Re : Attaque spammeur, bis

J'ai un fichier sur lequel j'ai un doute qui contint ceci :

Re : Attaque spammeur, bis

J'ai également installé aeSecure. J'ai interdit l'adresse IP 91.200.12.72 dans la section "1.5 Blocage d'adresses IP" mais je retrouve ces lignes dans les logs OVH : "91.200.12.72 lpoaquitaine.org - [18/Aug/2014:02:24:52 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
91.200.12.72 lpoaquitaine.org - [18/Aug/2014:02:24:53 +0200] "GET /administrator/index.php HTTP/1.1" 200 6143 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)""

Re : Attaque spammeur, bis

Salut Aesecure ne peut pas vraiment te protéger que fois que ton site est infecté
Tu peux scanner ton site avec https://sucuri.net/
Par contre si il est infecté il va falloir mettre les mains dedans et tout nettoyer.

Re : Attaque spammeur, bis

Bonsoir

N'ait plus aucun doute : c'est un malware. Ce fichier est un virus et ne devrait pas être là.

Quel est le chemin d'accès complet vers ce fichier ? Si c'est /plugins/xxxx.php càd un fichier .php dans la racine du dossier plugins, il ne faut même pas se poser la question : sous Joomla, tu ne trouveras jamais de fichiers php immédiatement sous /components, /modules ou encore /plugins.

Tu as ouvert le fichier et c'est clair comme de l'eau de roche : ton site à été (encore?) piraté.

Bonne idée

Juste une remarque : c'est une excellente idée de regarder le log (vraiment!) toutefois il ne faut pas "prendre" peur quand tu constates des dizaines / centaines d'urls vers p.ex. ton admin. C'est juste des scripts ou des personnes qui "jouent" et tentent d'accéder à ton admin. En ça, zéro soucis.

Ce qu'il faut regarder, c'est le code HTTP qui est fournit à la suite

303 : la requête a été reroutée (see others) vers une requête de type GET; que tu donnes juste après :

La page de l'admin a été ... affichée. Le petit malin a donc vu ta page de connexion. Et c'est tout. Cette ligne a un code 200. Le serveur web dit que la page s'est affichée; rien de méchant.

Ce qu'il faut regarder, ce sont des urls de type http://.../administrator/index.php?option=xxxxxxx càd des urls d'administration (autre que index.php tout court) car cela veut dire que quelqu'un a accédé à une option de ton admin si, et seulement si, le code est 200.

Là, si ce n'est pas toi, il faut être vigilant.

Il faut aussi regarder toutes urls suspectes (p.ex. un /plugins/xxxx.php car comme je l'ai dit, il n'y a aucun fichier .php directement sous /plugins).

Comme l'indique Toffffe, aeSecure offre deux protections : il vise à empêcher (au maximum) à un intrus de pénétrer un site et il vise à empêcher (au maximum) à un intrus ayant pénétré un site d'exploiter une faille.

Dans ton cas, trop tard, il est rentré. aeSecure sera utile pour bloquer l'exploitation de certaines attaques mais si tu as un fichier piraté comme p.ex. http://tonsite/components/com_content/view/article.php (fichier ayant été hacké), aeSecure ne pourra détecter l'url comme malsaine car, syntaxiquement, l'url est safe.

Sur base de la liste des fichiers que tu as transmis dans ton premier post, rapide survol à l'oeil et je pense que les fichiers suivant sont des virus :

* \components\movie.php (ce fichier, immédiatement dans /components, est forcément un virus)
* \components\com_phocadownload\fyti53.php (avec un tel nom, virus)
* \components\com_weblinks\views\object.php (ce fichier n'existe pas dans Joomla natif)
* \media\contentbuilder\plugins\system.php (un dossier plugins dans /media ? étrange)
* \media\com_allevents\css\sql.php (le papa d'AllEvents que je suis sais que sql.php n'est pas un fichier AE)
* \components\com_allevents\override\model.php (idem; ce fichier n'existe pas dans AE)
* \plugins\allevents\importation\components\EventLis t\object.php (idem, ce fichier n'existe pas dans AE)

Donc, oui, il est temps de *** nettoyer à fond *** ton site et de le protéger un maximum. Pour t'aider, lit cette documentatino : http://www.aesecure.com/fr/blog/site-hacke.html

Bonne soirée et bon travail.

Re : Attaque spammeur, bis

J'ai commencé le nettoyage du site... quelle galère !
Dans /templates/ja_t3_blank/bloks/iphone/login.php j'ai ce code : Virus ou pas svp? Je deviens parano

Re : Attaque spammeur, bis

Cela n'y ressemble pas.

Pour le savoir, télécharge le composant/modules/plugin/template (ici, le template JA_T3) et regarde si le fichier suspecté s'y trouve. C'est la seule méthode pour être sûr.

Re : Attaque spammeur, bis

Oui effectivement il est présent dans le template d'origine, merci Bon je continu mon nettoyage.

Re : Attaque spammeur, bis

Bon, je trouve dans des fichiers natif de Joomla ou de composants du code inséré du style Je ne vais pas devoir vérifier les 21000 et quelques fichier?

Re : Attaque spammeur, bis

As-tu lu mon document ? je t'en ai parlé dans le post #5

Re : Attaque spammeur, bis

Je l'ai zapé Donc en d'autre terme je télécharge la dernière version de Joomla et j'écrase l'actuel via Filezilla? Bien sûr en préservant les dossiers /images /templates. Ces dossiers étant sain j'ai vérifier chaque dossier et fichier. Il faudra donc que je réinstalle les composants, plugins et modules?

Re : Attaque spammeur, bis

Bon, le site semble propre j'ai tout remis en place pourvu que ce soit bon cette fois ci J'ai tout de même interdit en écriture tous les dossiers et fichiers par précaution.
Dans les jours à venir je vais surveiller les logs d'OVH pour être sur que pote le spammeur est bien parti

Une dernière petite question. Est-il possible de d'interdire toute la plage IP attribuée à une pays stp? Dans mon cas l'Ukraine.

Je tiens remercier toute les personnes qui m'ont accordé un de leur temps, en particulier cavo789.

Cordialement
JM

Re : Attaque spammeur, bis

Bonjour

J'en parle dans mon document : http://www.aesecure.com/fr/blog/joomla-securite.html

A la fin du document, tu trouveras un plugin Joomla nommé (désolé, j'ai oublié le nom précis). C'est BlockCountry ou quelque chose du genre. Plugin gratuit pour Joomla.

Re : Attaque spammeur, bis

Merci pour l'info je crois que je deviens un peu parano

Merci encore pour ton aide

Re : Attaque spammeur, bis

J'ai attendu quelques jours avant d'en être sûr mais il semble que, grâce à votre aide, j'ai pu virer mon spammeur Plis aucun spam part de mon site depuis 1 semaine

Un grand merci à toute les personnes qui m'ont aidé, et permis par la même occasion d'apprendre pas de chose

Bonne fin de semaine à tous et bon WE
JM