Piratage d'un site Web ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Piratage d'un site Web ?

    Bonjour,

    Je viens vers la communauté Joomla car j'ai depuis plusieurs jours déja un problème avec un site web sous joomla (mes excuses si le problème a déja été posé, mes mes recherches n'ont rien donné )

    J'ai un site web sous joomla 2.5.28 (malheureusement non encore mis à jour vers la version 3) chez OVH qui depuis plusieurs jours est injoignable. L'accès à la page du site n'affiche rien, le sablier tourne sans arrêt, je n'ai non plus pas accès à la page d'administration joomla.

    J'ai appelé le support OVH qui m'a dit que mon site a été piraté par des hackers d' Ukraine, sans me dire réellement comment ils ont pu savoir ça

    Après insistance de ma part ils m'annoncent qu'il y aurait de nombreuses connexions sortantes émanant de mon site web vers l'ukraine qui provoquent de nombreux temps de latences. Voici en gros leurs commentaires :

    Monsieur,

    je fais suite à notre conversation téléphonique de ce jour,

    voici le lien d'accés pour visonnez les connexions sortantes effectuée depuis votre hébergement et qui entrainent des latences sur votre site :



    Si vous ne parvenez pas à accéder à cette URL, vous trouverez en pièce jointe un fichier texte avec le log des connexion sortantes d'aujourd'hui.

    Je reste à votre disposition pour toute demande complémentaire.

    Cordialement,

    xxxx
    Conseiller WEB


    Ils me disent avoir peut être installé un module qui fait des requêtes vers ces adresses ip, alors que cela fait des mois que je n'ai rien installé sur le site . Voici ci-dessus un extrait de leur logs qu'il m'ont envoyés sur lequel on peut voir ces ip :

    [2015 Dec 28 02:23:26] [2305342.010151] TCP:42503 => 198.232.124.192:80
    [2015 Dec 28 02:23:26] [2305342.205841] TCP:42505 => 198.232.124.192:80
    [2015 Dec 28 02:23:26] [2305342.222311] TCP:42506 => 198.232.124.192:80
    [2015 Dec 28 02:23:27] [2305342.755014] TCP:39594 => 188.94.248.159:80
    [2015 Dec 28 02:23:27] [2305342.860847] TCP:36678 => 95.110.228.148:80
    [2015 Dec 28 02:23:27] [2305342.925146] TCP:42512 => 198.232.124.192:80
    [2015 Dec 28 02:23:28] [2305343.554235] TCP:60544 => 72.249.159.54:80
    [2015 Dec 28 02:23:28] [2305344.057969] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:29] [2305345.057308] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:31] [2305347.060837] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:35] [2305351.067921] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:43] [2305359.090116] TCP:49883 => 193.169.189.135:80
    [2015 Dec 28 02:23:50] [2305365.743837] TCP:42608 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305365.782429] TCP:42609 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305365.799026] TCP:42610 => 198.232.124.192:80
    [2015 Dec 28 02:23:50] [2305366.200981] TCP:39696 => 188.94.248.159:80
    [2015 Dec 28 02:23:50] [2305366.265519] TCP:36781 => 95.110.228.148:80
    [2015 Dec 28 02:23:50] [2305366.326422] TCP:42615 => 198.232.124.192:80
    [2015 Dec 28 02:23:51] [2305366.674532] TCP:60644 => 72.249.159.54:80
    [2015 Dec 28 02:23:51] [2305367.168294] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:52] [2305368.168012] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:54] [2305370.171561] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:58] [2305374.174632] TCP:49984 => 193.169.189.135:80
    [2015 Dec 28 02:23:59] [2305375.118411] TCP:49883 => 193.169.189.135:80


    Ma question est :

    - Comment puis-je récupérer mon site tout en sachant que je n'y ai plus accès ?
    - Y a t'il moyen par ftp de récupérer ma page d'accueil et d'administration par ftp, si oui comment ?

    Si l'un de vous pouvait m'aider à sortir de ce pétrin je luis serais très reconnaissant.

    Pour information j'ai fait une restauration du site sur une version datant de 2 semaines à partir des sauvegardes d'OVH (sur leur conseils) mais cela n'a rien donné

    Merci d'avance pour votre aide

    Therion

  • #2
    Re : Piratage d'un site Web ?

    Salut,

    si tu as un accès FTP essaye ça :





    tu as des accès de démo si tu veux tester avant.

    A+
    Site d'entraide pour les utilisateur francophones de la CRM Vtiger https://aide-crm-vt.fr/
    Pour des extensions au top : http://joomlack.fr
    Pour la sécurité et l'optimisation : http://www.aesecure.com/ <--- Incontournable !
    Pour des petites choses sympa : http://lomart.fr

    Commentaire


    • #3
      Re : Piratage d'un site Web ?

      Envoyé par Casper17 Voir le message
      Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
      Par ftp sous le dossier /www/logs j'ai trouvé le fichier logs que je joint et qui semble surprenant. Quelqu'un peut t'il m'aider à l'interpréter ?

      Merci encore
      Fichiers joints

      Commentaire


      • #4
        Re : Piratage d'un site Web ?

        Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
        tu as quoi ? une page blanche ?
        Site d'entraide pour les utilisateur francophones de la CRM Vtiger https://aide-crm-vt.fr/
        Pour des extensions au top : http://joomlack.fr
        Pour la sécurité et l'optimisation : http://www.aesecure.com/ <--- Incontournable !
        Pour des petites choses sympa : http://lomart.fr

        Commentaire


        • #5
          Re : Piratage d'un site Web ?

          Bonjour

          Envoyé par Therion Voir le message
          - Comment puis-je récupérer mon site tout en sachant que je n'y ai plus accès ?
          Si tu as un backup récent et sain (je pense à un fichier JPA), tu pourrais installer ce backup sur ta machine locale (càd installer un programme comme EasyPHP ou WAMP ou MAMP (si Mac)). Tu aurais ton site en localhost et tu pourrais le scanner pour vérifier s'il est propre. Si oui, tu pourrais alors supprimer ton site distant (via FTP) et remonter ton archive.

          Tu n'as plus accès ? Il faut demander à OVH de réouvrir l'accès pour ton IP; le temps que tu fasses le travail.
          Voir aussi si tu n'as pas simplement un blocage réalisé au travers du fichier .htaccess.

          Envoyé par Therion Voir le message
          - Y a t'il moyen par ftp de récupérer ma page d'accueil et d'administration par ftp, si oui comment ?
          J'ai partiellement répondu ci-dessus. Ton site web peut être bloqué mais pas ton FTP. Si tu as un backup, c'est bon, récupère-le.
          Si tu n'en as pas; télécharge les fichiers par ton FTP; nettoie les fichiers du site et reproduit ces corrections sur ton site distant. Le faire manuellement sera un long travail mais, si tu le fais par toi-même, tu n'auras pas d'autres possibilités.

          Merci pour ta réponse rapide, j'ai lu avec attention et uploadé par ftp le fichier aesecure (le .php) à la racine de mon site, dans le dossier /www mais ça ne change pas grand chose, le fichier ne se lance même pas
          Si ton hébergeur a coupé ton accès web, c'est logique que plus rien ne se lance. Sinon, tente toujours de renommer ton .htaccess en old.htaccess et réessaye. Je vois que tu utilises AdminTools : ce composant va bloquer l'exécution de tout scripts non "whitelisté"; renommer .htaccess est ici une solution pour lever ce blocage.

          Bonne journée et bon nettoyage.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Piratage d'un site Web ?

            Envoyé par Casper17 Voir le message
            tu as quoi ? une page blanche ?
            Un ami qui a essayé de se connecter sur le site m'a dit avoir une page blanche. Moi je n'ai pas attendu jusque là, tellement ça rame

            Commentaire


            • #7
              Re : Piratage d'un site Web ?

              @Casper 17

              J'ai pas de backup, j'ai deja essayé avec celui d'OVH datant d'il y a deux semaines sans succès. Le renommage du .htaccess n'a rien donné non plus.
              je vais voir avec OVH comme tu dis A suivre, ceci dit je suis toujours tout ouie à toute aide

              Commentaire


              • #8
                Re : Piratage d'un site Web ?

                Sachant que c'est OVH, il te faut réactiver les chmods de ton site (755); voir cette FAQ : https://www.ovh.com/fr/g1392.procedu...eture-hack-ovh

                Tant que ce n'est pas fait, ton site est dans un état "non-exécutable".

                Bonne soirée.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Piratage d'un site Web ?

                  Envoyé par cavo789 Voir le message
                  Sachant que c'est OVH, il te faut réactiver les chmods de ton site (755); voir cette FAQ : https://www.ovh.com/fr/g1392.procedu...eture-hack-ovh

                  Tant que ce n'est pas fait, ton site est dans un état "non-exécutable".

                  Bonne soirée.
                  Bonjour

                  Merci encore pour la réponse. Je suis en train d'analyser tout cela et lire attentivement les recommandations issues du lien que tu m'as fourni.
                  Je joins un nouveau fichier d'erreur web récupéré chez OVH, si ça peut aider... Après lecture ils disent ceci : Prêtez plutôt attention aux requêtes de type POST, qui sont la principale source de hack ;
                  Sur le fichier joint je n'ai vu qu'une seule requete POST qui est celle-ci "POST /libraries/joomla/exporter.php HTTP/1.1" 404 227. J'ai recherché le fichier exporter.php à l'endroit indiqué, il n'existe pas
                  A suivre donc
                  Fichiers joints

                  Commentaire


                  • #10
                    Re : Piratage d'un site Web ?

                    Bonjour

                    Le log d'erreur ne sert strictement à rien pour débusquer les fichiers hackés. Au mieux, c'est le log des accès mais difficile de s'y retrouver dans les milliers de lignes de ce dernier et, de plus, une requête vers le fichier index.php n'est pas malsain et pourtant index.php pourrait être vérolé.

                    Selon moi, la seule bonne méthode de nettoyer est :

                    * soit tu as un backup sain et tu le remontes
                    * soit tu fais le ménage manuellement : en local, tu télécharges ton site (akeeba backup & kickstart), tu le restaures et tu supprimes 100% des dossiers de Joomla pour ne garder que /images et /media. Pour les dossiers supprimés, tu réinstalles Joomla et tu réinstalles 100% des extensions, templates, modules, ... que tu avais (tu le comprendras vite, c'est un travail conséquent) et, enfin, tu scrutes /images et /media à la recherche de virus (fichiers .php).
                    * soit tu fais appel à un pro

                    Dans les trois cas, il faut ensuite sécuriser le site pour qu'un hack ne puisse plus se produire : être à jour pour ton Joomla, tes extensions, templates, ... et faire le ménage (virer tout ce que tu n'utilises pas).

                    Sur mon site, tu peux trouver différents documents comme une présentation comme celle de la sécurité des sites Joomla (http://www.aesecure.com/fr/blog/joomla-securite.html), un tutoriel pour nettoyer ton site (http://www.aesecure.com/fr/blog/site-hacke.html) et un scanner gratuit pour p.ex. scanner tes dossiers /images et /media.

                    Bonne journée et bonne chasse aux virus.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Re : Piratage d'un site Web ?

                      @Cavo789

                      Merci pour toutes ces infos, ton site est très intéressant je suis en train de le lire avec intérêt. Je vais déjà essayer de trouver akeeba backup et kickstart pour une sauvegarde manuelle car je n'ai pas de sauvegarde, si tu connais une documentation simple rapide d'utilisation de ces deux outils je suis preneur. Je vais déja les télécharger et voir ce que je peux en tirer.

                      Pour info, apparemment le site n'était pas (ou n'est pas) fermé par OVH, les droits était toujours à 705

                      Le message d'erreur renvoyé par la page après une longue attente est "La connexion a été réinitialisée : La connexion avec le serveur a été réinitialisée pendant le chargement de la page.

                      Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus tard ;
                      Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion au réseau de votre ordinateur ;
                      Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy, assurez-vous que Firefox est autorisé à accéder au Web.


                      Bonne journée
                      Dernière édition par Therion à 31/12/2015, 09h35

                      Commentaire


                      • #12
                        Re : Piratage d'un site Web ?

                        Bonjour

                        Voici le meilleur tuto franchophone : http://cinnk.com/joomla/3/le-livre-p...placer-un-site

                        Pour OVH, leur robot passe et repasse sur ton site. Si tu l'ouvres à nouveau, le robot peut le refermer encore s'il détecte toujours la trace de virus.

                        Bonne journée.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Re : Piratage d'un site Web ?

                          Ce matin le site refonctionne tout seul sans que je n'ai eu rien à faire Je ne comprends plus rien. Etait ce vraiment un piratage ou c'est OVH qui a mal géré quelque chose ? Dans tous les j'essaye d'exécuter "aesecure_quick_scan.php" qui est dans /www pour vérification mais une page blanche est affichée

                          Bonne année 2016 à vous et merci encore pour votre aide

                          Commentaire


                          • #14
                            Re : Piratage d'un site Web ?

                            J'ai re-telechargé le fichier et ça marche. Scan OK, pas de problème trouvé ? Allez savoir Je continue mes investigations car je trouve que le site ait été plusieurs bloqué pour des problèmes de timeout, sans message particulier, et OVH qui dit le site hacké sans preuve particulière sur le fait qu'il y a des connexions vers l'Ukraine. Ils ont peut être raison mais c'est tout aussi bizarre que le site s'est mis à refonctionner tout seul sans une seule action de ma part. Je fais de suite avec Akeeba une sauvegarde complète.

                            A suivre donc

                            Encore bonne année à vous.

                            Commentaire


                            • #15
                              Re : Piratage d'un site Web ?

                              @Therion : quelle version d'aeSecure QuickScan utilises-tu ? Si c'est la 1.1.3, cela m'intéresse de pouvoir jeter un oeil à ton site afin que j'analyse la cause de la page blanche. Si cela te convient, envoie-moi par MP un accès FTP à ton site ainsi que son URL. Je me connecterai et je tâcherai de comprendre l'origine de la page blanche.

                              Bonne journée.
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X