Re : SIte hacker

Bonjour,
Je n'ai pas entièrement réglé mon problème.
La nuit dernière, un grand nombre de spams a encore été envoyé à partir de mon site.
Pourtant j'avais changé tous mes mots de passe la veille.
J'ai analysé les logs et j'ai trouvé un post sur un fichier .php caché dans components/com_wrapper
J'ai éliminé ce fichier, mais Est-ce que ça suffit ?

Re : SIte hacker

Bonjour

Tu joues à l'apprenti-sorcier on dirait. Tu as supprimé un fichier ==> à quoi servait-il ?
N'aurais-tu pas, peut-être, supprimé un fichier utile à Joomla ?

Si tu penses qu'un fichier natif de Joomla a été virusé ==> récupère un Joomla sain et écrase les fichiers de ton site par ceux du Joomla sain. N'uploade toutefois pas le dossier /installation.

Re : SIte hacker

Non, je ne joue pas à l'apprenti sorcier. J'ai un site de test et je vérifie les différences entre les deux. Le fichier que j'ai supprimé était celui qui était utilisé à l'heure où se produit l'envoie des spams et ce fichier .PHP n'existe pas dans mon site de test.
Tous les autres fichiers dans com_wrapper étaient identiques entre les deux sites.

Re : SIte hacker

Dans ce cas... tu as très bien fait. Delete delete delete

Re : SIte hacker

Bonjour,

Je croyais avoir résolu le problème, mais ca n'est pas le cas.
Chaque nuit, une quantité de spams sont envoyés à partir de mon hébergement.
J'ai changé les mots de passe de mon hébergement, de mes emails, mais rien n'y fait.
J'ai trouvé dans les fichiers de mon site des fichiers qui ont été introduits. J'en ai déjà supprimé plusieurs grâce aux logs, mais chaque jour j'en découvre d'autres. Ce ne sont pas de nouvelles introductions car je regarde sur le backup que j'ai fait le premier jour où il y a eu le premier envoi de spams et ces fichiers existaient déjà. Au fur et à mesure que j'enlève un fichier qui a été utilisé au moment de l'envoie des spams (donc qui semble bien impliqué), ce fichier n'est pas recréer, mais le lendemain c'est un autre fichier qui est utilisé.
Je comprends qu'il faudrait remplacer tout le site, mais comment puis-je remplacer tous les fichiers Joomla et les modules complémentaires que j'utilise, sans perdre ce que j'ai moi-même créé pour mon site ?

Re : SIte hacker

Bonjour

Ce que tu as créé = contenu => cela se trouve dans la base de données.

Tu peux donc sans aucun soucis écraser 100% des fichiers de ton Joomla installé par ceux d'un Joomla propre puis réinstaller tes extensions, modules, ...

Va lire mon article "Votre site a été hacké, que faire ? ", tu y trouveras des conseils pour trouver la vérole et l'éradiquer : http://aesecure.com/fr/site-hacke.html

Bonne journée.

Re : SIte hacker

Bonjour,

Est-ce que je dois d'abord supprimer tout mon site ou je refait seulement un téléchargement de la dernière version de Joomla (celle que j'utilise (2.5.18).
Je crois comprendre qu'il faut simplement faire un chargement de la dernière version complète de Joomla car si j'efface tout le site, je vais tout perdre.
J'ai regardé le site aesecure. Est-ce facile à installer sur un site Joomla. Qu'est-ce que ca va m'apporter de plus ?
Est-ce que les temps d'accès vont restés les mêmes ? Je ne vois pas non plus quel est le niveau que je devrais installé ?
Désolé pour toutes ces questions, mais je ne suis pas un expert !

Re : SIte hacker

Bonsoir

Si les fichiers ayant été hackés sont ceux de Joomla!, réinstaller un Joomla! propre corrigera le problème. Si les fichiers sont autres, le problème restera là tant tu que n'auras pas nettoyé le site càd retrouvé les fichiers malsains et les supprimer...

Tu peux déjà réinstaller ton Joomla, ton template et les modules/composants non natifs; cela permettra déjà de bien nettoyer le site;.

N'oublie pas que ce que tu as fait se trouve essentiellement dans la base de données; le fait de "supprimer" les fichiers n'a pas d'impact sur la base de données et vice-versa.

Note aussi que, parfois mais c'est plus rare, le code malware se trouve dans la base de données; dans un article par exemple. C'est bien plus rare...


Il y a une doc, réfère-toi à cette dernière. L'installation est très simple. Ce que cela va apporter ? Renforcer la protection de ton site (mais il faut qu'il soit clean d'abord). Temps d'accès théoriquement un poil plus long; de l'ordre de millisecondes; absolument insignifiant. Par contre, la version payante propose au contraire de l'optimisation du site et là, le gain en temps est notable.

La sécurisation du site est 100% fonctionnelle avec la version gratuite.

Reste qu'il faut d'abord nettoyer le site et le sécuriser => changer tes mots de passes Joomla, FTP, base de données, ...

Lire aussi le document que j'ai rédigé il y a quelques mois : http://allevents.avonture.be/fr/joom...-securite.html

Tu peux aussi utiliser myjoomla.com pour un scan (le premier est gratuit) de ton site.

Bonne chasse aux morpions.

Re : SIte hacker

Un site qui a été hacké pour envoyer des spams est quasiment toujours attaqué de la même manière :
- des fichiers cachés (point quelque chose),
- des scripts php disséminés un peu partout et qui sont appelés ensuite par les serveurs externe pour envoyer les cochonneries.

Une recherche qui donne de bon résultats pour nettoyer une grosse partie : à l'aide d'un outil de recherche, chercher dans tous les dossiers les fichiers contenant le texte "base64_decode".
Vérifier ensuite si la chaine qui est derrière est "justifiée" : pour cela, on s'intéresse déjà à une suite de lettre et de chiffres. entre guillemets et parenthèses.
Une solution pour voir ce qui est écrit est de le décoder : pour cela, il y a des sites en lignes qui proposent le décodage par un simple copié collé comme par exemple http://www.base64decode.org/

ATTENTION ! Ce n'est parce qu'un fichier contient un "base64_decode" que c'est un fichier piraté ! Par contre, cela permet "d'allumer des petites lumières" sur différents fichiers où il faut vérifier..

Un exemple du type de chaine que l'on peut trouver (j'ai mis du code exemple pour que cela ne soit pas "réel" :
Exemple de redirection :
Exemple de hack par injection, dans le fichier index.php par exemple, juste après la balise php :
Les fichiers ne sont pas forcément cachés : on va alors pouvoir également les repérer souvent parce que les noms de fichier on été générés aléatoirement, par exemple "Zodfi.php" ou un souvent trouvé "sittir.php"

Comme il a été dit : c'est une recherche longue et si un fichier reste en place, il faudra le trouver.
Dans la console OVH, si les envois de mails sont bloqués, c'est souvent symptomatique d'envoi de spams et donc d'un ou plusieurs fichiers qui sont encore présents..

Il y a d'autres méthodes de recherches (via les logs des serveurs par exemple), mais ceci est déjà un bon point de départ.

Chose importante : si le site a été hacké, il ne sert à rien de le nettoyer si la faille n'est pas trouvée (composants n'ayant pas été mis à jour, composants vulnérable, etc..), c'est alors une question de temps avant que les pirates ne réimplantent d'autres fichiers..

Cordialement,

Re : SIte hacker

Salut Xavier,

Très longue réponse et qui sent le pro qui a déjà rencontré ce type de problèmes ;-)

Pour le scan du site, il y a JAMSS (https://github.com/btoplak/Joomla-An...re-Scan-Script) qui permet de faire ce type de recherche mais attention aux faux-positifs; tout ce que JAMSS remonte n'est pas synonyme de malware.

Re : SIte hacker


Effectivement, j'ai déjà eu à "nettoyer" différents sites pour plusieurs personnes !
Ce type de hack est extrêmement fréquent sur des sites en Joomla!1.5 et je les vois encore sur des Joomla.2.5 qui n'ont pas été mis à jour ou utilisant des composants qui ne sont pas à jour.
Cela arrive généralement sur des sites hébergés en mutualisé, les serveurs dédiés permettant la plupart du temps de bloquer une majorité d'injections via des directives Apache (en désactivant des fonctions comme show_source, shell_exec, passthru, etc..)

Le souci est toujours le même : nettoyer est une chose, mais prévenir et empêcher que cela recommence est le plus important.

Cordialement,

Re : SIte hacker

Bonjour,

Je pense avoir enfin éliminé tous les fichiers qui avaient été insérés dans mon site. Depuis deux jours, il n'a y plus eu d'envoi de spams.
J'ai effectivement changé tous les mots de passe partout.
Sur les logs Joomla je vois depuis deux jours des rejets dus à des mots de passe incorrects.
J'ai mis à jour toutes les versions des composants que j'utilise, ainsi bien entendu Joomla (2.5.18, j'étais en 2.5.17 avant le hack).

Je pense prendre la version aesecure premium à 30€ par an. Que dois-je préparer avant de l'installer ?
Si je comprends bien, cette version devrait améliorer les temps de réponse. Comment le logiciel optimise t'il les accès ?
Y a t'il des modifications effectuées dans mon site ?

Re : SIte hacker

Salut

Nettoyer le site, ce que tu dis avoir fait.

Pour que tout soit parfaitement clair et transparent : la version gratuite offre déjà un excellent niveau de protection; la version payante apporte des fonctionnalités additionnelles; intéressantes comme effectivement la partie optimisation. Reste que la sécurité est bien, fortement, présente avec la version gratuite.

Ce qui est modifié, c'est ton fichier .htaccess qui est remplacé par celui de aeSecure. Le tien étant alors inclus dans celui de aeSecure afin de conserver ton paramétrage (si tu en avais un).

Ensuite, tu as une interface de gestion (voir la partie Demo de mon site) où tu peux activer les options à ta guise et selon ton site (telle option est intéressante sur le site 1 mais ne doit pas être activée sur le site 2; c'est toi qui décide cela).

Je place aussi des fichiers .htaccess dans certains dossiers clefs comme p.ex. /images, /media et /tmp pour interdire l'exécution de scripts php ==> un pirate qui parviendrait à mettre un fichier .php dans un ces trois dossiers ne pourra donc pas l'exécuter; le malware sera donc totalement inopérant.

Je place aussi un fichier index.html partout où il n'y en a pas, je te permets de scanner tes dossiers/fichiers à la racine du chmod 777 et de l'adapter pour sécuriser ton filesystem, etc. (je ne vais pas tout détailler ici, la documentation sur mon site s'en chargera :-))

Note : si ton site est sain, n'oublie pas de faire un backup et de le tester en local (restore) pour être sain d'avoir un backup réutilisable.

Bonne soirée.