Site infecté.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site infecté.

    Bonjour à tous,

    Depuis un certain temps mon site va mal, page blanche entre autre. Je viens de constaté que mon site est infecté. J'ai fais un scan à partir d'un logiciel anti-virus de l'hébergeur et celui-ci a trouvé plusieurs fichiers infectés. J'avoue que je ne sais trop quoi faire avec ce résultat. Ce qui m'embête c'est le choix que m'offre le l'anti-virus, quarantaine, détruire ou ignorer. Si je mets en quarantaine ou détruire, ceci veut dire que le site ne fonctionnera plus car ceux-ci seront absents? Voici la liste de ces fichiers.

    Merci.

    Sylvain

    public_html/components/com_phocagallery/assets/js/.cache.php PHP.Trojan.Mailer-1
    public_html/components/com_ppinstaller/.file.php PHP.Trojan.Mailer-1
    public_html/components/com_flow/views/article.php PHP.Trojan.Mailer-1
    public_html/components/com_flow/views/bank/search.php PHP.Trojan.Mailer-1
    public_html/components/com_macgallery/views/download/css.php PHP.Trojan.Mailer-1
    public_html/components/com_macgallery/css/ie7/.alias.php PHP.Trojan.Mailer-1
    public_html/components/com_breezingforms/images/captcha/.object34.php PHP.Trojan.Mailer-1
    public_html/components/com_search/views/search/.info.php PHP.Trojan.Mailer-1
    public_html/components/com_phocadownload/dir63.php PHP.Trojan.Mailer-1
    public_html/components/com_phocadownload/models/.lib.php PHP.Trojan.Mailer-1
    public_html/components/com_weblinks/sql.php PHP.Trojan.Mailer-1
    public_html/components/com_hdflvplayer/views/addcount/.stats.php PHP.Trojan.Mailer-1
    public_html/components/com_hdflvplayer/images/dirs.php PHP.Trojan.Mailer-1
    public_html/components/com_hdflvplayer/js/.session71.php PHP.Trojan.Mailer-1
    public_html/components/com_newsfeeds/helpers/.start.php PHP.Trojan.Mailer-1
    public_html/components/com_jevents/views/year/general.php PHP.Trojan.Mailer-1
    public_html/components/com_jevents/layouts/pagination/page.php PHP.Trojan.Mailer-1
    public_html/components/com_users/helpers/.ini62.php PHP.Trojan.Mailer-1
    public_html/components/com_phocapdf/views/title.php PHP.Trojan.Mailer-1
    public_html/components/com_phocapdf/views/pdf/file.php PHP.Trojan.Mailer-1
    public_html/templates/beez5/fonts/.general.php PHP.Trojan.Mailer-1
    public_html/plugins/xmap/com_mtree/page82.php PHP.Trojan.Mailer-1
    public_html/plugins/xmap/com_weblinks/.include.php PHP.Trojan.Mailer-1
    public_html/plugins/xmap/com_sobipro/menu18.php PHP.Trojan.Mailer-1
    public_html/plugins/search/.stats99.php PHP.Trojan.Mailer-1
    public_html/plugins/system/.functions11.php PHP.Trojan.Mailer-1
    public_html/plugins/system/highlight/.ajax3.php PHP.Trojan.Mailer-1
    public_html/plugins/system/aridocsviewer/aridocsviewer/page30.php PHP.Trojan.Mailer-1
    public_html/plugins/system/logout/ajax.php PHP.Trojan.Mailer-1
    public_html/plugins/sh404sefextplugins/.alias68.php PHP.Trojan.Mailer-1
    public_html/plugins/quickicon/jcefilebrowser/files.php PHP.Trojan.Mailer-1
    public_html/limesurvey/third_party/option.php PHP.Trojan.Mailer-1
    public_html/limesurvey/third_party/jquery-tablesorter/addons/.file.php PHP.Trojan.Mailer-1
    public_html/limesurvey/third_party/jqueryui/development-bundle/help2.php PHP.Trojan.Mailer-1
    public_html/limesurvey/third_party/jquery-keypad/utf.php PHP.Trojan.Mailer-1
    public_html/limesurvey/third_party/jquery-keypad/.config.php PHP.Trojan.Mailer-1
    public_html/limesurvey/themes/default/css/footer.php PHP.Trojan.Mailer-1
    public_html/limesurvey/styles/darkblue/jquery-ui/admin.php PHP.Trojan.Mailer-1
    public_html/limesurvey/templates/clear_logo/images/plugin63.php PHP.Trojan.Mailer-1
    public_html/limesurvey/application/views/admin/list.php PHP.Trojan.Mailer-1
    public_html/limesurvey/locale/it/.diff.php PHP.Trojan.Mailer-1
    public_html/limesurvey/locale/it-informal/LC_MESSAGES/.javascript7.php PHP.Trojan.Mailer-1
    public_html/limesurvey/locale/ckb/include.php PHP.Trojan.Mailer-1
    public_html/limesurvey/locale/ja/help.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/views/pl/lib15.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/vendors/punycode/.footer95.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/gii/components/.session.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/caching/dependencies/page.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/messages/.session63.php PHP.Trojan.Mailer-1
    public_html/limesurvey/framework/console/sql25.php PHP.Trojan.Mailer-1
    public_html/homes/info54.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539ae5e85fb95/js/login.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539ae5e85fb95/js/widgets/themes10.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539ae5e85fb95/frontend_pages/scripts/files.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539b81419e7b6/frontend_pages/login5.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539b81419e7b6/kernel/Date/.diff90.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539badf26b4ba/config/.themes75.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539badf26b4ba/modules/result/javascript.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539badf26b4ba/pages/.view91.php PHP.Trojan.Mailer-1
    public_html/tmp/install_539badf26b4ba/pages/base/.model.php PHP.Trojan.Mailer-1
    public_html/libraries/phpass/.utf57.php PHP.Trojan.Mailer-1
    public_html/libraries/zen/grid/system42.php PHP.Trojan.Mailer-1
    public_html/libraries/fof/form/.info.php PHP.Trojan.Mailer-1
    public_html/libraries/fof/hal/.global.php PHP.Trojan.Mailer-1
    public_html/libraries/fof/model/behavior/.javascript50.php PHP.Trojan.Mailer-1
    public_html/libraries/fof/utils/observable/.page70.php PHP.Trojan.Mailer-1
    public_html/libraries/contentmap/models/fields/css.php PHP.Trojan.Mailer-1
    public_html/libraries/contentmap/smartloader/header.php PHP.Trojan.Mailer-1
    public_html/libraries/joomla/document/opensearch/model45.php PHP.Trojan.Mailer-1
    public_html/libraries/joomla/installer/plugin.php PHP.Trojan.Mailer-1
    public_html/images/phocagallery/avatars/blog6.php PHP.Trojan.Mailer-1
    public_html/images/phocagallery/thumbs/general.php PHP.Trojan.Mailer-1
    public_html/modules/mod_jevents_latest/tmpl/default/.start.php PHP.Trojan.Mailer-1
    public_html/modules/mod_whosonline/.code.php PHP.Trojan.Mailer-1
    public_html/modules/mod_jevents_legend/tmpl/alternative/.lib34.php PHP.Trojan.Mailer-1
    public_html/modules/mod_jevents_filter/tmpl/start72.php PHP.Trojan.Mailer-1
    public_html/modules/mod_payplans_subscription/css/press9.php PHP.Trojan.Mailer-1
    public_html/modules/mod_artuniversallightbox/artuniversallightbox/artsexylightbox/functions15.php PHP.Trojan.Mailer-1
    public_html/modules/mod_jfslideshow/fields/fields/utf39.php PHP.Trojan.Mailer-1
    public_html/aesecure/third/html2canvas/gallery12.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_phocagallery/controllers/.general29.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_phocagallery/models/.plugin.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_adminmenumanager/page3.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_phocadownload/assets/.dirs30.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_creativeimageslider/helpers/.info96.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_contact/sql/.cache39.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_weblinks/sql/proxy33.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_hdflvplayer/.model26.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_hdflvplayer/language/ini.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_jevents/views/.user.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_jevents/helpers/cache25.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_users/helpers/.list30.php PHP.Trojan.Mailer-1
    public_html/administrator/components/com_phocapdf/views/.test55.php PHP.Trojan.Mailer-1
    public_html/administrator/modules/mod_adminmenumanager/tmpl/.ini.php PHP.Trojan.Mailer-1
    public_html/administrator/modules/mod_status/ini.php PHP.Trojan.Mailer-1
    public_html/media/zen/js/fallback/search.php PHP.Trojan.Mailer-1
    public_html/media/breezingforms/themes/img/.template.php PHP.Trojan.Mailer-1
    public_html/media/breezingforms/themes/Inertia Blue - 600px/user.php PHP.Trojan.Mailer-1
    public_html/media/akeeba_strapper/less/bootstrap/.file.php PHP.Trojan.Mailer-1
    public_html/media/payplans/log/.admin47.php PHP.Trojan.Mailer-1
    public_html/media/media/images/mime-icon-16/css.php PHP.Trojan.Mailer-1

  • #2
    Re : Site infecté.

    Bonjour

    SI tu as un backup récent (non infecté), le plus simple est de récupérer ton dernier backup.

    Si tu n'en as pas... bonne chance : soit tu t'y connais soit tu ne t'y connais pas. Désolé d'être aussi "direct et basique" mais c'est le cas. En effet, tu as des fichiers qui sont purement des virus ==> tu peux les supprimer sans regret. Mais tu as aussi des fichiers qui étaient légitmes; ceux de Joomla, ceux d'extensions que tu as installé et qui ont été "parasité" càd dont le code a été modifié par le virus qui est venu injecter du code malsain.

    Là, si tu dois les nettoyer, c'est à la main. Il faut ouvrir chaque fichier, comprendre dans quel cas tu es (delete ou cleaning) et prendre la bonne action.

    Bonne chasse...
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Site infecté.

      Envoyé par cavo789 Voir le message
      Bonjour

      SI tu as un backup récent (non infecté), le plus simple est de récupérer ton dernier backup.

      Si tu n'en as pas... bonne chance : soit tu t'y connais soit tu ne t'y connais pas. Désolé d'être aussi "direct et basique" mais c'est le cas. En effet, tu as des fichiers qui sont purement des virus ==> tu peux les supprimer sans regret. Mais tu as aussi des fichiers qui étaient légitmes; ceux de Joomla, ceux d'extensions que tu as installé et qui ont été "parasité" càd dont le code a été modifié par le virus qui est venu injecter du code malsain.

      Là, si tu dois les nettoyer, c'est à la main. Il faut ouvrir chaque fichier, comprendre dans quel cas tu es (delete ou cleaning) et prendre la bonne action.

      Bonne chasse...

      Merde pas vrai!! J'y avais pensé à cette réponse, mais je ne voulais pas l'entendre. Bon, pour ce qui est des sauvegardes, aucune est bonne puisqu'elles ont été faites à partir du site contaminé. Bon, maintenant que j'ai la liste des fichiers contaminés, je dois les remplacer un par un? Selon ton expérience, crois-tu que une fois terminé le problème sera résolu? Ou bien c'est un script caché qui va recommencer à corrompre le site?


      Merci.

      Commentaire


      • #4
        Re : Site infecté.

        Si tu as des sauvegardes d'avant l'attaque, tu peux en restaurer une non ?

        Pour la liste, désolé d'assombrir le tableau mais il est possible / probable que ton hébergeur n'a pas communiqué une liste complète. La semaine passée j'ai nettoyé le site d'un gars qui a vu son site pro coupé durant 20 jours : son hébergeur lui disant "Tel fichier est vérolé"; lui supprimant le fichier et demandant une réévaluation et l'hébergeur "Non, désolé, il y a encore tel fichier"... Après vingt jours de coupure et des mails type ping-pong, le gars a cessé d'attendre de son hébergeur une liste complète.

        Celle que tu as reçu semble toutefois déjà longue; probable donc que tu ais reçu une complète...

        Note que lorssque tu auras supprimé le hack, ben, il te faudra savoir quoi faire pour que cela ne recommence pas : ton Joomla était-il à jour, tes extensions l'étaient-elle, as-tu un admin sécurisé (pas "admin/123456"), etc.

        Vérifie aussi la liste de tes super admin; tu les connais tous ?

        Ce que tu vois (la liste des fichiers), c'est le résultat du hack. Si hack il y a eu, faut en comprendre aussi l'origine et fermer toutes les portes.

        Bon travail ;-)
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Site infecté.

          Envoyé par cavo789 Voir le message
          Si tu as des sauvegardes d'avant l'attaque, tu peux en restaurer une non ?

          Pour la liste, désolé d'assombrir le tableau mais il est possible / probable que ton hébergeur n'a pas communiqué une liste complète. La semaine passée j'ai nettoyé le site d'un gars qui a vu son site pro coupé durant 20 jours : son hébergeur lui disant "Tel fichier est vérolé"; lui supprimant le fichier et demandant une réévaluation et l'hébergeur "Non, désolé, il y a encore tel fichier"... Après vingt jours de coupure et des mails type ping-pong, le gars a cessé d'attendre de son hébergeur une liste complète.

          Celle que tu as reçu semble toutefois déjà longue; probable donc que tu ais reçu une complète...

          Note que lorssque tu auras supprimé le hack, ben, il te faudra savoir quoi faire pour que cela ne recommence pas : ton Joomla était-il à jour, tes extensions l'étaient-elle, as-tu un admin sécurisé (pas "admin/123456"), etc.

          Vérifie aussi la liste de tes super admin; tu les connais tous ?

          Ce que tu vois (la liste des fichiers), c'est le résultat du hack. Si hack il y a eu, faut en comprendre aussi l'origine et fermer toutes les portes.

          Bon travail ;-)

          Je ne prendrai aucune chance avec mes copies de sauvegardes. Je vais télécharger plutôt une copie de sauvegarde, par la suite la décompresser dans un dossier et l'analyser avec mon anti-virus(Eset Smart security). Une fois ceci terminé je remplacerai les fichiers corrompus. Quant penses-tu?

          Commentaire


          • #6
            Re : Site infecté.

            Je pense qu'il faut le faire; tu verras que ton antivirus va très probablement trouver des fichiers mais tu verras aussi qu'il ne trouvera pas tout (ou alors c'est un excellent antivirus). Un virus PHP, ce sont des lignes de code et/ou des formulaires qui reçoit des données via des $_POST avec des noms de variables aléatoire et qui ensuite fait un eval() ou eval(base64_decode()) ou eval(base64_decode(gzinflate())) ou eval($FCT('jjjj')) où $FCT est une variable comme $FCT='ba'.'s'.'e_'.'64deco'.'de'; et ceteara....

            Donc : oui fais-le mais, une fois encore, tu risques de ne pas tout avoir.

            Bonne soirée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Site infecté.

              Envoyé par cavo789 Voir le message
              Je pense qu'il faut le faire; tu verras que ton antivirus va très probablement trouver des fichiers mais tu verras aussi qu'il ne trouvera pas tout (ou alors c'est un excellent antivirus). Un virus PHP, ce sont des lignes de code et/ou des formulaires qui reçoit des données via des $_POST avec des noms de variables aléatoire et qui ensuite fait un eval() ou eval(base64_decode()) ou eval(base64_decode(gzinflate())) ou eval($FCT('jjjj')) où $FCT est une variable comme $FCT='ba'.'s'.'e_'.'64deco'.'de'; et ceteara....

              Donc : oui fais-le mais, une fois encore, tu risques de ne pas tout avoir.

              Bonne soirée.

              Effectivement, mon anti-virus n'a rien trouvé, sauf deux fichiers php à la racine du site. Bon je dois me retrousser les manches et me mettre au boulot, pas le choix. Dans un premier temps, je dois fermer les portes.

              Merci Cavo d'avoir pris le temps.

              Commentaire


              • #8
                Re : Site infecté.

                Disons que je connais un peu le sujet

                Bon courage.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Site infecté.

                  J'ai enfin réussi à décontaminer la plupart de mes fichiers. Mais il me reste encore quelque chose de récalcitrant. Je m'explique, quand je me connecte en admin j'ai ce message de mon anti-virus(Eset smart security) " HTML/scrinject.b.gen virus", idem en frontend mais pour deux liens, un pour Photo Gallery (Mac Dock Effect) et dans Gestion des articles. J'imagine que c'est un script caché dans un fichier PHP. J'arrive pas à trouver. Une idée?

                  J'ai ajouté un Firewall et anti-virus en backend, par conséquent ça devrait aider, de plus j'ai changé mon mot de passe Admin.

                  Commentaire


                  • #10
                    Re : Site infecté.

                    Un antivirus en backend ? Tu peux préciser s'il te plaît ?

                    Le firewall a pour but, surtout, d'intercepter les attaques avant qu'elles n'arrivent. Le firewall pourra bloquer un certain nombre d'exploitations de failles / virus déjà présent mais si ton script semble normal (rien de malpropre sur lui); le firewall ne le verra pas.

                    Pour ton scrinject; tu as donc toujours des bestioles et donc tes recherches n'ont pas tout éliminé. Cela pourrait p.ex. être un script de type javascript qui va charger du contenu stocké sur un autre site que le tien et qui injecte du code html dans ta page. Là, en scannant ton propre site à la recherche de code php malsain, tu ne le trouveras pas si c'est du code JS (dans cette hypothèse)
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Re : Site infecté.

                      C'est "DMC Firewall" que j'ai trouvé ici http://extensions.joomla.org/extensi...y/dmc-firewall. Pour le " HTML/scrinject.b.gen virus" je crois aussi que c'est peut-être dans un fichier Javascript, par conséquent je devrai vérifier ces fichiers qui font référence aux éléments décris dans mon post précédent.

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X