Malware itsoknoproblembro et attaques en déni de service

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Malware itsoknoproblembro et attaques en déni de service

    Bonjour à toutes et tous,

    Je viens de recevoir un courriel de OVH me disant qu'il y avait de l'abus sur mon site et il est ainsi désactivé pour des raisons d'attaques en déni de service et pour l'utilisation du kit appelé « itsoknoproblembro »

    Quelqu'un pourra m'aider à me débarrasser de ce problème qui empêche mon hébergeur de remettre mon site en ligne. les fichiers affectés sont : index.1.php, index.inc.php, application.1.php, application.inc.php.

    Mon site fonctionne sur Joomla 2.5.11


    Merci beaucoup pour votre aide.

  • #2
    Re : Malware itsoknoproblembro et attaques en déni de service

    Les fichiers que tu indiques ne font pas à ma connaissance partie de Joomla. En fait dans ce genre de situation, il y a trois étapes principales :

    1 - Comprendre comment l'attaque s'est produite en analysant les logs système. C'est souvent une extension non à jour qui sert de point d'entrée à ce genre de malédiction.
    2 - Faire le nécessaire pour que ça ne se reproduise plus, en corrigeant les éléments concernés et en changeant tous les mots de passe.
    3 - Restorer la sauvegarde complète de ton site datant d'avant l'attaque, et que tu ne manques pas de faire régulièrement j'en suis sur.
    Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
    Confucius

    Commentaire


    • #3
      Re : Malware itsoknoproblembro et attaques en déni de service

      Bonjour,

      J'ai le même malware qui s'est installé sur mon site. Il est toujours en ligne mais les utilisateurs ne peuvent plus se connecter. Je suis sur Joomla 1.5. Je sais que cette version est aujourd'hui obsolète mais plusieurs raisons m'ont obligée à opter pour cette version et je ne peux en changer pour le moment.
      L'obsolesence de ma version me condamne-t'elle a garder ce problème ?
      Je ne sais pas comment analyser les logs système...? Comment corriger les éléments concernés ?
      Merci beaucoup pour vos réponses !

      Commentaire


      • #4
        Re : Malware itsoknoproblembro et attaques en déni de service

        J'oubliais : le soucis de ce malware était qu'il créait des comptes utilisateurs fictifs à longueur de journée. Pour résoudre ce soucis, nous avons installé un captcha. Les fausses créations de comptes ont stoppé mais le soucis d'accès à l'espace utilisateur est apparu à la suite de l'installation de mon captcha. Voilà la page qui apparaît quand on essaie de se connecter : Mon hébergeur, Gandi, m'informe qu'il faut que je passe à la taille d'hébergement au dessus et que je dois acheter un certificat de sécurité. Quel est votre avis là-dessus ?

        Commentaire


        • #5
          Re : Malware itsoknoproblembro et attaques en déni de service

          Bonjour,

          Voir http://www.viruslist.com/fr/news?id=197470971, et suivre les liens donnés pour avoir une idée de la complexité de ce malware.

          A part trouver toutes les occurrences des fichiers planqués un peu partout sur les site, et surtout de découvrir où est planqué l'injecteur (souvent une fausse image, mais avec du vrai code PHP), il y a peu à en dire.
          Ce malware est un automorphe (capable de s'auto-modifier, et donc de prendre diverses formes, ce qui en rend l'éradication délicate.

          Une fois le site nettoyé, il convient de se pencher sur la sécurité globale du domaine (et du serveur), puisque l'injection primitive ne peut survenir qu'en utilisant des failles, soit d'un script (Joomla! 1.5 et ses multiples extensions ayant des failles), soit d'une faiblesse du serveur (utilisation de mod_cgi avec des versions de PHP < 5.4.6).
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Re : Malware itsoknoproblembro et attaques en déni de service

            Merci pour votre réponse.

            Envoyé par jisse03 Voir le message
            A part trouver toutes les occurrences des fichiers planqués un peu partout sur les site, et surtout de découvrir où est planqué l'injecteur (souvent une fausse image, mais avec du vrai code PHP)
            Pourriez-vous m'expliquer comment procéder ? Je ne suis pas du tout compétente en maintenance de sites ! Créer un site est une chose, mais s'occuper des soucis une fois le site en ligne est bien plus complexe, je m'en rend compte !!

            Commentaire


            • #7
              Re : Malware itsoknoproblembro et attaques en déni de service

              Comme expliqué avant, se débarrasser de ce malware n'est pas une mince affaire.

              Sans connaissances assez profondes en analyse de fichiers, il est difficile de dire où et quoi chercher, ce malware ayant la fâcheuse manie de s'auto-transformer.

              Si de plus il s'agit d'un antique Joomla! 1.5, les choses n'en sont que plus complexes.

              Une solution possible étant de recopier en local (si possible sur une machine virtuelle isolée du réseau) tout le code du site, et dans un autre répertoire une copie saine d'un Joomla! de la même version, puis d'utiliser un outil diff (windiff sous Windows, diff ou diffutils sous Linux ou Mac) pour tracer toutes les différences, au moins au niveau du Joomla! standard. Faire de même avec TOUTES les extensions, y compris plugins et templates.

              Puis analyser toutes les images et autres éléments médias pour découvrir si certains sont infectés ou fake.

              Nettoyer le tout en écrasant les fichiers corrompus. Puis enfin, retransférer sur le site, et commencer à sécuriser, au moins avec CrawlProtect.
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X