Re : Hébergement OVH, alerte de sécurité

Bonjour,

dans ce cas de site piraté, il n'y a pas d'autre solution que de remonter une sauvegarde saine, ou d'inspecter minutieusement les fichier pour trouver et corriger la faille.

Re : Hébergement OVH, alerte de sécurité

Bonsoir,
et au passage, je comprends mal pourquoi tu as laisser des bout de code d'un joomla dezippé dans "update"
Sinon, une chose est sure ... ton site s'est fait hacké et en general, ça laisse PLUSIEURS portes ouvertes pour que les malveillants puissent revenir ...

Re : Hébergement OVH, alerte de sécurité

Bonjour

Je lis que tu as mis à jour (voulu mettre à jour) Joomla! : c'est une excellente initiative mais ce n'est pas assez. Les pirates qui cherchent à exploiter les ressources de ton serveur modifient en effet des fichiers natifs mais, surtout, en déposent d'autres. Et là, que tu mettes à jour ou pas, ces fichiers -inconnus de Joomla!- ne sont pas modifiés et restent donc en place.

A te lire, tu as aussi des vieux fichiers qui trainent (/update/Joomla_2.5.x_to_2.5.18-Stable-Patch_Package), il faudrait donc faire un joli nettoyage de ton site et de tes fichiers.

Cela ne peut se faire qu'en local, après avoir téléchargé une version de ton site "en l'état" après l'avoir nettoyer. Pour cela, compte plusieurs heures de travail parce qu'il n'y a pas de recettes miraculeuses, c'est souvent manuel. Tu vas t'épargner un gros travail en supprimant (en local!!!!!!), tous les dossiers de Joomla excepté /images et /media et en remettant une version fraiche de Joomla, de ton template, des modules, composants, ... que tu utilises. C'est la meilleure manière de procéder mais comme tu les comprends, elle prend un certain temps.

Restera les dossiers /images et /medias qu'il faudra traiter manuellement pour en extraire les codes virusés.

Bonne journée et excellent réveillon.

Re : Hébergement OVH, alerte de sécurité

Bonjour,

Merci pour vos réponses et vos conseils.

Est ce que vous pensez que la base de données peut elle aussi comporter des "sql injections" et donc aussi d'être infecté.
Ne serait-ce pas le moment d'en profiter pour migrer vers la version 3 de Joomla! ?

autre question, est ce que je dois considérer que j'ai fait une mauvaise utilisation de Joomla! ou alors est ce que Joomla! a des failles qui sont connues des pirates ?

Merci et bonne année.

Re : Hébergement OVH, alerte de sécurité

Bonjour,


Oui, cela est possible.


Ce serait en effet une bonne idée, la version 2.5 de Joomla! n'est désormais plus supportée.


Joomla! est un système fiable et sécurisé, à partir du moment où il est à jour et que les extensions installées le sont également.
Ensuite, il est important d'avoir des mots de passe solides (FTP connexion au panneau d'admin de l'hébergeur, connexion à Joomla!) et également d'avoir un ordinateur propre.

Ensuite, il est également possible d'accroitre la sécurité de Joomla!, par exemple en utilisant une extension comme aeSecure :

Re : Hébergement OVH, alerte de sécurité

Non je ne pense pas, c'est finalement assez rare des sql injections, on a plus affaire à des utilisations frauduleuses de ressources.

Non, tu n'as pas fait une mauvaise utilisation, juste, je vois que tu es inscrit depuis 2008 et seulement 9 posts depuis... Ce qui signifie que tu n'as pas tellement suivi l'actu Joomla. Le fait que cela soit un open source demande de se maintenir à jour car les plans de la citadelle sont accessibles... gratuitement pour tous hacker compris

Bonne année 2015

Re : Hébergement OVH, alerte de sécurité

Je confirme aussi que les SQL Injections, dans le sens "code malveillant se trouvant dans la base de données", c'est assez rare. On parle ici p.ex. de IFRAME qui seraient dans des articles.

Maintenant, SQL injections n'est pas restreint à ça; tu peux exploiter les données par des queries (select * from users p.ex.) ou créer de nouveaux utilisateurs (insert into ...). Regarde donc si tu as p.ex. des nouveaux admins indésirables.

Reste maintenant à, oui, protéger ton site, à en restreindre autant que faire se peu son accès frauduleux, non désiré. Il y a des logiciels de type firewall (parefeu) qui vise à cette protection. Tu dois aussi choisir un hébergeur sérieux, conscient de la sécurisation de ses clients et, enfin, adopter une attitude sécuritaire de ton côté (un exemple : ne pas installer n'importe quoi, provenant de n'importe où).

Bonne soirée.

Re : Hébergement OVH, alerte de sécurité

Bonjour, c'est maintenant réglé depuis quelques jours le site est en ligne et il n'y a plus de soucis.
Je partage avec vous ce que j'ai fait.

J'ai tout d'abord mise à jour les plugins, modules ainsi que la version de Joomla! pour être le plus à jour possible.
Par contre les soucis ont quand même continués car des fichiers avaient été changés par des injections de code php.

J'ai donc regardé les logs du serveurs pour avoir des infos sur les modules et les plugins touchés par les hackers.

J'ai réussi, en inspectant les répertoires de mon site que j'avais descendu sur mon ordinateur perso, à trouver un répertoire nommé 'js' avec un fichier php dedans. Ce qui m'a paru suspect. Effectivement le contenu l'était !

Voici un bout du code du fichier qui se trouvait entre autre entre des balise php.
Après quelques commandes grep sur des mots clés comme "PCT4BA6ODSE_" ou "n79c1ec", j'ai isolé un certain nombres de fichiers dont voici la liste :

./components/com_easybookreloaded/models/ajax.php
./components/com_jce/editor/tiny_mce/plugins/dirs.php
./components/com_jce/media/img/stats.php
./components/com_joomgallery/views/report/diff.php
./components/com_weblinks/models/forms/ajax.php
./components/com_wrapper/views/wrapper/view.html.php
./images/Trombinoscope/Photos_soumises/sql.php
./libraries/cms/form/field/menu.php
./libraries/gjfields/article.php
./libraries/joomla/database/database/db.php
./libraries/joomla/html/language/alias.php
./libraries/kunena/forum/statistics.php
./libraries/kunena/pagination/pagination.php
./libraries/syw/fields/title.php
./media/kunena/js/bootstrap/xml.php
./media/media/images/title.php
./media/media/js/session.php
./media/system/images/modal/press.php
./modules/mod_banners/helper.php
./modules/mod_dn/model.php
./modules/mod_trombinoscope/helper.php
./plugins/content/jw_allvideos/jw_allvideos/css.php
./plugins/content/notifyarticlesubmit/language/en-GB/files.php
./plugins/editors/jckeditor/plugins/readmore/help.php
./plugins/system/log/log.php
./templates/atomic/html/mod_menu/default.php
./tmp/install_522fc288771f6/language/spanish.php
./tmp/install_522fc2cb23789/language/dutch.php

Que j'ai nettoyé soit des balises en entête du fichier soit du fichier car il n'avait pas sa place.

Depuis, plus rien.

Merci de votre aide, peut être que ça peut aider quelqu'un d'autre d'où mon partage.

Re : Hébergement OVH, alerte de sécurité

Merci pour ton retour car oui, cela peut intéresser certaines personnes dans le même cas et qui auraient les mêmes compétences que toi pour faire ce nettoyage.

(Tu penses à passer ton post en Réglé ?)

Merci