Site HS

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site HS

    Bonjour
    Suis nouveau inscrit et débutant Joomla. Je suis venu sur ce site pour trouver une solution car mon site hébergé chez OVH a été hacké et pas possible de se logger pour avoir le panneau opérateur d'administration.
    En lisant ce tuto et bien j'ai retrouvé espoir. J'ai appliqué la méthode du script via FTP et j'ai pu me connecter...Good news, mais de courte durée car interface en Anglais ( pas de soucis) mais impossible d' ajouter un autre utilisateur , bloqué Effectivement il y a les utilisateurs listé.On ne peut rien faire
    Je me demande si le fichier configuration.php est corrompu et pose problème
    Pour le reste comme Virtuemart...plus d'accès, page blanche, plus rien j'ai l'impression que tout est cassé
    Alors faut il essayer de restaurer à partir de la base de donnée MyAdmin( via mon compte chez OVH) en partant de la plus ancienne sauvegarde ???? ..si elle est bonne
    Si mon site web est vraiment HS....là c'est la galère car plus de contact avec la société qui a mis en place le site et rien de ses travaux
    En tout cas c'est bien de proposer des solutions et ce forum est très utile
    En espérant une ou des solutions pour retrouver le site en bon ordre d'avance merci
    Dernière édition par pmleconte à 29/06/2020, 13h04 Raison: [modo]Merci de créer votre propre discussion plutôt que de vous plugguer sur une discussion qui n'a rien à voir...[/modo]

  • #2
    Bonjour,

    En effet, revenir à une sauvegarde faite avant le blocage du site (fichiers ET base de données) peut être une solution, à condition que les fichiers malveillants n'aient pas été installés plus tôt et seulement activés récemment.
    L'analyse avec aeSecure quickscan pourrait permettre, sans certitude absolue, de repérer les fichiers en cause.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

    Commentaire


    • #3
      Bonjour
      Je ne m'attendais pas à une réponse si rapide..merci
      Bon je peux essayer la restauration via My Admin, car il y a 30 sauvegardes. Le système en fait une par jour je pense. Par contre je lis Fichier et base de données et là je comprends pas.
      Que fait la restauration via My Admin ? Uniquement la base de données? oui bien les deux
      Sinon où sont alors les fichiers ? et quels fichiers....et oui je découvre tout Joomla ...et comment les restaurer si ils sont en dehors de la sauvegarde automatique

      Comment utiliser aeSecure quickscan ? je ne le connais pas ce programme
      est ce que ce programme doit etre installé quelque part ?

      Commentaire


      • #4
        phpMyAdmin ne gère que la base de données, et en général ce sont les fichiers qui sont piratés, d'où la nécessité de coupler la restauration des fichiers et de la base.
        OVH fait aussi des sauvegardes du serveur de fichiers, accessibles depuis le Manager

        Le script de scan et ses explications sont ici : https://github.com/cavo789/aesecure_quickscan
        cavo789 aime ceci.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

        Commentaire


        • #5
          A priori je n'ai pas trouvé de sauvegarde de fichiers via le manager. Par contre via OHV ftp, et FileZilla-ftp en me connectant , j'arrive au même endroit avec des dossiers dans le répertoire www . Dans celui ci ,il y a encore dans le dossier pdf , mes fichiers pdf. Donc pour moi les fichiers sont ceux là
          Bon je vais installer le scan aesecure au niveau la racine (au même endroit que le fichier htaccess) et je pense qu'il va bien vérifier le tout le répertoire principal www
          Merci pour le lien aesecure

          Commentaire


          • #6
            Petit soucis, le lien http://localhost/my_site/aesecure_quickscan.php, mis dans le navigateur ne marche pas, j 'ai mis le nom du site à la place de my_site et pas de connexion. C'est peut être normal,vu que je ne peux pas me connecter pour arriver sur l'interface de gestion

            Commentaire


            • #7
              Envoyé par JWEB47SUN Voir le message
              Petit soucis, le lien http://localhost/my_site/aesecure_quickscan.php, mis dans le navigateur ne marche pas, j 'ai mis le nom du site à la place de my_site et pas de connexion. C'est peut être normal,vu que je ne peux pas me connecter pour arriver sur l'interface de gestion
              Bonjour

              Non rien à voir puisqu'il s'agit d'un script totalement indépendant.

              As-tu testé sans my_site ?

              Le fichier de Quickscan doit être placé à la racine de ton site joomla.
              Christophe (cavo789)
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
              Mes logiciels OpenSource : https://www.avonture.be

              Commentaire


              • #8
                Bonjour
                Je suis un peu perdu pour l'adresse à mettre dans le navigateur
                pour moi voilà ce que j'ai mis //localhost/ "nom de mon site.fr" /aesecure_quickscan.php sachant que mon site est hébergé chez OVH et rien sur mon PC

                Voir image jointe qui montre l'endroit où se trouve le fichier Quickscan. En principe à la racine. Puis en dessous il y a deux répertoires www2 et www. Le bon est www qui contient en principe tous les éléments Joomla du site web


                Commentaire


                • #9
                  Le fichier doit être placé à la racine de ton site, donc soit dans "www", soit dans "www2" selon le dossier où tourne le site (tu peux le vérifier tout simplement dans ton Manager en regardant à quel dossier correspond le nom de domaine).
                  Ensuite, tu saisiras l'adresse de ce site suivi de "aescure_quickscan.php" (https://ww w.infspm44.com/aesecure_quickscan.php") et tu valideras
                  "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                  MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                  Commentaire


                  • #10
                    Bonjour

                    Pour info, l'outil QuickScan requiert un certain niveau de technicité car il va retourner des fichiers / partie de fichiers qui sont potentiellement des virus (c'est ce qu'on nomme des faux-positifs) et dans le cas avéré d'un virus, il faut intervenir toi-même pour ou supprimer l'intégralité du fichier (=c'est un virus) ou la portion du virus dans un fichier qui était légitime (=le virus a parasité un fichier).

                    Je crains, au vu de ta récente question ci-dessus, que cela soit trop technique pour toi.

                    Du coup, dans l'hypothèse que QuickScan soit trop compliqué et que ton site soit réellement vérolé (sauf erreur, ce n'est pas une certitude); il te faudra faire appel à un technicien je pense et/ou remettre un site tout propre depuis un backup sain.
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Commentaire


                    • #11
                      Bonjour Christophe
                      Pour le moment effectivement je ne vais pas aller plus loin avec QuickScan

                      Après avoir fait diverses tentatives de récupération du mot de passe et utilisateur sans succès voici résumé et observation

                      Méthode 1 fichier configuration php : n’a pas marché. A refaire ?
                      Méthode 2 modification BD
                      On peut ajouter un utilisateur sans problème et avec le mot de passe secret
                      Peut ajouter Super Admin avec requête SQL et en ajoutant le script pour admin2
                      Je n’ai pas modifié les mots de passe des utilisateurs existants ne sachant pas trop ce qui pouvait se passer

                      Autre méthode : script log-admin.php très bon programme
                      Je peux me connecter en backend et voir tous les utilisateurs existants et les derniers qui ont été crée.
                      Par contre 3 constats
                      1- toute l’interface est en Anglais au lieu du Français
                      2 je peux naviguer dans les différents menus
                      2- je ne peux rien modifier, ni sauvegarder, a priori je suis en mode mode lecture

                      Je n’arrive pas au même endroit que avant le blocage d’accès backend
                      Plus de boutique VirtueMart
                      Je pense que l’intrus à fait une redirection vers un autre répertoire pour expliquer cela ; mais où ???

                      Avec Methode 2 une fois utilisateur(s) crée, si j’essaye de me connecter par la méthode classique : nom du site/administrator....rien pas de connexion
                      Je serais tenté de dire que l’intrus a fait une modification quelque part pour empêcher toute connexion de cette façon malgré ajout d’utilisateurs par Méthode 2 ou manuellement dans la BD

                      En ce qui concerne l’accès par FTP via FileZilla et vis le FTP d’OVH: j’accède au répertoire www et il y a toujours mes fichiers pdf par exemple

                      En ce qui concerne la BD , je peux y accéder sans problème, et il y a deux tables différentes:
                      - celle lors de la création dont le nom correspond avec les infos d’OVH
                      - une autre avec un autre nom ( ou préfixe) inconnu et dans user , rien c’est vide
                      C’est peut être une vieille table crée pour test au débute ce qui expliquerait le second répertoire www2

                      Pour revenir au problème de connexion en backend, je ne sais pas ou chercher. J’ai ouvert le fichier config.php et il y avait un nom étrange homez.713 ( je pense que c'est modification de l'intrusque j’ai modifié en home
                      public $log_path = '/homez.713/sealanda/www/logs';
                      public $tmp_path = '/homez.713/sealanda/www/tmp';

                      Voilà si vous avez des idées et solutions je suis preneur avant de faire un nettoyage complet

                      Commentaire


                      • #12
                        Bonjour,

                        Pour ce qui est de la dernière question, ce "home.713" est le nom du serveur où a été initialement placé le site, lors du premier abonnement. Il peut être remplacé par "home" tout simplement.
                        Ce n'est pas forcément un intrus qui l'a défini.
                        A en croire ce que tu montres du fichier configuration.php, le site est dans "www" et tu n'as, a priori, surtout pas à modifier le ficher configuration.php, sauf si tu devais redéfinir le mot de passe d'accès à la base (ou ce home.713).

                        Comme dit précédemment, la restauration du serveur de fichier et celle de la base de données depuis le Manager OVH, de préférence au même jour, est probablement la seule méthode, avec un scan pour s'assurer que les fichiers indésirables n'étaient pas déjà présents au moment où a été faite la sauvegarde : si tu n'en es pas capable, tu peux faire appel à un utilisateur averti ou un pro dans le sous-forum "demande de service". Certains pourraient aussi te conseiller de tester avec mysites.guru ou de faire appel à leur service de nettoyage de sites piratés, mais n'en ayant pas l'expérience, je ne peux rien en dire.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                        Commentaire


                        • #13
                          Bonjour,
                          Je vais réfléchir pour la suite et en principe le choix serait d'installer de nouveau Joomla et refaire un site web plus simple et surtout plus sécurisé. Dans le fichier log /error...tres longue liste des adresse ip qui ont tenté un accès....édifiant ( russie, chine, france etc...)

                          Suite à des lectures sur Joomla, je commence à deviner un peu la structure de cet outil et voici quelques questions
                          -si l'intrus a eu accès au backend ( panneau administration de Joomla) as t il pu modifier la base de données qui est seulement accessible via OVH ?
                          - en ce qui concerne le répertoire www accessible par FTP et via OVH, as t il pu être infecté via le backend ?
                          - dans le cas d'une nouvelle installation de Joomla via FTP, faut il effacer avant ( et les sauvegarder) tous les fichiers entre / et www ?
                          J'espère que mes questions ne sont pas trop idiotes vu mon niveau sur Joomla

                          Commentaire


                          • #14
                            Bonjour,

                            Une méthode pour l'accès à l'administration est de compliquer son accès soit par une extension comme Admin Exile ou Admin Tools avec nécessité d'un "token" dans l'adresse d'accès ou une protection par .htaccess/.htpasswd : pas d'accès sans, donc tous les robots et individus ne connaissant pas la clé ne seront pas répertoriés dans le fichier de logs (mais pourront quand même attaquer).

                            Si un individu arrive à se créer un compte de niveau suffisant, il peut installer toute extension qui lui conviendra, dont une gestion des fichiers. Pour la base, bien sûr, il pourra y faire des modifications.

                            Il faut protéger l'accès au site et à son administration : identifiants (pas de "admin" par exemple) et surtout mots de passe complexes, solutions déjà citées, toujours être à jour des extensions et de Joomla! lui-même, et le risque de piratage sera limité aux failles éventuelles non encore connues.
                            Des sauvegardes régulières sont aussi indispensables.
                            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                            Commentaire


                            • #15
                              Bonjour,

                              Après discussion avec le client, le problème actuel vient de la mise à jour PHP en 7.3 alors que le site est en Joomla 2.5 avec un template Yootheme de 2012.

                              Action en cours pour mettre à niveau ce site aussi bien en Joomla/PHP qu'en template.

                              Pascal
                              If anything can go wrong, it will...
                              If I can help, I will ..https://conseilgouz.com

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X