Comment vérifier si la base mysql est saine après Hack?

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Comment vérifier si la base mysql est saine après Hack?

    Bonjour,

    Après que notre site (en 1.5.26 et virtuemart 1.9) ce soit fait hacker deux fois au mois de janvier, j'ai rapatrié les données mysql et l'architecture de joomla sur un serveur virtuel. Puis je l'ai upgrader en 2.5:
    - suppression de touts les modules, plugins... ajoutés
    - upgrade virtuemart 1.9 >2.0.18,
    - upgrade 1.5.26 en 2.5 avec jupgrade
    - suppression des anciennes tables jos de la 1.5 et déplacement du nouveau dossier à la racine après suppression de l'ancien
    - recherche de code eval(base64_decode avec grep (j'ai trouvé un story.php dans le dossier image)

    Tout est bien importé : clients commandes articles virtuemart

    Maintenant je me pose la question si il peut y avoir du code caché dans la base mysql? et si oui, comment le détecter et le réparer?

    Si vous avez des retours d’expérience.
    Cordialement.
    Production : Joomla! 2.5.X & Virtuemart
    Admin Tools Pro - Akeeba Backup - jlsecuremysite - AcyMailing - CK Forms - GMapFP
    Tags: Aucun
  • #2
    Re : Comment vérifier si la base mysql est saine après Hack?

    Bonjour Surf.77
    Je te réponds non pas parce que j'ai déjà été confronté au problème mais parce que je me sens quand même concerné par ces problématiques de Hack.
    En fait, si j'ai bien compris, tu désires vérifier que ton nouveau site est maintenant sain ! Qu'il n'existe plus de fichiers supplémentaires ou modifiés par rapport aux versions standards de Joomla et extensions...
    Voici comment je procèderais si j'étais confronté au même problème :

    1 - J'installerai un nouveau site site en version 2.5 avec les extensions de base que tu as sur ton site.
    2 - A cet instant, je devrais avoir sur le disque tous les fichiers "standards" apportés par Joomla et les extensions
    3 - Théoriquement, sur ton site, tu devrais avoir exactement les mêmes fichiers. Je ne parle pas de la base de données, mais uniquement des fichiers sur ton disque (répertoire d'installation de ton site)
    4 - J'utiliserais un logiciel du type "WinMerge" (gratuit et très performant) pour déterminer toutes les différences entre le nouveau site "vide" et le tien : nouveaux fichiers à droite ou à gauche, fichiers présents des 2 cotés mais différents.

    Cette méthode reste assez rapide et permet de te donner un aperçu des différences sur ton disque.
    Concernant la base de données, il est clair que tu ne dois pas avoir de tables supplémentaires dans ton site. Quand aux données présentes, il est très difficile (à mon niveau de connaissance) de vérifier si tu peux avoir des instructions dans certaines colonnes de certaines tables qui pourraient être utilisées à mauvais escient...

    Jean-Marie
    Le peu que je sais et occulté par le trop que je ne sais pas...
    (http://jmgi.fr)

    Commentaire

    • #3
      Re : Comment vérifier si la base mysql est saine après Hack?

      Bonsoir jmgroud,

      Pour les fichiers, pas de pb. >> installation d'un new joomla (+extensions) et vérification sous linux avec la commande diff entre le nouveau et l'ancien repertoire (commande à adapter suivant la recherche)
      Code:
       diff -rbB new site/ site-cracker/
 diff -qrbB site/ site-cracker/
      ou bien recherche de code
      Code:
       grep -rl base64 site-cracker/
      maintenant pour la base de données, je l'ai exporté en sql, puis fait un antivirus et des recherche dessus >> rien trouvé d’anormal. mais je ne sais pas ou chercher!!!
      Code:
      grep -i "PHP_SELF" site_cracker.sql
grep -i base64 site_cracker.sql
      Si un expert à des astuces de recherches de codes malveillants dans une base mysql,
      Production : Joomla! 2.5.X & Virtuemart
      Admin Tools Pro - Akeeba Backup - jlsecuremysite - AcyMailing - CK Forms - GMapFP

      Commentaire

      Précédent template Suivant

      Annonce

      Réduire
      Aucune annonce pour le moment.

      Partenaire de l'association

      Réduire
      Hébergeur Web PlanetHoster
      Travaille ...
      X