Re : Site toujours piraté par pharma hack

Bonjour,

Sur un serveur mutualisé, suivant le paramétrage hébergeur, il y a énormément de variantes.

Et Google regarde le sous-domaine. Le site lui-même est-il mis en cause, ou est-ce le sous-domaine ?

Re : Site toujours piraté par pharma hack

Voir http://whatis.techtarget.com/definition/pharma-hack (le problème Pharma Hack ne touche pas que Joomla, mais aussi WordPress et dans une moindre mesure Typo3 et ezPublish).
Ce truc est très intelligent, hélas, il est très difficile à repérer sur les sites compromis (la compromission pouvant avoir de très multiples origines).

Re : Site toujours piraté par pharma hack

Bonjour

Tu veux dire "Tout est d'origine" ? Non ?

Clairement oui : au niveau de l'hébergeur, un site, ce n'est qu'un sous-dossier "tonsite". Mon site "monsite" sur le même serveur est donc un dossier au même niveau que le tien. Si "monsite" est mal sécurisé et qu'un script php remonte l'arborescence avec un simple "../tonsite" comme chemin d'accès, oui, il arrive chez toi.

C'est à l'hébergeur à sécuriser tout cela. Entre autre avec le openbase_dir de php et interdire qu'un script de "monsite" puisse remonter dans l'arborescence.

Note : je suis à mille lieux d'être expert en hébergement; je tenais juste à répondre à ta question.

Bonne journée.

Re : Site toujours piraté par pharma hack

Merci pour vos réponses. Ca fait du bien d'être soutenu moralement...

Je voulais dire que je n'ai rien repris de ce qui a été fait à l'origine sur le premier site.
Des copiés/collés de texte où j'ai bien analysé le code source et des photos; c'est tout.

A peine le site posé sur le serveur (2 jours)c'est dans le dossier media/...tiny_mce que j'ai vu apparaitre un fichier php/ircbot.dw qui est un virus. Dois-je en conclure que cette extension installée d'origine dans joomla 2.5 est vulnérable? Je ne crois pas vu le nombre d'utilisateurs de cet éditeur; tout le monde aurait mes pbs. C'est une des conséquences de l'attaque qui reste invisible dans les stats, et c'est là le pb.

La reflexion de Cavo a propos d'openbase_dir est très intéressante car j'ai un autre site joomla au meme niveau de l'arborescence qui est lui aussi attaqué par le meme genre de bétiole mais sans aucune conséquence visible. Je ne m'en suis donc pas préoccupé.

Je vais enquêter de ce coté là. Je suis peut etre le "voisin" malfaisant sans le savoir!

cordialement

Re : Site toujours piraté par pharma hack



Oui, cela peut être le cas mais si tu es sur un hébergeur de qualité, cela ne devrait pas arriver.

Pour ton Joomla : installes-tu des extensions particulières qui pourraient être défaillantes ? Je ne te prête pas cette intention (c'est juste pour illustrer mon propos) : si tu installes un programme téléchargé sur un site de type warez; ne cherche plus.

Pour tes extensions, vérifie sur le Vulnerable Extension List : http://vel.joomla.org/. Sont-ils repris ?

Bonne chasse.

Re : Site toujours piraté par pharma hack

Je suis chez phpnet et à priori, pas de pbs.

J'ai vérifié cette liste avant de me lancer dans le choix des extensions.
En fait j'ai juste rajouté par rapport aux extensions d'origine de joomla 2.5:
phocagallery v 3.2.6, qui à priori a réglé le pb des xss sur son script

falang

un template qui a l'air clean.

et c'est tout!

Ce qui est sidérant, c'est la vitesse à laquelle le bot m'aurait retrouvé vu que j'ai "anonymisé" le site le plus possible. C'est pourquoi l'hypothèse la plus probable est que , soit il y a une ******rie à la racine de mon site (que j'ai analysé), soit je me contamine moi-meme. (Antivirus pas assez performant?)

Parmi les recommandations qu'on trouve sur internet certains préconisent de nettoyer le site sur un ordi non connecté à internet avant de l'uploader. Il y a peut etre une piste à explorer là?

Re : Site toujours piraté par pharma hack

"falang", tiens ça me dit quelque chose, peux-tu nous dire sur quel site tu as trouvé ce template?

Re : Site toujours piraté par pharma hack

Falang? C'est pas un template. C'est l'extension qui a remplacé joomfish.
Module de traduction.

Re : Site toujours piraté par pharma hack

Salut
Même tes accès ftp et bdd ?
Et es-tu certain que tes images ne contenais pas de virus ?

Re : Site toujours piraté par pharma hack

Un antivirus ne va pas forcement voir ce genre de danger.
Sur ton PC, si tu es sur PC, une analyse avec ADWCleaner donne quoi ?

Re : Site toujours piraté par pharma hack

Tous les accès changés bien sûr après chaque attaque.

Comment savoir si une image jpg est vérolée? Elles s'affichent ttes normalement. L'antivirus dit rien.

Re : Site toujours piraté par pharma hack

Adccleaner et d'autres antimalwares ne signalent que des trucs mineurs et classiques.
Tous nettoyés très souvent.

Re : Site toujours piraté par pharma hack

Si on reprenait du début ton problème ?
Quel url?
Quel hébergeur ?
Quelle version 2.5 installée ensuite?
Comment as-tu procédé à l'install, as-tu bien supprimé tout ce qu'il y avait sur le serveur avant?
Une fois la ré-install faite, as-tu exporté ton ancien dossier images?
As-tu bien vérifié la galerie de photos?
Cette galerie, elle doit permettre l'export d'images sur le serveur peut-être même via le front, as-tu désactivé cette fonctionnalité?
Quelles extensions installées?
As-tu consulté les fichiers de logs?

A moins que la config de php est été mal faite, il y a peu de chance qu'un "voisin" puisse accéder à tes fichiers
Tu peux consulter cette config dans l'admin joomla.. en revanche, si l'accès root de l'hébergeur est connu du pirate, alors, il y a des chance pour que d'autres sites hébergés sur le même serveur soient aussi hackés et ça l'hébergeur ne l'avouera jamais.

Si le pirate accède toujours à ton site après mise à jour, c'est que son ou ses fichiers sont toujours présents sur le serveur. Tu auras beau exporter un joomla neuf, ils demeureront sur le serveur, ils ne seront pas écrasés puisqu'il n'existe pas dans le package joomla..

Re : Site toujours piraté par pharma hack

La plupart des réponses sont dans ce fil de discussion.

La version de joomla 2.5.14 avec les extensions d'origine du package.
J'ai rajouté Phocagallery v 3.2.6 et Falang v 1.3.1

J'ai fabriqué le site en local et vérifié les photos de la galerie et tous les textes que j'ai copié/collé. (J'ai fait particulierement attention au code source qui comprend parfois des lignes cachées qd on est attaqué par le pharmahack)
Puis j'ai supprimé toutes les tables de ma base, et effacé le dossier qui contient le site par ftp.
Et j'ai uploadé le nouveau site avec sa galerie et installé les nouvelles tables. J'en ai profité pour changer les préfixes.
J'ai changé tous les mots de passe et identifiants.

Pour la galerie, je ne comprends pas ce que tu veux dire. Que les utilisateurs puissent uploader leurs photos? c'est non.
La galerie affiche des images et c'est tout. Aucun partage , aucun commentaire.

L'hébergeur c'est Phpnet.org
config php:
Open basedir (dossier limite d'arborescence) /home/users/m/xxxx/:/home/temporaire/upload:/tmp:/usr/local/lib/php/

J'ai consulté une petite partie des logs concernant la période durant laquelle je pense avoir été attaqué.... C'est des milliers de requetes opérées par des robots essentiellement. Quelques tentatives d'acces à l'admin. Et des lignes que je ne sais pas interpréter.
Si tu t'y connais, je peux t'envoyer qq exemples.

Voilà

cordialement