Mes Users ont tous été modifiés

**jisse03** · 11/05/2015, 19h36

Re : Mes Users ont tous été modifiés - super admin disparu

Bonjour,

A la fois Joomla! 2.5 et CB 1.9 ne sont plus mainytenus et donc si une faille existe, elle ne sera pas corrigée. Il convient de mettre CB à jour vers 2.0.8 et Joomla! vers 3.4.1

Ceci étant dit, CB n'a que très rarement connu une faille de sécurité, (à part la très ancienne version 1.0.12), donc je ne pense pas que l'intrusion ait pu venir via CB, mais probablement par une autre extension ayant une vulnérabilité.

Pour éviter une nouvelle intrusion, commencer, après remontée d'une sauvegarde saine, par tout mettre à jour, y compris modules, plugins et templates...
Puis installer un outil de sécurité proactif, par exemple Crawl Protect ou aeSecure. Et surtout, TOUJOURS réaliser toute sles mises à jour, que ce soit de Joomla! ou de ses extensions.

**Five_Phil** · 11/05/2015, 19h52

Re : Mes Users ont tous été modifiés

Bonsoir Jisse03,
merci de ces précieux conseils. juste 2 plugins à mettre à jour. J'ai pourtant aeSecure, mais là hélas il n'a rien vu, dommage!

Si Christophe passe dans le coin, j'aimerais connaitre son avis

bonne soirée,

edit:
ma dernière modif (1jours) à été d’intégrer une news via feedburner dans un module personnalisé.

**cavo789** · 11/05/2015, 21h51

Re : Mes Users ont tous été modifiés

Bonsoir

Mon avis : ce comportement est anormal et à moins d'un bug dans la gestion des utilisateurs (un utilisateur aurait changé son mot de passe et un bug aurait fait que tout a été changé).

Tu parles de "module CB 1", je ne sais pas de quoi tu parles. Vérifie que ce module est bien celui qui est compatible avec ta version de CB.

Sinon, c'est ultra-suspect que tu devrais envisager qu'un hacker / fichier vérolé soit présent mais cela me parait plutôt étrange car le but, pour un hackeur, est de rester le plus longtemps possible invisible. Je ne pense donc pas que cela puisse être cela càd le résultat d'un hack.

Note : tu peux recréer un super admin en passant par PhpMyAdmin, va voir le tuto de SimonG (http://cinnk.com/joomla/25/trucs-ast...via-phpmyadmin)

**Five_Phil** · 12/05/2015, 08h46

Re : Mes Users ont tous été modifiés

Bonjour,
Merci de ton avis très inintéressant.

Tu parles de "module CB 1", je ne sais pas de quoi tu parles. Vérifie que ce module est bien celui qui est compatible avec ta version de CB.

Pour le module CB1, oui j'ai confondu.. mais c'est bien celui livré avec le package CB.

Sinon, c'est ultra-suspect que tu devrais envisager qu'un hacker / fichier vérolé soit présent mais cela me parait plutôt étrange car le but, pour un hackeur, est de rester le plus longtemps possible invisible. Je ne pense donc pas que cela puisse être cela càd le résultat d'un hack.

Surement que aeSecure y est pour qlq chose, le bloquant. En tous cas tout le front fonctionne "normalement"

Aussi, se qui est aussi bizarre c'est que les username changent passant de admin à wahda et inversement, un user nouvellement crée est systématique reformaté comme les autres. Donc même si j'arrive à créer un super user celui-ci à très peu de temps d’existence et je retomberais à nouveau au point de départ.

**RobertG** · 12/05/2015, 09h23

Re : Mes Users ont tous été modifiés

Envoyé par Five_Phil Voir le message

les username changent passant de admin à wahda et inversement, un user nouvellement crée est systématique reformaté comme les autres. Donc même si j'arrive à créer un super user celui-ci à très peu de temps d’existence et je retomberais à nouveau au point de départ.

Ceci semble bien confirmer la présence d'un script malveillant dans un fichier à repérer.

**cavo789** · 12/05/2015, 09h44

Re : Mes Users ont tous été modifiés

Envoyé par Five_Phil Voir le message

Merci de ton avis très inintéressant.

Oh? Inintéressant ? Bon, désolé...

Envoyé par Five_Phil Voir le message

Surement que aeSecure y est pour qlq chose, le bloquant. En tous cas tout le front fonctionne "normalement"

Aussi, se qui est aussi bizarre c'est que les username changent passant de admin à wahda et inversement, un user nouvellement crée est systématique reformaté comme les autres. Donc même si j'arrive à créer un super user celui-ci à très peu de temps d’existence et je retomberais à nouveau au point de départ.

De quoi parles-tu s'il te plaît quand tu dis "aeSecure y est pour quelque chose" ? Tu penses que je m'amuse à modifier les noms de tes utilisateurs; à changer tes mots de passes ? Oh? (again)

**Five_Phil** · 12/05/2015, 10h57

Re : Mes Users ont tous été modifiés

Ouh la la ! non ! non ! Je ne veux absolument pas dire ça - Désolé.. Christophe j'ai toute confiance.

je veux dire que HEUREUSEMENT que j'ai aesecure et qui fait très bien son travail.

Interréssant ?!?
bin oui. Il n'y là aucune arrière pensé. Désolé encore une fois si ce mot te dérange.

Merci pour votre aide

**cavo789** · 12/05/2015, 11h06

Re : Mes Users ont tous été modifiés

Merci, le contraire m'aurait tellement étonné vu que nous avons déjà eu plusieurs contacts par le passé. Nos phrases étaient équivoques

Je te propose, gracieusement, ceci : envoie un zip de ton site (tu as mon email je pense (utilise wetransfer.com pour l'envoi)) et je le scanne sur mon ordinateur. Je te donnerais une réponse "Oui, ton site est vérolé" ou "Non, je n'ai rien détecté". Ainsi, tu sauras ce qu'il est en est et dans le cas de la présence de virus, il te faudra prendre des actions pour le nettoyage.

Bonne journée.

**Five_Phil** · 12/05/2015, 11h13

Re : Mes Users ont tous été modifiés

Envoyé par RobertG Voir le message

Ceci semble bien confirmer la présence d'un script malveillant dans un fichier à repérer.

Oui, merci. hélas là repérer le fichier malveillant et tracer la faille potentielle ne m'es pas possible.
Je suis donc reparti d'une base saine, avec les mises à jour des 2 plugins et la suppression de mes dernières modifs qui sont peut à l'origine. A voir dans le temps si ça perdure.

**Five_Phil** · 12/05/2015, 11h22

Re : Mes Users ont tous été modifiés

Envoyé par cavo789 Voir le message

Merci, le contraire m'aurait tellement étonné vu que nous avons déjà eu plusieurs contacts par le passé. Nos phrases étaient équivoques

Je te propose, gracieusement, ceci : envoie un zip de ton site (tu as mon email je pense (utilise wetransfer.com pour l'envoi)) et je le scanne sur mon ordinateur. Je te donnerais une réponse "Oui, ton site est vérolé" ou "Non, je n'ai rien détecté". Ainsi, tu sauras ce qu'il est en est et dans le cas de la présence de virus, il te faudra prendre des actions pour le nettoyage.

Bonne journée.

Merci beaucoup pour ta proposition, nos messages là se sont croisés. Je suis reparti sur une sauvegarde saine sans garder le site vérolé. Je garde ta proposition en mémoire, pour la prochaine fois disons (j’espère que non)

a bientot

**Five_Phil** · 15/05/2015, 12h02

Re : Mes Users ont tous été modifiés

Bonjour,

mon site est toujours infecté comme dit plus haut, et sans aucune autres anomalies, j'ai fait un scan sur le site de Sucuri, résultat : rien trouvé..
Un scan en local avec un anti virus RAS aussi.
Cavo789 merci d'avance de ton expertise. Je croise les doigts

**cavo789** · 15/05/2015, 18h27

Re : Mes Users ont tous été modifiés

Bonsoir

Impossible jusqu'avant aujourd'hui de scanner ton site; trop de travail. Je viens de le faire : 14.300 fichiers scannés dont exactement 231 ont été reperés par mon logiciel comme contenant certains mots clefs et j'ai vérifié chaque fichier mentionné, zéro virus.

Aucun code malveillant dans ton dossier. Ton souci ne vient donc pas de là.

Si ce type de comportement (renommage de tes utilisateurs continue); il faudra se demander si tu n'aurais pas un autre site, sur le même hébergeur qui pourrait accéder à ta base de données.

Je te suggère, par mesure de sécurité :

1. de changer ton mot de passe phpMyAdmin puis de mettre le nouveau mot de passe dans ton fichier configuration.php (celui à la racine de ton site)

2. de vérifier la liste de tes administrateurs / super-admin (en trouves-tu des inconnus ?) et de profiter de l'occasion pour nettoyer et retirer les droits à ceux qui ne devraient plus être admin.

3. de te demander si tu n'aurais pas installé récemment une extension qui pourrait être mal écrite (je doute toutefois de cela)

Donc : site propre.

Bonne soirée.

**Five_Phil** · 15/05/2015, 20h40

Re : Mes Users ont tous été modifiés

Envoyé par cavo789 Voir le message

Bonsoir

Impossible jusqu'avant aujourd'hui de scanner ton site; trop de travail. Je viens de le faire : 14.300 fichiers scannés dont exactement 231 ont été reperés par mon logiciel comme contenant certains mots clefs et j'ai vérifié chaque fichier mentionné, zéro virus.

Aucun code malveillant dans ton dossier. Ton souci ne vient donc pas de là.

Si ce type de comportement (renommage de tes utilisateurs continue); il faudra se demander si tu n'aurais pas un autre site, sur le même hébergeur qui pourrait accéder à ta base de données.

Je te suggère, par mesure de sécurité :

1. de changer ton mot de passe phpMyAdmin puis de mettre le nouveau mot de passe dans ton fichier configuration.php (celui à la racine de ton site)

2. de vérifier la liste de tes administrateurs / super-admin (en trouves-tu des inconnus ?) et de profiter de l'occasion pour nettoyer et retirer les droits à ceux qui ne devraient plus être admin.

3. de te demander si tu n'aurais pas installé récemment une extension qui pourrait être mal écrite (je doute toutefois de cela)

Donc : site propre.

Bonne soirée.

Merci beaucoup Cavo d'avoir pu prendre du temps pour mon cas.
je vais appliquer tes conseilles rapidement.

Pour tchecker les users je ne pourrais le faire que depuis phpMyAdmin car je n'ai pas non plus d’accès au backend. Mais tentatives de création d'un super-admin ne fonctionne pas, je n'ai donc pas la main de ce côté.

3. j'ai installer tabs de noNumber. je doute d'une possible faille de ce côté.

bonne soirée et mille merci Cavo

**cavo789** · 15/05/2015, 20h47

Re : Mes Users ont tous été modifiés

Envoyé par Five_Phil Voir le message

Pour tchecker les users je ne pourrais le faire que depuis phpMyAdmin car je n'ai pas non plus d’accès au backend. Mais tentatives de création d'un super-admin ne fonctionne pas, je n'ai donc pas la main de ce côté.

C'est vraiment très bizarre ton truc....

Tu as été lire le tuto de SimonG pour créer un nouvel admin et/ou changer le mot de passe ? http://cinnk.com/joomla/25/trucs-ast...administrateur

Bonne soirée.

Mes Users ont tous été modifiés

[RÉGLÉ] Mes Users ont tous été modifiés

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association