Infection PHP Mail

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [RÉGLÉ] Infection PHP Mail

    Bonjour à tous,

    Mes sites ont été bloqué, ils envoient des milliers de mails (4000 en 8 heures). J'ai contacté l'hébergeur qui m'a confirmé un problème avec la fonction Mail de php et me recommande de voir du coté du fichier wishlistCqky.php que je ne trouve pas, il y avait un répertoire pwksfmaw que j'ai supprimé, mais le répertoire était vide.

    Customized WordPress, Joomla Brute Force Login Attempts
    http://blogs.cisco.com/security/customized-wordpress-joomla-brute-force-login-attempts/
    In recent weeks, the occurrence of brute force login attempts targeting WordPress and Joomla installations have significantly increased in volume, with



    J'ai demandé à l'hébergeur ou était se fichier et j'attend sa réponse, mais je ne sais pas trop quoi faire quand même.

    J'utilise la dernière version de joomla 2.5.19.

    Merci pour vos conseils et votre aide.
    Dernière édition par Tee shot à 02/04/2014, 07h02
    Tags: Aucun
  • #2
    Re : Infection PHP Mail

    A tout hasard, regarde dans ton répertoire images/ et les sous-rép
    Christophe
    http://www.webcrea.fr

    Commentaire

    • #3
      Re : Infection PHP Mail

      Merci webcrea,

      J'ai fait une recherche ftp et je l'ai trouvé dans module/mod_articles_popular

      je le supprime, mais comment savoir ou est la faille? La faille est elle dans le module ou il se trouve?


      [edit] j'ai trouvé le fichier installWlplH.php avec, j'ai supprimé aussi.

      J'ai chargé les 2 fichiers sur mon pc et windows defender a immédiatement réagit.
      Merci
      Dernière édition par Tee shot à 01/04/2014, 10h49

      Commentaire

      • #4
        Re : Infection PHP Mail

        Re,

        J'ai trouvé ça dans les logs :
        Le premier mail est parti le infozz@teeshotweb.com infod@stat-run.info wishlistCqky.php PHP 29-03-2014 05:04:22

        J'ai regardé les logs et j'ai
        37.139.47.243 - - [29/Mar/2014:05:04:18 +0100] "POST /components/com_jnews/includes/openflashchart/tmp-upload-images/ir.php HTTP/1.0" 200 8504 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
        37.139.47.243 - - [29/Mar/2014:05:04:22 +0100] "POST /modules/mod_articles_popular/wishlistCqky.php HTTP/1.0" 200 59 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
        cette adresse ip à commencée à apparaitre le
        37.139.47.243 - - [28/Mar/2014:19:20:51 +0100] "POST /components/com_jnews/includes/openflashchart/tmp-upload-images/ir.php HTTP/1.0" 200 3527 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"

        et à disparue après le [29/Mar/2014:05:04]

        je ne sais pas trop quoi regarder dans le fichier log, si quelqu'una une idée, toute aide est la bienvenue, je peux fournir les logs entre les 2 dates.

        Merci
        Merci
        Dernière édition par Tee shot à 01/04/2014, 11h43

        Commentaire

        • #5
          Re : Infection PHP Mail

          Bon je pense que la faille se trouve dans jnews, ma version n'est pas à jour 7.7.1.

          Redirection
          http://bot24.blogspot.fr/2012/11/jnews-comjnews-700-775-execute.html


          j'espère ne pas me tromper.

          Commentaire

          • #6
            Re : Infection PHP Mail

            retire le ir.php
            Christophe
            http://www.webcrea.fr

            Commentaire

            • #7
              Re : Infection PHP Mail

              Merci c'est supprimé.

              J'attend l'hébergeur pour supprimer le composant.


              @+

              Commentaire

              • #8
                Re : Infection PHP Mail

                Re,

                Bizarrement, je n'ai pas jnews dans mes composants, il est vrai que j'en ai testé pas mal au début, peut être une mauvaise désinstallation?

                Dans tous les cas j'ai supprimé les dossiers com_jnews dans components et administrator/components et le plugin jnews, pas de base sql en vue. C'est tout ce que je dois faire?

                Merci

                Commentaire

                Précédent template Suivant

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire
                Hébergeur Web PlanetHoster
                Travaille ...
                X