
Killed at line 126 in sh404sef.inc.php: HEADERS ALREADY SENT (200)

Il s'agirait d'un problème de header d'après un technicien ovh.

L'origine du soucis est lié à un script que voici :
EDIT MODO pas de code malveillant.. merci


Une fois décodé on comprend que le script cherche à rediriger vers l'url getyourbet.org

Le conseil que j'ai eu est de chercher cette séquence dans chaque fichier du site et de le supprimer.

Mes questions sont :
Est-ce une bonne analyse du problème?
Comment faire une recherche (rapide) de cette séquence dans chacun des fichiers?
La piste du problème spécifique au header peut-elle faciliter la recherche et la réparation?

Merci infiniment pour toute aide, j'ai plusieurs sites dans ce cas de figure

Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

[modo]Sujet déplacé en sécurité[/modo]

Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

merci beaucoup de ton attention, je revenais justement pour préciser l'ouverture d'un nouveau sujet (car j'en sais un peu plus à présent) ici :

faut-il aussi le re déplacer? excuses moi si j'ai mis un peu de bazar

Re : Sites attaqués besoin d'aide

[modo]Inutile de doublonner, sujets fusionnés[/modo]

Re : Sites attaqués besoin d'aide

Bonjour

Je ne pense pas que l'analyse soit complètement bonne. Le message indiqué ci-dessus n'indique pas du tout un problème de header.

Ce message est affiché par sh404SEF lorsque quoi que ce soit affiche quelque chose avant que les headers de réponse n'aient été envoyés par Joomla. Dans ton cas, c'est très probablement ce script qui provoque un affichage quelconque.
Le bon côté de choses, c'est que ce moyen de protection a empeché tes visiteurs d'être redirigés vers ce site. Mais cela signifie que ton serveur est infecté. Il faut effectivement rechercher toutes les copies de ce code dans tous les fichiers, sur tous les sites...
Bon courage

Re : Sites attaqués besoin d'aide

Bonsoir,

Pour info, tu peux remonter des backups chez Ovh. A condition bien sûr que tu t'es rendu compte du piratage assez tôt.

En partant de sauvegardes saines, il faudra tout mettre à jour et sécuriser l'ensemble après coup.

Re : Sites attaqués besoin d'aide

Salut à tous et merci pour vos réponses. Et un merci tout particulier à VM qui se reconnaitra!
Après de grandes manœuvres voici qq nouvelles...
J'ai pris dans un premier temps la décision de réinstaller tous les sites en récupérant les backups ovh (1 semaine en arrière) ce fut un gros boulot qui a bien fonctionné, Une fois terminé tous les sites touchés je retourne voir le premier réparé et tout à recommencé sur encore davantage de sites qu'avant avec une variante du script en question qui cherchait toujours à rediriger vers le fameux getyourbet donc re-danslam..

Cette fois ce sont non plus 7 ou 8 sites mais une bonne douzaine touchés qui s'en vont en erreur 500 (toujours notifié par sh404 que j'ai sur tout les sites).
Du coup la réflexion se porte sur des composants anciens qui pourraient être vulnérables et il y en avait (jce par exemple).
Seulement cette piste tombe à l'eau car dans le lot 2 sites tout neufs en 2.5.7 avec tout correctement à jour et pas d'extensions "exotiques" comme dirait l'autre, donc recherche d'une nouvelle théorie...

Je n'avais plus qu'à recommencer mais en gardant à l'esprit qu'il s'agit peut-être d'une récupération des codes ftp des sites à partir de la machine avec laquelle je gère les sites et les transferts.
Donc première mesure prise remplacement de tous les mdp ftp, config d'un nouveau client ftp sur une autre bécane et récupération de l'ensemble des backup cette fois aussi plus anciens (2 semaines) et réinstallation avec re-mise à jour des morceaux douteux.
La manip à l'air de fonctionner.

Maintenant dévirusage de l'ordi, surveillance des sites (un pincement au coeur à chaque chargement de page, j'imagine que c'est la séquelle, le syndrome classique du jeune piraté!).

Au moment ou j'écris ces lignes la théorie du ftp tient et de nombreux arguments vont dans ce sens mais je reste sceptique quand aux raisons définitives de cette énorme panne car l'historique sur la semaine est assez lourd : virus chopé au bureau, le phénomène coïncide également avec une grosse panne mutu cluster 003 et 006 (qquns de mes sites étaient touchés) chez ovh depuis samedi dernier)
Extrêmement difficile d'y voir clair.

Voici pour les nouvelles, j'en aurait une fois de plus appris beaucoup avec ces problèmes mais on se passerait bien d'avoir une douzaine de sites à terre, n'est-ce pas.

Plus le temps passe dans mon activité plus l'humilité arrive et fait des notions de sécurité une véritable religion, le bon stade sera atteint quand cela ressemblera moins à de la parano pure, que chacun ici à du connaitre à un moment ou un autre...

J'aimerais en profiter pour évoquer les problèmes que nous rencontrons tous liés au diagnostiques des évenements de la vie de nos sites et aux méthodes ou procédures d'interventions qui peuvent selon les choix fixés faire passer le temps passé de 1 à 20 sans problème.

Je tente d'être le plus clair possible sur le problème qui me touche pour que son analyse (et l'analyse de mes erreurs) puissent nourrir la réflexion de chacun.
Ce serait formidable de pouvoir profiter de vos expériences (des jeunes et des vieux routards) dans ce domaine et surtout comme je l'évoque plus haut de la "gestion de crise", peut-être cela mériterait une rubrique nouvelle dans le forum.

Aussi je tiens à souligner la bienveillance et la solidarité manifestées ici par les membres et modos performants, on ne le dis jamais assez.

voici pour un premier retour...

Re : Sites attaqués besoin d'aide

C'est effectivement interessant et ça en ajoute une couche sur la bonne méthode à employer dans ces cas car de remettre en selle les sites par réinstallations de versions propres ne règle en rien le soucis, ce qui fait que je pourrai dans ce cas me considérer comme un ignorant performant, capable de réparer sans réparer, du moins le problème du client est réglé mais n'est pas pris à la source...

Que dis-tu de mon explication des évenements, que s'est-il passé d'après toi?
Peux-tu préciser ce que tu veux dire par "ton serveur est infecté", les technos d'ovh que j'ai eu plusieurs fois au tel ne sont vraiment sur la mm longueur d'ondes...questions d'experts un fois de plus.