Hack de mon site

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Hack de mon site

    Bonjour, je possède un site hébergé sur un mutualisé OVH qui viens d'être bloqué suite à un hack.

    En regardant les logs, j'ai remarqué des requêtes sur:

    POST /modules/mod_weblinks/tmpl/user.php (trojan d'après mon antivirus)

    Et dans le mail OVH m'indique:

    "Problème rencontré : Executing deleted program
    Commande apparente : ././ps
    Exécutable utilisé : /home/***/www/libraries/joomla/application/input/.nfs0000000003d1687200000af6
    Horodatage: Wed Jul 16 16:37:41 CEST 2014"

    Ce fichier est introuvable sur le site. Par sécurité, j'ai supprimé l'ensemble du FTP et j'ai restauré une sauvegarde akeeba que j'avais (assez vieille, mais je n'avais pas mis à jour le site depuis quelques temps). Ensuite, j'ai fait un update de joomla et de tout les composants.

    Je n'utilise plus non plus le mod_weblinks pour le moment et j'ai modifié un peu mon .htaccess avec ce que j'ai pu trouver sur le forum OVH.
    Mais je viens de regarder les logs, j'ai toujours les requêtes POST qui reviennent, et je redoute un nouveau hack...

    Qu'est-ce que je pourrais faire d'autre pour protéger le site?

    J'utilise Joomla 2.5.22v2 avec admin tools. J'utilisais la protection sentinelle sur un autre site en 1.5, mais pas trouvé pour la 2.5...

    Merci d'avance pour votre aide.
    Dernière édition par mike3184 à 03/08/2014, 19h56

  • #2
    Re : Hack de mon site

    Bonjour,
    Si vous avez réussi de faire une restauration avec succce, vérifier bien votre fichiers sur FTP et la base de donnée sur votre phpmyadmin, si tout va bien passe au fichier log pour savoir qui ce passe sur votre site.
    Ensuite changer chmod sur votre fichier de configuration à lire seulement c 444 et aussi index.php de votre template.
    Vérifier bien que votre cms joomla est a jour et tes extensions aussi.
    Sécuriser votre site avec le fichier .htacces, il y'a plusieurs commande pour bloquer les robots de spam et aspiration ainsi que désactiver la signature du serveur, bloquer listage des répertoires, bloquer l'accès à vous fichiers XML et txt etc...


    Envoyé de mon iPad à l'aide de Forum Joomla.fr

    Commentaire


    • #3
      Re : Hack de mon site

      Bonjour, le FTP et la base de donnée semblent sains.

      Sur le fichier log (le log web OVH), j'ai toujours les requêtes "POST /modules/mod_weblinks/tmpl/user.php" (le fichier user.php n'existe plus, il avait été installé sur le site par le hacker et était reconnu comme un trojan par l'antivirus, comment il a été installé, je ne sais pas...).

      Le chmod 444 est fait.

      Joomla et ses extensions/composants sont maintenant à jour (il y en a très peu).

      J'ai rajouté ça au fichier htaccess:
      Code:
      Options -Indexes
      
      ###FILTRE CONTRE CERTAINS ROBOTS DES PIRATES
      ## EXCEPTION: TOUS LES ROBOTS MEMES ANONYMES OU BANNIS PEUVENT ACCEDER A CES FICHIERS
      RewriteCond %{REQUEST_URI} !^/robots.txt
      RewriteCond %{REQUEST_URI} !^/sitemap.xml
      ##
      RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR] ## ANONYMES
      RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,}|^[A-Za-z]{3,}\ [a-z]{4,}\ [a-z]{4,} [OR] ## CEUX QUI INVENTENT DES NOMS AU HASARD 
      RewriteCond %{HTTP_USER_AGENT} ^<sc|<\?|^adwords|@nonymouse|Advanced\ Email\ Extractor|almaden|anonymous|Art-Online|autoemailspider|blogsearchbot-martin|CherryPicker|compatible\ \;|Crescent\ Internet\ ToolPack|Digger|DirectUpdate|Download\ Accelerator|^eCatch|echo\ extense|EmailCollector|EmailWolf|Extractor|flashget|frontpage|Go!Zilla|grub\ crawler|HTTPConnect|httplib|HttpProxy|HTTP\ agent|HTTrack|^ia_archive|IDBot|id-search|Indy\ Library|^Internet\ Explorer|^IPiumBot|Jakarta\ Commons|^Kapere|Microsoft\ Data|Microsoft\ URL|^minibot\(NaverRobot\)|^Moozilla|^Mozilla$|^MSIE|MJ12bot|Movable\ Type|NICErsPRO|^NPBot|Nutch|Nutscrape/|^Offline\ Explorer|^Offline\ Navigator|OmniExplorer|^Program\ Shareware|psycheclone|PussyCat|PycURL|python|QuepasaCreep|SiteMapper|Star\ Downloader|sucker|SurveyBot|Teleport\ Pro|Telesoft|TrackBack|Turing|TurnitinBot|^user|^User-Agent:\ |^User\ Agent:\ |vobsub|webbandit|WebCapture|webcollage|WebCopier|WebDAV|WebEmailExtractor|WebReaper|WEBsaver|WebStripper|WebZIP|widows|Wysigot|Zeus|Zeus.*Webster [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
      RewriteCond %{HTTP_USER_AGENT} ^curl|^Fetch\ API\ Request|GT\:\:WWW|^HTTP\:\:Lite|httplib|^Java/1.|^Java\ 1.|^LWP|libWeb|libwww|^PEAR|PECL\:\:HTTP|PHPCrawl|^Program\ Shareware|python|Rsync|Snoopy|^URI\:\:Fetch|WebDAV|^Wget [NC] ## BIBLIOTHEQUES / CLASSES HTTP DONT ON NE VEUT PAS. ATTENTION, CELA PEUT BLOQUER CERTAINES FONCTIONS DE VOTRE CMS. NE PAS TOUT EFFACER, MAIS CHERCHEZ LE NOM DE LA CLASSE HTTP CONCERNEE (DEMANDEZ AUX DEVELOPPEURS DE VOTRE CMS). CETTE LISTE BLOQUE 80% DES ROBOTS SPAMMEURS. IL FAUT LA CONSERVER.
      RewriteRule (.*) - [F]
      
      ### DES FAUX URLS, ON LES NEUTRALISE
      RedirectMatch gone ^/_vti.*
      RedirectMatch gone ^/MSOffice.*
      RedirectMatch gone ^[-_a-z0-9/\.]*//.*
      RedirectMatch gone ^.*/etc/passwd.*
      
      ### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE
      RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
      RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|:)(/|%2F){2}(.*)$ [NC,OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER CERTAINES REDIRECTIONS RESSEMBLANT A: http://www.truc.fr/index.php?r=http://www.google.fr ##
      RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(SELECT(%20|\+)|UNION(%20|\+)ALL|INSERT(%20|\+)|DELETE(%20|\+)|CHAR\(|UPDATE(%20|\+)|REPLACE(%20|\+)|LIMIT(%20|\+))(.*)$ [NC]
      RewriteRule (.*) - [F]
      Je ne sais pas si c'est suffisant pour le htaccess? Je voudrais bien bloquer cette commande POST aussi...

      PS: j'ai également activé le firewall OVH (le mod_security en fait).
      Dernière édition par mike3184 à 17/07/2014, 06h37

      Commentaire


      • #4
        Re : Hack de mon site

        Bonjour,
        Je suis dans le même cas que vous sur plusieurs de mes sites, et ça m'est arrivé à peu près en même temps que vous. J'ai effectué les mêmes démarches mais le problème survient toujours sur plusieurs de mes sites en plus. Aucune trace non plus de ces fichiers sur l'hébergement.
        Je ne sais plus quoi faire. Help me

        Commentaire


        • #5
          Re : Hack de mon site

          Bonjour,
          Cet appel de fichier sert de relais de spams : après implantation sur le site, il est appelé périodiquement pour envoyer les cochonneries des spammeurs.
          Si le site était protégé par AdminTools, cela veut que soit un composant est vulnérable, soit la protection mise en place par AdminTools n'a pas été réalisée correctement (htaccess par exemple).

          Une solution est d'activer la protection par htaccess et de vérifier que le site fonctionne bien (le htaccess bloquant certains fichiers, ceci étant du quelque fois à des choix illogiques de la part des développeurs de composants pour stocker leurs fichiers).

          Une solution alternative et efficace est Aesecure : il peut être utilisé tout seul ou en parrallèle à AdminTools.
          Un des outils de Aesecure est d'afficher la liste des modifications réalisées sur les fichiers du site, par exemple la veille : ceci permet de visualiser immédiatement si il y a eu une intrusion et de contrer tout de suite la menace.

          Cordialement,
          Chabi01 - http://www.xlformation.com

          Commentaire


          • #6
            Re : Hack de mon site

            Je n'avais pas fait la mise à jour de Joomla et des composants depuis un moment (AdminTools inclu). Ca viens peu être de ça aussi. Enfin, tout est à jour maintenant, mais je continue quand même de recevoir ces requêtes POST...

            Oui, j'ai vu pour aesecure, j'ai lu le fichier pdf joomla_security dispo sur le site, j'ai essayé les quelques modifs du htaccess mais certaines fois j'ai des erreurs 403 ou 500, donc j'ai préféré supprimer ces modifs pour l'instant. De même pour les chmod sur le htaccess et configuration.php qui m'interdit l'accès au site (j'ai donc laissé en 444 au lieu de 400 ou 440).

            Par ailleurs, aesecure se couple à AdminTools, mais est-ce qu'il se couple également au plugin jHackGuard qui inclus déjà des modifications htaccess? Est-ce qu'il faudra que je garde ou pas les modifs du htaccess que j'ai déjà faites plus haut?

            Merci.

            Commentaire


            • #7
              Re : Hack de mon site

              Bonjour,

              pour ce qui est des mérites comparés des différents outils et de l'utilité (ou l'absence de ...) d'empiler deux ou trois logiciels de sécurité sur un site (combien d'antivirus sur ton PC ?) , relire le très intéressant et récent échange sur le sujet :


              Cordialement
              Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

              Commentaire


              • #8
                Re : Hack de mon site

                Petite info : au niveau de tes logs incluant tes POST, c'est "normal" : le hacker a mis en place plusieurs robots qui tente d'envoyer leur cochonneries via le fichier qu'il avait implanté (user.php) : cela doit donc maintenant correspondre à des erreurs 404 si tu as bien supprimé le fichier.

                jHackGuard, je ne connais pas, mais je t'invite effectivement à lire le post indiqué par Pieceofcake dans son message précédent.
                Cordialement,
                Chabi01 - http://www.xlformation.com

                Commentaire


                • #9
                  Re : Hack de mon site

                  En fait je pose la question car c'est justement en lisant le pdf de aesecure qu'il conseillais d'installer jHackGuard, mais aussi Crawlprotect, mais aussi faire des modifs du htaccess etc... Ca me parait beaucoup de doublons, utiliser aesecure seul me semble suffisant, mais je ne veux pas me tromper non plus.

                  Ok je comprends pour les messages POST, j'ai installer un plugin pour bloquer les requêtes en provenance de Chine, je vais voir si c'est efficace déjà, mais j'ai des erreurs 500 là, pas 404.

                  PS: J'ai un seul et unique Antivirus sur mon PC, pour être efficace, il suffit juste d'avoir "le bon"

                  Commentaire


                  • #10
                    Re : Hack de mon site

                    Erreur 500 ? Cela signifie que tu n'as pas encore réactivé ton site ? Tu dois faire un "site chmod 705/" via Filezilla pour réactiver ton site, mais seulement après l'avoir "nettoyé" !
                    Regarde ce guide ovh pour remettre ton site en route : http://www.ovh.com/fr/g1392.procedur...eture-hack-ovh
                    Cordialement,
                    Chabi01 - http://www.xlformation.com

                    Commentaire


                    • #11
                      Re : Hack de mon site

                      Si si j'ai bien nettoyé et réactivé, l'erreur 500 est uniquement sur la requête POST que la hackeur continu d'envoyer.

                      PS: Petite précision, j'utilise la version free de admin tools, donc il y a pas tant de fonction que ça finalement, et le coupler à aesecure ne serait pas du luxe je pense, j'utilise aussi le plugin secure authentication qui modifie simplement le nom d'accés à la page d'admin. Vu que c'est un petit site, je préfère rester sur des solutions gratuites quand même, donc je vais regarder aesecure de plus prés.

                      Commentaire


                      • #12
                        Re : Hack de mon site

                        Une erreur 500 est une erreur au niveau du serveur même : tu ne devrais avoir qu'une erreur 404 (fichier introuvable) quand le robot demande le fichier, pas un refus complet de ton serveur...
                        Chabi01 - http://www.xlformation.com

                        Commentaire


                        • #13
                          Re : Hack de mon site

                          Alors j'ai regardé, il semblerai que le problème vienne du htaccess justement, et plus précisément de la règle:
                          Code:
                          RewriteRule .* index.php [L]
                          C'est un règle du fichier de base de Joomla, je ne l'ai pas ajoutée.
                          Quand je commente la ligne, j'ai bien une erreur 404, quand je remplace mon htaccess par celui de Joomla j'ai une erreur sur le fichier "includes/framework.php" ligne 42.

                          Edit: l'erreur sur le fichier php c'est rien, faut juste repréciser dans le htaccess d'utiliser php 5.3
                          Dernière édition par mike3184 à 17/07/2014, 18h19

                          Commentaire


                          • #14
                            Re : Hack de mon site

                            Donc, le htaccess que tu utilises n'est pas l'original de Joomla..
                            Bon..
                            Commence par désactiver la réécriture des urls dans la config de Joomla : est-ce que cela fonctionne ou pas ?
                            Cordialement,
                            Chabi01 - http://www.xlformation.com

                            Commentaire


                            • #15
                              Re : Hack de mon site

                              L'original de Joomla me donne le même résultat, c'est ce que je voulais dire plus haut. Celui de aesecure me donne également le même résultat.
                              Si je désactive la réécriture d'url dans Joomla, j’atterris sur ma page d'accueil mais avec des bugs dans le css et des images manquantes (juste la bannière qui bug à priori).

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X