Re : Nettoyer un site piraté

Bonsoir,
quand on dis qu'il faut suivre les mises a jour
Bon sinon as tu une sauvegarde au moins ?

retiens deja tous ces fichiers ou dossiers ou les dates de modif concordent --> ça peut etre une piste
et si tu as une date precise, regarde dans tes logs, tu pourra tenté de comprendre ce qui c'est passé

Niveau securité et site hacké, lis cet article bien precieux. Profite en pour installer un minimum de protection

Desinfecté un site web peut prendre du temps ... tout depend de l'attaque

bon courage

Re : Nettoyer un site piraté

Bonsoir

Tu as une sauvegarde saine de ton site ? Restaure-là.

Non? Gloups...

Perso, ce que je fais :

* je récupère le site véreux en local,
* je prends note des extensions utilisées et devant continuer à l'être (je regarde dans le dossier /components, /modules et /plugins quels sont les dossiers (=extensions) que je veux garder sur mon site)
* je regarde quel est le template utilisé (je note son nom)
et je supprime TOUT : je supprime les dossiers de Joomla, des extensions / modules / plugins / template. Tout à la poubelle.

Je ne garde que /images et /media.

Je remets du propre, partout : un Joomla tout propre, les extensions depuis les sites des éditeurs, le template depuis le site de l'éditeur, etc. Tout, que du propre ==> si tu as des extensions commerciales, j'espère que tu as encore les fichiers zip / les accès.

Pour /images et /media, je passe le tout aux antivirus (plusieurs), adware (plusieurs) et autres outils ainsi que mes petits yeux : noms de fichiers bizarre, contenu véreux (Notepad++), etc.

J'utilise aussi des scanners pour repérer des instructions illicites (decode64, etc). Note qu'en principe il ne devrait jamais avoir de code php dans /images et /media.

Je scanne aussi les images et autre avec un outil de détection de type Mime (est-ce que le fichier avec l'extension .gif, est-ce vraiment une image ou du code ?).

Quand mon site est propre; je le backupe une fois, deux fois et je remonte une archive sur mon site de production après l'avoir supprimé de fond en comble (=> je supprime tout de mon FTP).

Et, finalement, je scanne ma base de données (exportation au format SQL et recherche de code comme des iframe, "position:absolute", etc.).

Et, bien évidemment, rien ne fonctionne à 100% => il faut que je repasse ici ou là pour réinstaller quelque chose, reparamétrer quelque chose, etc. mais au moins avec cette méthodologie, mon site est sain.

Et là, dernière chose : protection ! Je blinde le site afin qu'il ne soit plus aussi facilement hackable (il faut garder en tête qu'un pro du hack passera toujours mais c'en sera fini des petits plaisantins et, le pro, il ne viendra pas chez moi mais là où il pourra gagner des euros).

Re : Nettoyer un site piraté

un pro du menage ... le Christophe (humour ...)

Re : Nettoyer un site piraté

Mes filles détestent quand je le fais :-D Les sacs poubelles se remplissent à une vitesse extraordinaire; leur armoire où elles rangent leur bordel, oups, leurs affaires, se désengorgant de quantité de machins inutiles :-D

Re : Nettoyer un site piraté

Merci beaucoup pour ces conseils que je vais suivre, bien évidemment !

Je n'ai pas de sauvegarde récente de mon site... En fait, je suis débutant dans le web et j'ai réalisé ce site pour mon club d'autos anciennes ! J'ai commencé par faire tourner le site sur un NAS perso, testé depuis l'extérieur, puis ensuite transféré chez l'hébergeur (SDV à Strasbourg, pour ne pas le nommer...).
J'ai continué à enrichir le site avec des articles sans faire de sauvegarde complète chez moi. J'avais installé Akkeba avant mes vacances et j'ai eu l'alerte durant celles-ci !!!
Ce qui étonnant, c'est que rien ne se remarque sur le site !
Dans tous les cas, cela va me faire progresser !!!

Re : Nettoyer un site piraté

Le but du "jeu" est de passer le plus inaperçu possible afin que le gain du hack (détournement des ressources de ton serveur, SEO spam, mail spam, ...) puisse persister. Donc à moins d'avoir affaire à un gamin qui change ta page d'accueil pour le fun, oui, c'est normal que tu n'ais rien vu pendant longtemps.

Re : Nettoyer un site piraté

+1 avec Cavo
plus de la moitié du temps ils se servent des ressources de ton site pour du Spam

Re : Nettoyer un site piraté

Bonjour à tous,

J'ai passé le site à Sucuri SiteCheck, comme proposé. Pas de malware détecté ni de Website Blacklisting. Par contre, la version Apache de l'hébergeur est ancienne mais cela, je n'y peux pas grand chose !
La version php est aussi ancienne, je ne peux d'ailleurs pas utiliser la dernière version d'Akeeba sur mon site.

Je vais continuer à suivre vos conseil, j'espère pouvoir avancer ce week-end.

Une question : Est-il normal de trouver des fichiers php incompréhensibles comme celui posté plus haut ?

Merci encore !

Re : Nettoyer un site piraté

Bonsoir
si tu parles de ça ... non c'est pas très catholique

sinon :
quel hebergeur ?
quelle version d'apache ? de php ?

Re : Nettoyer un site piraté

Bonjour,

Mon hébergeur est SDV à Strasbourg. C'est un hébergeur pro, qui héberge aussi un grand média alsacien...
Apache : 2.2.25
PHP : 5.2.14
J'ai trouvé aussi un fichier Index.php dans le dossier Templates, j'ai compris qu'il ne devait pas s'y trouver ! J'ai donc modifié son extension pour désactiver l'exécution du code > passé en .old, en attendant de le supprimer.

Re : Nettoyer un site piraté

En consultant cette page tu remarqueras qu'il est conseillé d'avoir php 5.2.4 minimum pour faire tourner joomla donc je suis étonné que ton site fonctionne...

Re : Nettoyer un site piraté

Je te conseille d'activer PHP 5.4 pour ton site J2.5. Il y a normallement une seule ligne à ajouter à ton .htaccess (voir avec ton hébergeur s'il propose cette option).

Bonne soirée.

Re : Nettoyer un site piraté

Bonjour à tous,

Le site fonctionne parfaitement, il est vrai qu'il est assez simple et sobre. Je vais demander à mon hébergeur de passer à la version php supérieure.
J'avais effectué une copie complète du site à l'installation, cela va me permettre de continuer à le nettoyer plus facilement.
J'ai aussi la version de développement du site, je j'avais mise en test sur mon NAS avant mise en ligne chez l'hébergeur.
Je pense, comme vous le disiez, que le hacker a profité du site pour spammer car le secrétaire du club a reçu des messages envoyé par le site.
Ces messages lui semblaient bizarre et il les a effacés.
Si vous voulez voir mon site, tapez idealeds dans gogol, celui-ci est le 3ème de la liste. Avec l'extension .fr.
Bon dimanche !

Re : Nettoyer un site piraté

Bonjour à tous,

J'ai passé le week-end à nettoyer le site, j'ai du supprimer une cinquantaine de fichiers mis par le pirate.
Je reviens vers vous car une de mes pages affiche un lien que je n'ai pas créé... Il n'existe d'ailleurs pas quand j'édite la page sous joomla.
Le lien est le suivant, il ne fonctionne plus mais je veux le supprimer :
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

En affichant le code source de la page, j'obtiens ceci :

<a href="mailto:<span id="cloak38086">Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.</span><script type='text/javascript'>
//<!--
document.getElementById('cloak38086').innerHTML = '';
var prefix = '&#109;a' + 'i&#108;' + '&#116;o';
var path = 'hr' + 'ef' + '=';
var addy38086 = 'p&#101;l&#111;&#105;s.chr&#105;st&#105;&#97;n' + '&#64;';
addy38086 = addy38086 + '&#111;r&#97;ng&#101;' + '&#46;' + 'fr';
document.getElementById('cloak38086').innerHTML += '<a ' + path + '\'' + prefix + ':' + addy38086 + '\'>' + addy38086+'<\/a>';
//-->
</script>"> </a></span></p>

Je pense que le hacker a du aussi mettre des choses dans ma base de données... Je vois pas comment ce code peut se retrouver dans une page, sachant que ce n'est pas moi qui l'y ai mis. Je précise que la page en question est celle où j'explique comment nous contacter, sans pour autant mettre un lien direct car j'utilise un formulaire de contact.

Vous en pensez quoi ?