SIte hacker

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • SIte hacker

    Bonjour,

    J'ai un site internet développé en Joomla 2.5 pour mon activité de chambres d'hôtes. Actuellement je suis en Joomla 2.5.18.
    J'utilise le composant RSform!Pro pour gérer les contacts avec les clients. Lorsque quelqu'un veut avoir des renseignements ou réserver des chambres, il remplit le formulaire RSform!Pro et nous lui envoyons automatiquement un email l'informant que nous avons bien reçu sa demande.
    La nuit dernière, plus de 8.000 emails ont été envoyé automatiquement via l'accès RSform!Pro.
    Mon site est hébergé chez OVH.
    OVH a immédiatement bloqué l'accès du site.
    Je ne peux même plus accéder à l'administration du site.
    Le blocage sera supprimé par OVH quand j'aurai résolu le problème.
    comment puis-je faire ?
    Merci par avance pour les réponses que vous pourrez m'envoyer.

  • #2
    Re : SIte hacker

    Hello jp27,
    C'est sûr ça fout les boul... !

    J'ai eu un coup dans ce goût là mais sur un site perso, voici
    ce qui m'a considérablement aidé
    => Lire ceci (excellent !) http://allevents.avonture.be/fr/joomla-security.html

    Repartir d'une sauvegarde saine, si elle existe en local,
    appliquer au mieux les mesures décrites dans le document (lien ci-dessus),

    Changer tous les mots de passe, revoir les .htaccess ...

    Effacer tout sur le serveur et restaurer la nouvelle version "blindée"

    Voilà en rapide ce qui a marché pour moi, je vais laisser maintenant les spécialistes s'exprimer.
    Solidaire avec les dinosaures

    Commentaire


    • #3
      Re : Site hacké

      Merci pour cette réponse.

      Malheureusement, on croit toujours être à l'abri et je n'ai pas de sauvegarde récente.

      Je ne sais pas quoi faire !!

      Commentaire


      • #4
        Re : SIte hacker

        Bonjour

        Si ton site est bloqué (=> plus accès à une url), une seule possibilité : tu le récupères par FTP, tu montes un serveur web local (EasyPhp, Wamp, ...) et puis tu scannes les fichiers à la recherche de la bestiole.

        Il existe des scripts php pour scanner comme p.ex. JAMSS.

        Tu peux aussi utiliser Notepad++ ou d'autres logiciels de ce type pour rechercher des chaînes de caractères précises dans les fichiers.

        Remarque : 9 fois sur 10, l'infection se trouve dans un fichier index.php; soit à la racine du site soit dans le dossier /templates/ton_template.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : SIte hacker

          Je tombe juste sur cet article : http://korben.info/filesearchy-outil...s-windows.html

          A lire la description, cela semble être un outil assez sympa pour rechercher des patterns dans les fichiers php du site (local) ... pour autant qu'on sache quoi chercher.


          [Edit]Je viens de l'installer (version free) et il est diablement rapide! Reste qu'il faut d'abord savoir quoi chercher...[/Edit]
          Dernière édition par cavo789 à 11/02/2014, 15h05
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Site hacké

            Aussi déjà rechercher sur la date et heure de création / mise à jour des fichiers
            sur le serveur.

            Si accés ssh coté serveur, regarder du coté script pour parcourir tous les répertoires
            et ressortir une liste ...
            Du coté donc de allevents / cavo789, j'avais trouvé par la doc, un script qui faisait ce travail,
            il suffit de le récupérer, puis le mettre sur le serveur et l'exécuter ou demander à OVH de
            l'exécuter et renvoyer les résultats par exemple, ça sera un bon point de départ à mon avis !?

            =>
            /*
            Donne la liste des derniers fichiers créés ET modifiés.
            Très utile en cas de piratage pour savoir quels fichiers sont ajoutés et ceux qui ont été modifiés. Utile pour comprendre le comportement d'un script ou d'un CMS et voir quels fichiers ont été manipulés.

            Mettez ce script dans votre hébergement, ouvrez-le avec votre navigateur web, donnez le nombre de jours représentant la période à vérifier, puis le nom du dossier à analyser.
            Ce script ne va donner la liste que des dossiers à partir du chemin /home/votreloginftp/www/ de votre hébergement.

            Crédits: Les 4/5 du code sont l'oeuvre de Linda MacPhee-Cobb (http://timestocome.com)
            */


            Solidaire avec les dinosaures

            Commentaire


            • #7
              Re : Site hacké

              J'ai découvert ces deux fichiers .fantasticodata et .sqmaildata à la racine du site.
              Je les ai enlevé et le site a été débloqué par OVH pour être réactivé.
              Merci pour vos aides.

              Commentaire


              • #8
                Re : SIte hacker

                Ces fichiers se nomment exactement comme tu l'as mentionné ci-dessus ? ==> ce ne sont pas des scripts exécutables ====> la bestiole est toujours présente.

                Ton travail de nettoyage ne fait que commencer... Utilise un script qui permet de scanner la liste des fichiers ayant été modifiés récemment pour tenter de mettre le doigt sur des fichiers virusés.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : SIte hacker

                  Merci pour l'info.
                  Je ne suis pas expert dans ce domaine.
                  Quel script je peux utiliser pour scanner les fichiers ?
                  Y a t'il un logiciel qui peut analyser le contenu des fichiers pour trouver l'intrus ?

                  Commentaire


                  • #10
                    Re : SIte hacker

                    Dans la doc http://allevents.avonture.be/fr/joomla-security.html

                    Voir le script ici
                    =>
                    http://ralph.davidovits.net/internet...html#fichmodif
                    Solidaire avec les dinosaures

                    Commentaire


                    • #11
                      Re : SIte hacker

                      J'ai copié le script dans un fichier test et je l'ai installé à la racine www
                      Je ne comprends pas comment je peux l'exécuter ?

                      Commentaire


                      • #12
                        Re : SIte hacker

                        Envoyé par jp27 Voir le message
                        J'ai copié le script dans un fichier test et je l'ai installé à la racine www
                        Je ne comprends pas comment je peux l'exécuter ?
                        il faut qu'il s'appelle test.php
                        Pour l'exécuter http://www . monsite . com / test . php
                        Solidaire avec les dinosaures

                        Commentaire


                        • #13
                          Re : SIte hacker

                          Bonjour,

                          J'ai appliqué les recommandations. J'ai vu les fichiers qui ont été modifiés. J'étais en version Joomla 2.5.17, j'ai ensuite appliqué la mise à jour 2.5.18, ainsi que la dernière mise à jour sur le module RSform!Pro que j'utilise. J'ai refais un test des fichiers changés et j'ai pu constaté que ca a remplacé tous les fichiers qui avaient été modifiés juste avant.

                          Tout semble en ordre maintenant.

                          Grand merci pour l'aide.

                          Commentaire


                          • #14
                            Re : SIte hacker



                            Dernière étape; importante : prends un backup de ton site; télécharge-le et fais une restauration en local pour garantir que ton backup est fonctionnel.

                            A la prochaine alerte, tu auras donc un backup jugé sain et tu pourras p.ex. comparer ton site ayant été à nouveau virusé avec ton archive saine et identifier immédiatement et facilement les fichiers modifiés sur ta production.

                            Bonne journée.
                            Christophe (cavo789)
                            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                            Commentaire


                            • #15
                              Re : SIte hacker

                              Le Backup est fait. Tout est en ordre,

                              Merci

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X