Hack de mon site

**sbahjaoui** · 17/07/2014, 02h13

Re : Hack de mon site

Bonjour,
Si vous avez réussi de faire une restauration avec succce, vérifier bien votre fichiers sur FTP et la base de donnée sur votre phpmyadmin, si tout va bien passe au fichier log pour savoir qui ce passe sur votre site.
Ensuite changer chmod sur votre fichier de configuration à lire seulement c 444 et aussi index.php de votre template.
Vérifier bien que votre cms joomla est a jour et tes extensions aussi.
Sécuriser votre site avec le fichier .htacces, il y'a plusieurs commande pour bloquer les robots de spam et aspiration ainsi que désactiver la signature du serveur, bloquer listage des répertoires, bloquer l'accès à vous fichiers XML et txt etc...

Envoyé de mon iPad à l'aide de Forum Joomla.fr

**mike3184** · 17/07/2014, 06h35

Re : Hack de mon site

Bonjour, le FTP et la base de donnée semblent sains.

Sur le fichier log (le log web OVH), j'ai toujours les requêtes "POST /modules/mod_weblinks/tmpl/user.php" (le fichier user.php n'existe plus, il avait été installé sur le site par le hacker et était reconnu comme un trojan par l'antivirus, comment il a été installé, je ne sais pas...).

Le chmod 444 est fait.

Joomla et ses extensions/composants sont maintenant à jour (il y en a très peu).

J'ai rajouté ça au fichier htaccess:

Code:

Options -Indexes

###FILTRE CONTRE CERTAINS ROBOTS DES PIRATES
## EXCEPTION: TOUS LES ROBOTS MEMES ANONYMES OU BANNIS PEUVENT ACCEDER A CES FICHIERS
RewriteCond %{REQUEST_URI} !^/robots.txt
RewriteCond %{REQUEST_URI} !^/sitemap.xml
##
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR] ## ANONYMES
RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,}|^[A-Za-z]{3,}\ [a-z]{4,}\ [a-z]{4,} [OR] ## CEUX QUI INVENTENT DES NOMS AU HASARD 
RewriteCond %{HTTP_USER_AGENT} ^<sc|<\?|^adwords|@nonymouse|Advanced\ Email\ Extractor|almaden|anonymous|Art-Online|autoemailspider|blogsearchbot-martin|CherryPicker|compatible\ \;|Crescent\ Internet\ ToolPack|Digger|DirectUpdate|Download\ Accelerator|^eCatch|echo\ extense|EmailCollector|EmailWolf|Extractor|flashget|frontpage|Go!Zilla|grub\ crawler|HTTPConnect|httplib|HttpProxy|HTTP\ agent|HTTrack|^ia_archive|IDBot|id-search|Indy\ Library|^Internet\ Explorer|^IPiumBot|Jakarta\ Commons|^Kapere|Microsoft\ Data|Microsoft\ URL|^minibot\(NaverRobot\)|^Moozilla|^Mozilla$|^MSIE|MJ12bot|Movable\ Type|NICErsPRO|^NPBot|Nutch|Nutscrape/|^Offline\ Explorer|^Offline\ Navigator|OmniExplorer|^Program\ Shareware|psycheclone|PussyCat|PycURL|python|QuepasaCreep|SiteMapper|Star\ Downloader|sucker|SurveyBot|Teleport\ Pro|Telesoft|TrackBack|Turing|TurnitinBot|^user|^User-Agent:\ |^User\ Agent:\ |vobsub|webbandit|WebCapture|webcollage|WebCopier|WebDAV|WebEmailExtractor|WebReaper|WEBsaver|WebStripper|WebZIP|widows|Wysigot|Zeus|Zeus.*Webster [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
RewriteCond %{HTTP_USER_AGENT} ^curl|^Fetch\ API\ Request|GT\:\:WWW|^HTTP\:\:Lite|httplib|^Java/1.|^Java\ 1.|^LWP|libWeb|libwww|^PEAR|PECL\:\:HTTP|PHPCrawl|^Program\ Shareware|python|Rsync|Snoopy|^URI\:\:Fetch|WebDAV|^Wget [NC] ## BIBLIOTHEQUES / CLASSES HTTP DONT ON NE VEUT PAS. ATTENTION, CELA PEUT BLOQUER CERTAINES FONCTIONS DE VOTRE CMS. NE PAS TOUT EFFACER, MAIS CHERCHEZ LE NOM DE LA CLASSE HTTP CONCERNEE (DEMANDEZ AUX DEVELOPPEURS DE VOTRE CMS). CETTE LISTE BLOQUE 80% DES ROBOTS SPAMMEURS. IL FAUT LA CONSERVER.
RewriteRule (.*) - [F]

### DES FAUX URLS, ON LES NEUTRALISE
RedirectMatch gone ^/_vti.*
RedirectMatch gone ^/MSOffice.*
RedirectMatch gone ^[-_a-z0-9/\.]*//.*
RedirectMatch gone ^.*/etc/passwd.*

### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|:)(/|%2F){2}(.*)$ [NC,OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER CERTAINES REDIRECTIONS RESSEMBLANT A: http://www.truc.fr/index.php?r=http://www.google.fr ##
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(SELECT(%20|\+)|UNION(%20|\+)ALL|INSERT(%20|\+)|DELETE(%20|\+)|CHAR\(|UPDATE(%20|\+)|REPLACE(%20|\+)|LIMIT(%20|\+))(.*)$ [NC]
RewriteRule (.*) - [F]

Je ne sais pas si c'est suffisant pour le htaccess? Je voudrais bien bloquer cette commande POST aussi...

PS: j'ai également activé le firewall OVH (le mod_security en fait).

**jarox** · 17/07/2014, 08h34

Re : Hack de mon site

Bonjour,
Je suis dans le même cas que vous sur plusieurs de mes sites, et ça m'est arrivé à peu près en même temps que vous. J'ai effectué les mêmes démarches mais le problème survient toujours sur plusieurs de mes sites en plus. Aucune trace non plus de ces fichiers sur l'hébergement.
Je ne sais plus quoi faire. Help me

**chabi01** · 17/07/2014, 10h41

Re : Hack de mon site

Bonjour,
Cet appel de fichier sert de relais de spams : après implantation sur le site, il est appelé périodiquement pour envoyer les cochonneries des spammeurs.
Si le site était protégé par AdminTools, cela veut que soit un composant est vulnérable, soit la protection mise en place par AdminTools n'a pas été réalisée correctement (htaccess par exemple).

Une solution est d'activer la protection par htaccess et de vérifier que le site fonctionne bien (le htaccess bloquant certains fichiers, ceci étant du quelque fois à des choix illogiques de la part des développeurs de composants pour stocker leurs fichiers).

Une solution alternative et efficace est Aesecure : il peut être utilisé tout seul ou en parrallèle à AdminTools.
Un des outils de Aesecure est d'afficher la liste des modifications réalisées sur les fichiers du site, par exemple la veille : ceci permet de visualiser immédiatement si il y a eu une intrusion et de contrer tout de suite la menace.

Cordialement,

**mike3184** · 17/07/2014, 10h58

Re : Hack de mon site

Je n'avais pas fait la mise à jour de Joomla et des composants depuis un moment (AdminTools inclu). Ca viens peu être de ça aussi. Enfin, tout est à jour maintenant, mais je continue quand même de recevoir ces requêtes POST...

Oui, j'ai vu pour aesecure, j'ai lu le fichier pdf joomla_security dispo sur le site, j'ai essayé les quelques modifs du htaccess mais certaines fois j'ai des erreurs 403 ou 500, donc j'ai préféré supprimer ces modifs pour l'instant. De même pour les chmod sur le htaccess et configuration.php qui m'interdit l'accès au site (j'ai donc laissé en 444 au lieu de 400 ou 440).

Par ailleurs, aesecure se couple à AdminTools, mais est-ce qu'il se couple également au plugin jHackGuard qui inclus déjà des modifications htaccess? Est-ce qu'il faudra que je garde ou pas les modifs du htaccess que j'ai déjà faites plus haut?

Merci.

**PieceOfCake** · 17/07/2014, 13h14

Re : Hack de mon site

Bonjour,

pour ce qui est des mérites comparés des différents outils et de l'utilité (ou l'absence de ...) d'empiler deux ou trois logiciels de sécurité sur un site (combien d'antivirus sur ton PC ?) , relire le très intéressant et récent échange sur le sujet :

Quelle solution de protection? AESECURE OU OSE SECURITY SUITE - Forums Joomla.fr

http://forum.joomla.fr/showthread.php?200436-Quelle-solution-de-protection-AESECURE-OU-OSE-SECURITY-SUITE/page3&highlight=aesecure+AdminTools

Cordialement

**chabi01** · 17/07/2014, 13h40

Re : Hack de mon site

Petite info : au niveau de tes logs incluant tes POST, c'est "normal" : le hacker a mis en place plusieurs robots qui tente d'envoyer leur cochonneries via le fichier qu'il avait implanté (user.php) : cela doit donc maintenant correspondre à des erreurs 404 si tu as bien supprimé le fichier.

jHackGuard, je ne connais pas, mais je t'invite effectivement à lire le post indiqué par Pieceofcake dans son message précédent.
Cordialement,

**mike3184** · 17/07/2014, 13h51

Re : Hack de mon site

En fait je pose la question car c'est justement en lisant le pdf de aesecure qu'il conseillais d'installer jHackGuard, mais aussi Crawlprotect, mais aussi faire des modifs du htaccess etc... Ca me parait beaucoup de doublons, utiliser aesecure seul me semble suffisant, mais je ne veux pas me tromper non plus.

Ok je comprends pour les messages POST, j'ai installer un plugin pour bloquer les requêtes en provenance de Chine, je vais voir si c'est efficace déjà, mais j'ai des erreurs 500 là, pas 404.

PS: J'ai un seul et unique Antivirus sur mon PC, pour être efficace, il suffit juste d'avoir "le bon"

**chabi01** · 17/07/2014, 13h54

Re : Hack de mon site

Erreur 500 ? Cela signifie que tu n'as pas encore réactivé ton site ? Tu dois faire un "site chmod 705/" via Filezilla pour réactiver ton site, mais seulement après l'avoir "nettoyé" !
Regarde ce guide ovh pour remettre ton site en route : http://www.ovh.com/fr/g1392.procedur...eture-hack-ovh
Cordialement,

**mike3184** · 17/07/2014, 14h11

Re : Hack de mon site

Si si j'ai bien nettoyé et réactivé, l'erreur 500 est uniquement sur la requête POST que la hackeur continu d'envoyer.

PS: Petite précision, j'utilise la version free de admin tools, donc il y a pas tant de fonction que ça finalement, et le coupler à aesecure ne serait pas du luxe je pense, j'utilise aussi le plugin secure authentication qui modifie simplement le nom d'accés à la page d'admin. Vu que c'est un petit site, je préfère rester sur des solutions gratuites quand même, donc je vais regarder aesecure de plus prés.

**chabi01** · 17/07/2014, 17h40

Re : Hack de mon site

Une erreur 500 est une erreur au niveau du serveur même : tu ne devrais avoir qu'une erreur 404 (fichier introuvable) quand le robot demande le fichier, pas un refus complet de ton serveur...

**mike3184** · 17/07/2014, 18h09

Re : Hack de mon site

Alors j'ai regardé, il semblerai que le problème vienne du htaccess justement, et plus précisément de la règle:

Code:

RewriteRule .* index.php [L]

C'est un règle du fichier de base de Joomla, je ne l'ai pas ajoutée.
Quand je commente la ligne, j'ai bien une erreur 404, quand je remplace mon htaccess par celui de Joomla j'ai une erreur sur le fichier "includes/framework.php" ligne 42.

Edit: l'erreur sur le fichier php c'est rien, faut juste repréciser dans le htaccess d'utiliser php 5.3

**chabi01** · 17/07/2014, 18h27

Re : Hack de mon site

Donc, le htaccess que tu utilises n'est pas l'original de Joomla..
Bon..
Commence par désactiver la réécriture des urls dans la config de Joomla : est-ce que cela fonctionne ou pas ?
Cordialement,

**mike3184** · 17/07/2014, 18h51

Re : Hack de mon site

L'original de Joomla me donne le même résultat, c'est ce que je voulais dire plus haut. Celui de aesecure me donne également le même résultat.
Si je désactive la réécriture d'url dans Joomla, j’atterris sur ma page d'accueil mais avec des bugs dans le css et des images manquantes (juste la bannière qui bug à priori).

Hack de mon site

[RÉGLÉ] Hack de mon site

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association