Site toujours piraté par pharma hack

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site toujours piraté par pharma hack

    Bonjour

    Je viens chercher de l'aide

    J'avais un site sous joomla 1.5 qui était fréquemment piraté par le pharma hack.
    Je me suis battu contre cette ******rie pendant des mois sans trouver de solution et j'ai donc décidé voilà qq jour de refaire intégralement le site sur joomla 2.5 et changer toutes les extensions.

    Rien n'est donc d'origine sauf une galerie photos qui ne contenait que des photos en jpg et passée à l'antivirus.
    Tous les dossiers était en chmod 555 et fichiers en 644. J'ai de plus installé crawlprotect.

    Et deux jours après la mise en ligne ,le site est à nouveau hacké par le meme truc!
    Avec les memes symptômes sur google et les memes fichiers rajoutés sur mon site.
    Chose curieuse cette fois ; les chmod n'ont pas changé.

    Je finis par me demander si ce n'est pas le serveur mutualisé qui est en cause.
    Pensez-vous que l'on puisse etre infecté par un voisin?

    Merci

  • #2
    Re : Site toujours piraté par pharma hack

    Bonjour,

    Sur un serveur mutualisé, suivant le paramétrage hébergeur, il y a énormément de variantes.

    Et Google regarde le sous-domaine. Le site lui-même est-il mis en cause, ou est-ce le sous-domaine ?
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : Site toujours piraté par pharma hack

      Voir http://whatis.techtarget.com/definition/pharma-hack (le problème Pharma Hack ne touche pas que Joomla, mais aussi WordPress et dans une moindre mesure Typo3 et ezPublish).
      Ce truc est très intelligent, hélas, il est très difficile à repérer sur les sites compromis (la compromission pouvant avoir de très multiples origines).
      Pas de demande de support par MP.
      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

      Commentaire


      • #4
        Re : Site toujours piraté par pharma hack

        Bonjour

        Envoyé par rescator Voir le message
        Rien n'est donc d'origine
        Tu veux dire "Tout est d'origine" ? Non ?

        Envoyé par rescator Voir le message
        Pensez-vous que l'on puisse etre infecté par un voisin?
        Clairement oui : au niveau de l'hébergeur, un site, ce n'est qu'un sous-dossier "tonsite". Mon site "monsite" sur le même serveur est donc un dossier au même niveau que le tien. Si "monsite" est mal sécurisé et qu'un script php remonte l'arborescence avec un simple "../tonsite" comme chemin d'accès, oui, il arrive chez toi.

        C'est à l'hébergeur à sécuriser tout cela. Entre autre avec le openbase_dir de php et interdire qu'un script de "monsite" puisse remonter dans l'arborescence.

        Note : je suis à mille lieux d'être expert en hébergement; je tenais juste à répondre à ta question.

        Bonne journée.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Site toujours piraté par pharma hack

          Merci pour vos réponses. Ca fait du bien d'être soutenu moralement...

          Je voulais dire que je n'ai rien repris de ce qui a été fait à l'origine sur le premier site.
          Des copiés/collés de texte où j'ai bien analysé le code source et des photos; c'est tout.

          A peine le site posé sur le serveur (2 jours)c'est dans le dossier media/...tiny_mce que j'ai vu apparaitre un fichier php/ircbot.dw qui est un virus. Dois-je en conclure que cette extension installée d'origine dans joomla 2.5 est vulnérable? Je ne crois pas vu le nombre d'utilisateurs de cet éditeur; tout le monde aurait mes pbs. C'est une des conséquences de l'attaque qui reste invisible dans les stats, et c'est là le pb.

          La reflexion de Cavo a propos d'openbase_dir est très intéressante car j'ai un autre site joomla au meme niveau de l'arborescence qui est lui aussi attaqué par le meme genre de bétiole mais sans aucune conséquence visible. Je ne m'en suis donc pas préoccupé.

          Je vais enquêter de ce coté là. Je suis peut etre le "voisin" malfaisant sans le savoir!

          cordialement

          Commentaire


          • #6
            Re : Site toujours piraté par pharma hack

            Envoyé par rescator Voir le message
            Je vais enquêter de ce coté là. Je suis peut etre le "voisin" malfaisant sans le savoir!


            Oui, cela peut être le cas mais si tu es sur un hébergeur de qualité, cela ne devrait pas arriver.

            Pour ton Joomla : installes-tu des extensions particulières qui pourraient être défaillantes ? Je ne te prête pas cette intention (c'est juste pour illustrer mon propos) : si tu installes un programme téléchargé sur un site de type warez; ne cherche plus.

            Pour tes extensions, vérifie sur le Vulnerable Extension List : http://vel.joomla.org/. Sont-ils repris ?

            Bonne chasse.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Site toujours piraté par pharma hack

              Je suis chez phpnet et à priori, pas de pbs.

              J'ai vérifié cette liste avant de me lancer dans le choix des extensions.
              En fait j'ai juste rajouté par rapport aux extensions d'origine de joomla 2.5:
              phocagallery v 3.2.6, qui à priori a réglé le pb des xss sur son script

              falang

              un template qui a l'air clean.

              et c'est tout!

              Ce qui est sidérant, c'est la vitesse à laquelle le bot m'aurait retrouvé vu que j'ai "anonymisé" le site le plus possible. C'est pourquoi l'hypothèse la plus probable est que , soit il y a une ******rie à la racine de mon site (que j'ai analysé), soit je me contamine moi-meme. (Antivirus pas assez performant?)

              Parmi les recommandations qu'on trouve sur internet certains préconisent de nettoyer le site sur un ordi non connecté à internet avant de l'uploader. Il y a peut etre une piste à explorer là?

              Commentaire


              • #8
                Re : Site toujours piraté par pharma hack

                "falang", tiens ça me dit quelque chose, peux-tu nous dire sur quel site tu as trouvé ce template?
                Christophe
                http://www.webcrea.fr

                Commentaire


                • #9
                  Re : Site toujours piraté par pharma hack

                  Falang? C'est pas un template. C'est l'extension qui a remplacé joomfish.
                  Module de traduction.

                  Commentaire


                  • #10
                    Re : Site toujours piraté par pharma hack

                    Salut
                    Rien n'est donc d'origine
                    Même tes accès ftp et bdd ?
                    Et es-tu certain que tes images ne contenais pas de virus ?
                    Auto-entrepreneur spécialiste Joomla https://www.stylitek.com

                    Joomladay 2023 https://www.joomladay.fr/ 2 jours à ne pas manquer

                    Commentaire


                    • #11
                      Re : Site toujours piraté par pharma hack

                      soit je me contamine moi-meme. (Antivirus pas assez performant?)
                      Un antivirus ne va pas forcement voir ce genre de danger.
                      Sur ton PC, si tu es sur PC, une analyse avec ADWCleaner donne quoi ?
                      UP, le plugin universel à découvrir sur https//up.lomart.fr
                      bgMax
                      , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                      Commentaire


                      • #12
                        Re : Site toujours piraté par pharma hack

                        Tous les accès changés bien sûr après chaque attaque.

                        Comment savoir si une image jpg est vérolée? Elles s'affichent ttes normalement. L'antivirus dit rien.

                        Commentaire


                        • #13
                          Re : Site toujours piraté par pharma hack

                          Adccleaner et d'autres antimalwares ne signalent que des trucs mineurs et classiques.
                          Tous nettoyés très souvent.

                          Commentaire


                          • #14
                            Re : Site toujours piraté par pharma hack

                            Envoyé par rescator Voir le message
                            Bonjour

                            Je viens chercher de l'aide

                            J'avais un site sous joomla 1.5 qui était fréquemment piraté par le pharma hack.
                            Je me suis battu contre cette ******rie pendant des mois sans trouver de solution et j'ai donc décidé voilà qq jour de refaire intégralement le site sur joomla 2.5 et changer toutes les extensions.

                            Rien n'est donc d'origine sauf une galerie photos qui ne contenait que des photos en jpg et passée à l'antivirus.
                            Tous les dossiers était en chmod 555 et fichiers en 644. J'ai de plus installé crawlprotect.

                            Et deux jours après la mise en ligne ,le site est à nouveau hacké par le meme truc!
                            Avec les memes symptômes sur google et les memes fichiers rajoutés sur mon site.
                            Chose curieuse cette fois ; les chmod n'ont pas changé.

                            Je finis par me demander si ce n'est pas le serveur mutualisé qui est en cause.
                            Pensez-vous que l'on puisse etre infecté par un voisin?

                            Merci
                            Si on reprenait du début ton problème ?
                            Quel url?
                            Quel hébergeur ?
                            Quelle version 2.5 installée ensuite?
                            Comment as-tu procédé à l'install, as-tu bien supprimé tout ce qu'il y avait sur le serveur avant?
                            Une fois la ré-install faite, as-tu exporté ton ancien dossier images?
                            As-tu bien vérifié la galerie de photos?
                            Cette galerie, elle doit permettre l'export d'images sur le serveur peut-être même via le front, as-tu désactivé cette fonctionnalité?
                            Quelles extensions installées?
                            As-tu consulté les fichiers de logs?

                            A moins que la config de php est été mal faite, il y a peu de chance qu'un "voisin" puisse accéder à tes fichiers
                            Tu peux consulter cette config dans l'admin joomla.. en revanche, si l'accès root de l'hébergeur est connu du pirate, alors, il y a des chance pour que d'autres sites hébergés sur le même serveur soient aussi hackés et ça l'hébergeur ne l'avouera jamais.

                            Si le pirate accède toujours à ton site après mise à jour, c'est que son ou ses fichiers sont toujours présents sur le serveur. Tu auras beau exporter un joomla neuf, ils demeureront sur le serveur, ils ne seront pas écrasés puisqu'il n'existe pas dans le package joomla..
                            Christophe
                            http://www.webcrea.fr

                            Commentaire


                            • #15
                              Re : Site toujours piraté par pharma hack

                              La plupart des réponses sont dans ce fil de discussion.

                              La version de joomla 2.5.14 avec les extensions d'origine du package.
                              J'ai rajouté Phocagallery v 3.2.6 et Falang v 1.3.1

                              J'ai fabriqué le site en local et vérifié les photos de la galerie et tous les textes que j'ai copié/collé. (J'ai fait particulierement attention au code source qui comprend parfois des lignes cachées qd on est attaqué par le pharmahack)
                              Puis j'ai supprimé toutes les tables de ma base, et effacé le dossier qui contient le site par ftp.
                              Et j'ai uploadé le nouveau site avec sa galerie et installé les nouvelles tables. J'en ai profité pour changer les préfixes.
                              J'ai changé tous les mots de passe et identifiants.

                              Pour la galerie, je ne comprends pas ce que tu veux dire. Que les utilisateurs puissent uploader leurs photos? c'est non.
                              La galerie affiche des images et c'est tout. Aucun partage , aucun commentaire.

                              L'hébergeur c'est Phpnet.org
                              config php:
                              Open basedir (dossier limite d'arborescence) /home/users/m/xxxx/:/home/temporaire/upload:/tmp:/usr/local/lib/php/

                              J'ai consulté une petite partie des logs concernant la période durant laquelle je pense avoir été attaqué.... C'est des milliers de requetes opérées par des robots essentiellement. Quelques tentatives d'acces à l'admin. Et des lignes que je ne sais pas interpréter.
                              Si tu t'y connais, je peux t'envoyer qq exemples.

                              Voilà

                              cordialement

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X