Tweet
J'ai été piraté sur mon serveur mutualisé Ovh par un script malveillant qui envoyait des emails en très grande quantité car j'ai encore beaucoup de sites ne sont pas en version 2,5
Par conséquent, ovh avait bloqué mes envoies d'emails automatique
Ils ont fait une liste des fichiers malveillants
Si çà peut vous servir pour vérifier sur vos serveurs si vous avez également ce genre de fichiers
Voici les différents fichiers malveillants et leurs adresses sur le serveur
Il s’agit d’un rapport qui m’a été fait par OVH
Le script utilisé pour envoyer des mails en masse est:
/images/getinfoqiCV.php
Voici le log associé à l'attaque:
192.145.232.xxx www.monsite.com-
[23/Aug/2013:23:48:22 +0200] "POST
/images/getinfoqiCV.php
HTTP/1.1" 200 372 "-" "-"
Plusieurs autres fichiers malveillants ont été
trouvés
sur plusieurs de vos multi-domaines, voici une liste non
exhaustive des fichiers malveillants:
Dans le dossiers /www/monsite.com/images:
com_lr.php faqloW.phpgbanner.php getinfoSpR.php
getinfoqiCV.php installj58U.php sitemap5Gf.php
themes47hR.phpwishlisthrhE.php
"POST /images/com_lr.php
./monsite5.com/administrator/components/com_oziogallery2/css/
ozio.css
./monsite6.com/administrator/components/com_joomlapack/
classes/core/cube.php
./monsite2.com/administrator_old/components/com_jcomment
s/admin.jcomments.php
./monsite2.com/administrator_old/components/com_jcomment
s/install/plugins/system/jcomments.php
./monsite2.com/images/stories/story.gif
./monsite2.com/administrator/components/com_jcomments/in
stall/plugins/system/jcomments.php
./monsite2.comadministrator/components/com_jcomments/ad
min.jcomments.php
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j��x��za
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j��I"kJa
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j�����a
./monsite3.com/ancien_site/images/stories/�ï��½f��i�./monsite3.comimages/stories/��f��i�
./monsite3.com/images/stories/���j�����a
./monsite3.com/images/stories/���j��I"kJa
./monsite3.comimages/stories/���j��x��za
./monsite4.comadministrator/components/com_jcomments/admin.jcomments.php
./monsite4.comcomponents/com_content/.jos_sbi.php
./monsite4.comimages/stories/���j�������a
./monsite4.comimages/stories/r9na8.php
./monsite4.comimages/stories/���j���x��za
./monsite4.comimages/stories/���j���<��za
./monsite.com/anciensite/images/stories/� a���a
./monsite.com/anciensite/images/stories/��f���z��
./monsite.com/anciensite/images/stories/�a��{a
./monsite.com/anciensite/images/stories/�a��ta
./monsite.com/anciensite/images/stories/�)���]�a�:`
./monsite.com/anciensite/images/stories/�a�}ta
./monsite.com/anciensite/images/stories/�a�a
./monsite.com/anciensite/images/stories/�a�mya
./monsite.com/anciensite/images/stories/�a�a
./monsite.com/anciensite/images/stories/�a�n5a
./monsite.com/anciensite/images/stories/� a���a
./monsite.com/anciensite/images/stories/���j��a��ï¿a
./monsite.com/anciensite/images/stories/�a�^�a
./monsite.com/anciensite/images/stories/�a�~8a
./monsite.com/anciensite/images/stories/�a�n�a
La faille d'origine n'est pas trouvable car nous pouvons remonter uniquement jusqu'à la date de migration de votre site avec le plugin jupgrade, la faille date donc d'avant la migration, celle ci n'existe donc surement plus.
Pour corriger le problème, vous devez supprimer l'intégralité des fichiers malveillants présents sur votre hébergement puis si cela n'est pas déjà fait,mettre à jour tous vos joomla en version 2.5 minimum.
Par conséquent, ovh avait bloqué mes envoies d'emails automatique
Ils ont fait une liste des fichiers malveillants
Si çà peut vous servir pour vérifier sur vos serveurs si vous avez également ce genre de fichiers
Voici les différents fichiers malveillants et leurs adresses sur le serveur
Il s’agit d’un rapport qui m’a été fait par OVH
Le script utilisé pour envoyer des mails en masse est:
/images/getinfoqiCV.php
Voici le log associé à l'attaque:
192.145.232.xxx www.monsite.com-
[23/Aug/2013:23:48:22 +0200] "POST
/images/getinfoqiCV.php
HTTP/1.1" 200 372 "-" "-"
Plusieurs autres fichiers malveillants ont été
trouvés
sur plusieurs de vos multi-domaines, voici une liste non
exhaustive des fichiers malveillants:
Dans le dossiers /www/monsite.com/images:
com_lr.php faqloW.phpgbanner.php getinfoSpR.php
getinfoqiCV.php installj58U.php sitemap5Gf.php
themes47hR.phpwishlisthrhE.php
"POST /images/com_lr.php
./monsite5.com/administrator/components/com_oziogallery2/css/
ozio.css
./monsite6.com/administrator/components/com_joomlapack/
classes/core/cube.php
./monsite2.com/administrator_old/components/com_jcomment
s/admin.jcomments.php
./monsite2.com/administrator_old/components/com_jcomment
s/install/plugins/system/jcomments.php
./monsite2.com/images/stories/story.gif
./monsite2.com/administrator/components/com_jcomments/in
stall/plugins/system/jcomments.php
./monsite2.comadministrator/components/com_jcomments/ad
min.jcomments.php
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j��x��za
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j��I"kJa
./monsite3.com/ancien_site/images/stories/�ï��½ï¿½j�����a
./monsite3.com/ancien_site/images/stories/�ï��½f��i�./monsite3.comimages/stories/��f��i�
./monsite3.com/images/stories/���j�����a
./monsite3.com/images/stories/���j��I"kJa
./monsite3.comimages/stories/���j��x��za
./monsite4.comadministrator/components/com_jcomments/admin.jcomments.php
./monsite4.comcomponents/com_content/.jos_sbi.php
./monsite4.comimages/stories/���j�������a
./monsite4.comimages/stories/r9na8.php
./monsite4.comimages/stories/���j���x��za
./monsite4.comimages/stories/���j���<��za
./monsite.com/anciensite/images/stories/� a���a
./monsite.com/anciensite/images/stories/��f���z��
./monsite.com/anciensite/images/stories/�a��{a
./monsite.com/anciensite/images/stories/�a��ta
./monsite.com/anciensite/images/stories/�)���]�a�:`
./monsite.com/anciensite/images/stories/�a�}ta
./monsite.com/anciensite/images/stories/�a�a
./monsite.com/anciensite/images/stories/�a�mya
./monsite.com/anciensite/images/stories/�a�a
./monsite.com/anciensite/images/stories/�a�n5a
./monsite.com/anciensite/images/stories/� a���a
./monsite.com/anciensite/images/stories/���j��a��ï¿a
./monsite.com/anciensite/images/stories/�a�^�a
./monsite.com/anciensite/images/stories/�a�~8a
./monsite.com/anciensite/images/stories/�a�n�a
La faille d'origine n'est pas trouvable car nous pouvons remonter uniquement jusqu'à la date de migration de votre site avec le plugin jupgrade, la faille date donc d'avant la migration, celle ci n'existe donc surement plus.
Pour corriger le problème, vous devez supprimer l'intégralité des fichiers malveillants présents sur votre hébergement puis si cela n'est pas déjà fait,mettre à jour tous vos joomla en version 2.5 minimum.
Commentaire