Site internet hacké

**webcrea** · 27/05/2013, 16h33

Re : Site internet hacké

uploade à partir de ta sauvegarde locale les fichiers index.php de la racine et de l'administrator ainsi que le configuration.php

**toffffe** · 27/05/2013, 16h34

Re : Site internet hacké

[modo]Sujet déplacé dans la bonne catégorie : "Sécurité"[/modo]

**fredtorbin** · 27/05/2013, 16h44

Re : Site internet hacké

Merci, sorry.

**fredtorbin** · 27/05/2013, 16h52

Re : Site internet hacké

Bonsoir webcrea.
Je viens de faire la manipulation, mais rien ne change.

Merci de votre retour.

**webcrea** · 27/05/2013, 17h22

Re : Site internet hacké

as tu consulté les logs http pour savoir par où il est passé ?

regarde tous tes fichiers, et plus spécialement ceux dont l'heure de modif est récente

**fredtorbin** · 27/05/2013, 17h28

Re : Site internet hacké

Il y a eu effectivement un nombre très très important de sollicitations du livre d'or Phoca. Toutes les secondes pendant une dizaine d'heures. Exemple du log :

Code:

index.php/2012-09-17-15-18-36/demande-de-devis" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0" "-"
142.4.117.105 - - [26/May/2013:00:25:15 +0200] "GET /index.php/livre-dor?start=15 HTTP/1.0" 200 15832 [url]www.formationcacessudouest.fr[/url] "http://www.formationcacessudouest.fr/index.php/livre-dor?start=15" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5" "-"
142.4.117.105 - - [26/May/2013:00:25:15 +0200] "GET /index.php/livre-dor?limitstart=0 HTTP/1.0" 200 22237 [url]www.formationcacessudouest.fr[/url] "http://www.formationcacessudouest.fr/index.php/livre-dor?limitstart=0" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-"
142.4.117.105 - - [26/May/2013:00:25:17 +0200] "GET /index.php?option=com_phocaguestbook&view=guestbooki&id=1&Itemid=485&phocasid=cace496ae21208cd5b919450b613e9a3 HTTP/1.0" 200 19177 [url]www.formationcacessudouest.fr[/url] "http://www.formationcacessudouest.fr/index.php/livre-dor?start=15" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5" "-"
142.4.117.105 - - [26/May/2013:00:25:17 +0200] "GET /index.php?option=com_phocaguestbook&view=guestbooki&id=1&Itemid=485&phocasid=e1aca9b07001b83a6eb1c336d7a6220d HTTP/1.0" 200 20803 [url]www.formationcacessudouest.fr[/url] "http://www.formationcacessudouest.fr/index.php/livre-dor?limitstart=0" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-"

Qu'en penses-tu ?

**webcrea** · 27/05/2013, 17h47

Re : Site internet hacké

je ne vois rien d'extraordinaire juste des requête pour afficher le livre d'or page par page

**fredtorbin** · 27/05/2013, 17h54

Re : Site internet hacké

Oui, mais toutes les secondes de 00h à 08 !

Comment est-il possible de récupérer le site internet ? J'ai tenté de changer les index.php, sans succès.

**toffffe** · 27/05/2013, 17h55

Re : Site internet hacké

J'ai l'impression que tu fais fausse route avec le livre phoca.
Si tu t'es fais piraté, il va falloir que tu regardes tes logs.

Si tu as une sauvegarde pas trop vieille, je te conseil de repartir de celle-ci.

Fais le tour ensuite de toutes les extensions que tu as installer et fais les maj si il y en a a faire.
il va falloir aussi modifier tous les mot de passe de ton site : bdd, ftp, admin site, ...

Si tu n'as pas de sauvegarde. Fais en une rapatrie en local ton site et commence à tout nettoyer en faisant la mise à jour de joomla ainsi que des extensions, et ensuite il va falloir tout passer à la loupe. Mais je te conseil d'avoir des connaissance car regarder sans chercher ce que tu cherches c'est une perte de temps.

**webcrea** · 27/05/2013, 17h58

Re : Site internet hacké

Envoyé par fredtorbin Voir le message

Oui, mais toutes les secondes de 00h à 08 !

Comment est-il possible de récupérer le site internet ? J'ai tenté de changer les index.php, sans succès.

c'est pour masquer son hack qu'il a requeté autant, le hack doit se trouver dans la liste et ça fait beaucoup à lire...fais ce que propose toffff, mais désactive phoca

**fredtorbin** · 27/05/2013, 18h48

Re : Site internet hacké

Et si je fais une mise à jour Joomla 1.7 vers 2.5 via FTP, qu'en pensez-vous ?

**toffffe** · 27/05/2013, 19h06

Re : Site internet hacké

Fasi une sauvegarde avant mais oui passer en 2.5 est une bonne solution sachant que 1.7 n'est plus maintenu

**fredtorbin** · 27/05/2013, 19h14

Re : Site internet hacké

Merci à tous de votre aide et surtout de votre réactivité. J'ai retrouvé une ancienne sauvegarde, si ça ne fonctionne pas, je vais tenter la 2.5.

**fredtorbin** · 27/05/2013, 19h49

Re : Site internet hacké

Je sollicite à nouveau votre aide les amis. J'avais donc une sauvegarde du site internet sur mon Mac. J'ai fait un écraser sur le serveur. Tout le back-office refonctionne à nouveau tout est niquel, en revanche le site internet affiche toujours la page hackée formationcacessudouest.fr/index.php (j'ai mis un html à la racine pour pas que les visiteurs voient le site hacké).

Comment expliqué cela ? Peut-il avoir infiltré la BDD ? Dans ce cas, dans quelle table regarder ?

Merci à vous

Site internet hacké

[RÉGLÉ] Site internet hacké

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association