le joom****.php nouveau est arrivé

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] le joom****.php nouveau est arrivé

    Bonjour,
    J'espère que ce que vais raconter peut vous aider si cela vous arrive

    Depuis le 26-01-2013 un pirate essaie de s’introduire dans mon site :
    Il place un index.thml vérolé à la racine du site et je le vire aussitôt-> le site marche

    Le 28-01-2013 il change l'index.php de la racine du site (voir ci-dessous le contenu du fichier) et en plus il me l'a passé de chmod 400 en chmod 705
    Je remets l'index normal en chmod 400 et de changer le mot de passe du ftp.
    Le site marche


    Par curiosité je suis allé dans les logs chez OVH (voir cidessous) et j'ai trouvé une adresse ip bizarre (41.98.XX.XXX) qui intervient juste au moment du hackage (par whois ->adresse ip d’Algérie)
    Dans les logs je vois qu'il m'a mis des fichiers bizarres dans images/stories qui n'y sont pas normalement (j'ai vérifié en local sur une sauvegarde et sur un autre site joomla en ligne)
    Je pense qu'il a mis les fichiers vérolés avec l'instruction POST (voir les logs) je n'y comprends pas grand chose mais avec l'instruction GET il ne peut pas faire grand chose à part consulter (me semble-t-il)

    Impossible d’envoyer 2 fichiers par mel à un ami super calé en php ils sont refusés par google pour cause de virus : joom****.php (9 Ko) et h2628.php (1 Ko)

    Manipulations : je vire tous les fichiers bizarres et je mets le dossier images en chmod 555

    Index.php vérolé 6 Ko (quelques détails)
    Code:
    <head>
    ................ 
    <title>Hacked By XXXXXX</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> 
    ......................
    </head>  
    ............................
    <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By xxxxxxxxxxxxx</font>
    ...........................
    <font face="Courier New">HHH **** ALL USER FOR SITE</font>
    <font style="font-size:20pt; font-weight:700" color="#FFFFFF" face="Courier New"> MY EMAIL : [email]GJW@HOTMAIL.FR[/email]</font><font style="font-size:16px" color="#FFFFFF" face="Courier New"><br> </font></div> <div id="bv_Text13" style="position:absolute;left:221px;top:5px;width:439px;height:18px;z-index:10" align="left"> <font face="Courier New">sory admin ... hhh ... about for hacked</font>
    .................................................
    <title>Hacked By MR JINZO</title> <meta name="GENERATOR" content="Created by BlueVoda"> <link rel="shortcut icon" href="http://"> 
    ...............
    <font style="font-size:16px" color="#FFFFFF" face="Courier New">HaCked By MR Jxxxxxx</font><font style="font-size:16px" color="#666666" face="Courier New">@</font><font style="font-size:16px" color="#FFFFFF" face="Courier New">hacker</font>
    ..............................
    <img border="0" src="http://" 
    .............................
    <font face="Courier New">HHH **** ALL USER FOR SITE</font></div> 
    ................................................
     <font face="Courier New">sory admin ... hhh ... about for hacked</font></div> 
    ..........................................
    </body> </html>
    Et voici la liste des fichiers que le pirate a installé dans images/stories joom****.php et h2628.php sont des virus (détectés par google mail mais pas par mon antivirus)
    Liste des fichiers ajoutés dans images/stories : (par l’instruction POST)
    Cpanel.php
    domains.php
    h2628.php
    index.php(le même qu’à la racine du site)
    joom****.php
    mailer.php
    php.ini
    shell.php
    shell2.php
    shell3.php
    shell4.php
    sql.php
    sym.php
    whm.php
    wp****.php
    zone.php

    Les logs chez OVH

    28/Jan/2013:00:00:13 ->28/Jan/2013:00:04:20

    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:13 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 5028 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:00:16 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4624 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    41.XX.XX.XXX mon-site.com - [28/Jan/2013:00:03:27 +0100] "POST //images/stories/shell4.php HTTP/1.1" 200 4654 "http://www.mon-site.com//images/stories/shell4.php" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
    etc.....

    Et pourtant j'ai le fameux Crawlprotect pour générer le .htaccess j'ai mis en chmod 555 quelques dossiers et en 444 les fichiers de la racine du site. Pour le moment ça marche.
    Que feriez vous de plus à ma place ???
    J'espère que cela ne vous arrivera pas mais je surveille très souvent les logs et le FTP.




    Alber
    Dernière édition par zepelin57 à 28/01/2013, 23h47 Raison: Inutile de lui faire de la pub, lien et nom supprimé
    Alber - Sous le clavier la plage

  • #2
    Re : le joom****.php nouveau est arrivé

    Si tu utilises Crawlprotect, il faudrait remonter ces infos sur leur forum, ça ne t'aidera pas à régler le problème dans l'immédiat, mais ça peut permettre d'améliorer le produit.
    Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
    Confucius

    Commentaire


    • #3
      Re : le joom****.php nouveau est arrivé

      Si il utilise toujours la même ip, ou la même plage d'ip, tu as
      Christophe
      http://www.webcrea.fr

      Commentaire


      • #4
        Re : le joom****.php nouveau est arrivé

        Oui je suis en contact avec le créateur de Crawlprotect.
        Mon problème fera sans doute améliorer le produit qui avait tout bloqué jusqu'à présent.
        Ma dernière sauvegarde est de décembre 2012 (même pas 2 mois) mais je veux tester si j'ai bien prottégé mon site en cahngeant les CHMOD et le .htaccess etc.................
        Alber - Sous le clavier la plage

        Commentaire


        • #5
          Re : le joom****.php nouveau est arrivé

          Merci de m'indiquer cette extension "Ban Ip Address/Range" que je ne connais pas
          Mais j'ai découvert le pot aux roses en allant dans les logs chez OVH. et j'ai tout de suite vu les dossiers infectés ainsi que les fichiers vérolés ajoutés. Que j'ai virés aussitôt.
          J'ai remis des CHMOD costauds.
          Pour bloquer l'adresse ip du malotru j'ai utilisé .htaccess . Jai même bloqué toutes les ip commençant par les mêmes chiffres comme fait je pense "Ban Ip Address/Range ".
          Pour le moment le site est OK. Pas besoin de remettre ma sauvegarde du mois de décembre.
          Merci pour ton message
          Alber - Sous le clavier la plage

          Commentaire


          • #6
            Re : le joom****.php nouveau est arrivé

            Pour le moment le site est OK. Pas besoin de remettre ma sauvegarde du mois de décembre.
            Tu devrais en profiter pour faire une nouvelle suvegarde. Il peut s'en passer des choses en un mois. Tu devrais sauvegarder au moins la bdd (les fichiers bougent assez peu en général) à intervalles plus rapprochés.
            Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
            Confucius

            Commentaire


            • #7
              Re : le joom****.php nouveau est arrivé

              Envoyé par lesoutier Voir le message
              Tu devrais en profiter pour faire une nouvelle suvegarde. Il peut s'en passer des choses en un mois. Tu devrais sauvegarder au moins la bdd (les fichiers bougent assez peu en général) à intervalles plus rapprochés.
              Merci pour ta suggestion mais j'ai fait tout ça avant hier.
              Ceci dit j'ai été un peu surpris que le fichier Tuckjoom.php (remplace le T par un F) n'apparaisse que sous la forme ****joom.php c'est un gros mot le Tuck mais cela peut servir dans un moteur de recherche pour quelq'un qui serait infecté par ce fichier et lancerait une recherche sur google.
              Tout ceci pour dire qu'il y a certains malveillants qui en veulent à joomla et veulent le "Tucker"
              Alber - Sous le clavier la plage

              Commentaire


              • #8
                Re : le joom****.php nouveau est arrivé

                Bonjour,
                En fait le pirate a exploité uns faille de JCE (version 1.54)
                J'ai installé la version 2.31 puis changé les CHMOD en 555 pour certains dossiers) et en 404 pour certains fichiers sensibles
                Alber - Sous le clavier la plage

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X