Sites attaqués besoin d'aide

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Sites attaqués besoin d'aide

    Voici ce qui s'affiche dans la config sh404sef sur un site actuellement planté chez OVH.
    Est-ce que ces lignes évoquent quelque chose à qq?
    Je précise que ces lignes sont visibles aussi sur le formulaire de connexion à l'admin du site..
    Merci


    [modo]Code malveillant supprimé pour en éviter la duplication ou propagation[/modo]

  • #2
    Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

    il s'agit visiblement d'une attaque malware qui cherche à diriger le site vers getyourbet.org
    comment nettoyer tout ça à présent???

    site joomla2.5 chez ovh


    merci pour toute aide!

    Commentaire


    • #3
      Sites attaqués besoin d'aide

      Bonjour
      plusieurs de mes sites en j1.5 ont été attaqués, ils sont tous en mutu chez ovh.

      Les sites provoquent une erreur 500 que sh404sef traduit comme ceci à l'écran :
      500 -
      SH404SEF : headers were already sent when I got control!
      Killed at line 126 in sh404sef.inc.php: HEADERS ALREADY SENT (200)

      Il s'agirait d'un problème de header d'après un technicien ovh.

      L'origine du soucis est lié à un script que voici :
      EDIT MODO pas de code malveillant.. merci


      Une fois décodé on comprend que le script cherche à rediriger vers l'url getyourbet.org

      Le conseil que j'ai eu est de chercher cette séquence dans chaque fichier du site et de le supprimer.

      Mes questions sont :
      Est-ce une bonne analyse du problème?
      Comment faire une recherche (rapide) de cette séquence dans chacun des fichiers?
      La piste du problème spécifique au header peut-elle faciliter la recherche et la réparation?

      Merci infiniment pour toute aide, j'ai plusieurs sites dans ce cas de figure
      Dernière édition par daneel à 08/11/2012, 12h23

      Commentaire


      • #4
        Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

        [modo]Sujet déplacé en sécurité[/modo]
        Auto-entrepreneur spécialiste Joomla https://www.stylitek.com

        Joomladay 2023 https://www.joomladay.fr/ 2 jours à ne pas manquer

        Commentaire


        • #5
          Re : Message étrange dans onglet Meta/SEO de la config SH404SEF - hack?

          merci beaucoup de ton attention, je revenais justement pour préciser l'ouverture d'un nouveau sujet (car j'en sais un peu plus à présent) ici :

          faut-il aussi le re déplacer? excuses moi si j'ai mis un peu de bazar

          Commentaire


          • #6
            Re : Sites attaqués besoin d'aide

            [modo]Inutile de doublonner, sujets fusionnés[/modo]
            Pas de demande de support par MP.
            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

            Commentaire


            • #7
              Re : Sites attaqués besoin d'aide

              Bonjour

              Je ne pense pas que l'analyse soit complètement bonne. Le message indiqué ci-dessus n'indique pas du tout un problème de header.

              Ce message est affiché par sh404SEF lorsque quoi que ce soit affiche quelque chose avant que les headers de réponse n'aient été envoyés par Joomla. Dans ton cas, c'est très probablement ce script qui provoque un affichage quelconque.
              Le bon côté de choses, c'est que ce moyen de protection a empeché tes visiteurs d'être redirigés vers ce site. Mais cela signifie que ton serveur est infecté. Il faut effectivement rechercher toutes les copies de ce code dans tous les fichiers, sur tous les sites...
              Bon courage
              Je suis toujours le développeur de sh404sef, mais il est désormais distribué par Weeblr. Je ne réponds plus aux MP sur ce composant. Merci de votre compréhension.

              Commentaire


              • #8
                Re : Sites attaqués besoin d'aide

                Bonsoir,

                Pour info, tu peux remonter des backups chez Ovh. A condition bien sûr que tu t'es rendu compte du piratage assez tôt.

                En partant de sauvegardes saines, il faudra tout mettre à jour et sécuriser l'ensemble après coup.

                Commentaire


                • #9
                  Re : Sites attaqués besoin d'aide

                  Salut à tous et merci pour vos réponses. Et un merci tout particulier à VM qui se reconnaitra!
                  Après de grandes manœuvres voici qq nouvelles...
                  J'ai pris dans un premier temps la décision de réinstaller tous les sites en récupérant les backups ovh (1 semaine en arrière) ce fut un gros boulot qui a bien fonctionné, Une fois terminé tous les sites touchés je retourne voir le premier réparé et tout à recommencé sur encore davantage de sites qu'avant avec une variante du script en question qui cherchait toujours à rediriger vers le fameux getyourbet donc re-danslam..

                  Cette fois ce sont non plus 7 ou 8 sites mais une bonne douzaine touchés qui s'en vont en erreur 500 (toujours notifié par sh404 que j'ai sur tout les sites).
                  Du coup la réflexion se porte sur des composants anciens qui pourraient être vulnérables et il y en avait (jce par exemple).
                  Seulement cette piste tombe à l'eau car dans le lot 2 sites tout neufs en 2.5.7 avec tout correctement à jour et pas d'extensions "exotiques" comme dirait l'autre, donc recherche d'une nouvelle théorie...

                  Je n'avais plus qu'à recommencer mais en gardant à l'esprit qu'il s'agit peut-être d'une récupération des codes ftp des sites à partir de la machine avec laquelle je gère les sites et les transferts.
                  Donc première mesure prise remplacement de tous les mdp ftp, config d'un nouveau client ftp sur une autre bécane et récupération de l'ensemble des backup cette fois aussi plus anciens (2 semaines) et réinstallation avec re-mise à jour des morceaux douteux.
                  La manip à l'air de fonctionner.

                  Maintenant dévirusage de l'ordi, surveillance des sites (un pincement au coeur à chaque chargement de page, j'imagine que c'est la séquelle, le syndrome classique du jeune piraté!).

                  Au moment ou j'écris ces lignes la théorie du ftp tient et de nombreux arguments vont dans ce sens mais je reste sceptique quand aux raisons définitives de cette énorme panne car l'historique sur la semaine est assez lourd : virus chopé au bureau, le phénomène coïncide également avec une grosse panne mutu cluster 003 et 006 (qquns de mes sites étaient touchés) chez ovh depuis samedi dernier)
                  Extrêmement difficile d'y voir clair.

                  Voici pour les nouvelles, j'en aurait une fois de plus appris beaucoup avec ces problèmes mais on se passerait bien d'avoir une douzaine de sites à terre, n'est-ce pas.

                  Plus le temps passe dans mon activité plus l'humilité arrive et fait des notions de sécurité une véritable religion, le bon stade sera atteint quand cela ressemblera moins à de la parano pure, que chacun ici à du connaitre à un moment ou un autre...

                  J'aimerais en profiter pour évoquer les problèmes que nous rencontrons tous liés au diagnostiques des évenements de la vie de nos sites et aux méthodes ou procédures d'interventions qui peuvent selon les choix fixés faire passer le temps passé de 1 à 20 sans problème.

                  Je tente d'être le plus clair possible sur le problème qui me touche pour que son analyse (et l'analyse de mes erreurs) puissent nourrir la réflexion de chacun.
                  Ce serait formidable de pouvoir profiter de vos expériences (des jeunes et des vieux routards) dans ce domaine et surtout comme je l'évoque plus haut de la "gestion de crise", peut-être cela mériterait une rubrique nouvelle dans le forum.

                  Aussi je tiens à souligner la bienveillance et la solidarité manifestées ici par les membres et modos performants, on ne le dis jamais assez.

                  voici pour un premier retour...

                  Commentaire


                  • #10
                    Re : Sites attaqués besoin d'aide

                    Envoyé par shumisha Voir le message
                    Bonjour

                    Je ne pense pas que l'analyse soit complètement bonne. Le message indiqué ci-dessus n'indique pas du tout un problème de header.

                    Ce message est affiché par sh404SEF lorsque quoi que ce soit affiche quelque chose avant que les headers de réponse n'aient été envoyés par Joomla. Dans ton cas, c'est très probablement ce script qui provoque un affichage quelconque.
                    Le bon côté de choses, c'est que ce moyen de protection a empeché tes visiteurs d'être redirigés vers ce site. Mais cela signifie que ton serveur est infecté. Il faut effectivement rechercher toutes les copies de ce code dans tous les fichiers, sur tous les sites...
                    Bon courage
                    C'est effectivement interessant et ça en ajoute une couche sur la bonne méthode à employer dans ces cas car de remettre en selle les sites par réinstallations de versions propres ne règle en rien le soucis, ce qui fait que je pourrai dans ce cas me considérer comme un ignorant performant, capable de réparer sans réparer, du moins le problème du client est réglé mais n'est pas pris à la source...

                    Que dis-tu de mon explication des évenements, que s'est-il passé d'après toi?
                    Peux-tu préciser ce que tu veux dire par "ton serveur est infecté", les technos d'ovh que j'ai eu plusieurs fois au tel ne sont vraiment sur la mm longueur d'ondes...questions d'experts un fois de plus.

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X