Site Joomla 3.4.8 bloqué par l'hébergeur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site Joomla 3.4.8 bloqué par l'hébergeur

    Bonjour,
    Je suis webmaster du site d'une association (250 adhérents). Le site est hébergé chez OVH et en version 3.4.8 de Joomla.
    OVH a bloqué le site avec le message suivant :

    "Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
    Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.
    Vous trouverez ci-dessous les détails techniques de cette opération :
    Domaine : smhg.fr
    Problème rencontré : Un script malveillant a été détecté sur votre hébergement Commande apparente : ././crond Exécutable utilisé : /homez.2020/smhgfrbtwx/www/layouts/joomla/content/.nfs000000000cd42a010000009f
    Horodatage: 2015-12-28 15:00:31
    Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération."

    A chaque fois, je restaure la base de données de la veille de l'incident pour que nos adhérents puissent se connecter. C'est le cinquième blocage aujourd'hui.
    Si il s'agit d'une nouvelle faille dans la sécurité de Joomla, que dois-je faire ?
    Quelle est la procédure ? Je suis informaticien grand système à la retraite, dons pas très au fait des technos web. Mais je comprend, malgré tout le vocabulaire et je sais où chercher...
    Merci pour votre aide et je suis à votre entière disposition.
    Bonne journée,
    Didier DUSSARD.

  • #2
    Re : Site Joomla 3.4.8 bloqué par l'hébergeur

    Bonjour et bienvenue sur le forum,

    il est probable que ce site ait été hacké.
    Pour nettoyer le site, voir cette solution :
    http://www.aesecure.com/fr/blog/aese...uick-scan.html

    Par ailleurs, il serait bon de s'assurer que toutes les extensions installées sont à jour.
    Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

    Référencement Joomla! 10 astuces pour référencer son site webhttps://cinnk.com/articles/referencement-joomla-10-astuces-pour-referencer-son-site-web

    Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

    Commentaire


    • #3
      Re : Site Joomla 3.4.8 bloqué par l'hébergeur

      Salut
      Remonter une sauvegarde sans corriger le problème ne sert à rien. Si ton site est hacké, ils sont déjà rentré. Le problème si tu continus à remonter ta vieille sav c'est que OVH vont te bloquer pour pas mal de temps.
      Formation Joomla agence internet https://www.stylitek.com
      Melijoy création de site Joomla compétitif https://www.melijoy.fr
      agence web spécialiste référencement http://www.agence-web-stylitek.fr

      Commentaire


      • #4
        Re : Site Joomla 3.4.8 bloqué par l'hébergeur

        Je complète en précisant que le piratage concerne a priori les fichiers et probablement pas la base, donc restaurer seulement la base n'a aucune chance de faire disparaître ces fichiers malveillants. Restaurer les fichiers pas forcément non plus car comme dit précédemment, ces fichiers peuvent être là depuis longtemps, dormants jusqu'à utilisation.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

        Commentaire


        • #5
          Re : Site Joomla 3.4.8 bloqué par l'hébergeur

          La faille peut aussi venir d'un serveur pas à jour, ou encore sur un serveur dédié mal configuré, d'un autre site présent sur l'hébergement, ...
          Formation Joomla agence internet https://www.stylitek.com
          Melijoy création de site Joomla compétitif https://www.melijoy.fr
          agence web spécialiste référencement http://www.agence-web-stylitek.fr

          Commentaire


          • #6
            Re : Site Joomla 3.4.8 bloqué par l'hébergeur

            Bonsoir

            +1 pour l'utilisation d'aeSecure QuickScan pour débusquer déjà un grand nombre de fichiers vérolés.

            Comme mentionné, restaurer la base de données est juste inutile; les virus se situant au niveau filesystem; c'est là qu'il faut faire un nettoyage.

            Tu peux faire ce nettoyage par toi-même; voir le troisième lien dans ma signature.

            Bonne soirée.
            Christophe (cavo789)
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Commentaire


            • #7
              Re : Site Joomla 3.4.8 bloqué par l'hébergeur

              Merci à tous pour vos réponses rapides. Je me sens moins seul et regagne un peu d'espoir.
              Pour tout vous dire:
              La première fois que cela s'est produit, j'étais en version 3.4.4 je crois (en tout cas antérieure à la correction des failles).
              Avec Filezila, j'ai effacé tous les fichiers du site et, avec MySql, tout le contenu de la base de données (table par table).
              J'ai réinstallé la version de Joomla corrigeant les failles, puis j'ai effectué les MAJ au fur et à mesure qu'elles se présentaient. J'ai actuellement la version 3.4.8 en ligne.
              Et j'ai reconstruit le site, manuellement (je n'ai pas copié de fichiers de peur de l'infecter à nouveau).
              Je vais suivre vos conseils, supprimer les fichiers douteux et réinstaller Joomla. Et essayer de comprendre et de consulter la section "sécurité", car je crois que je ne suis pas dans la bonne page.
              C'est ma première participation à ce forum et je dois dire que je suis de plus en plus séduit par Joomla et son environnement (vous tous, notamment).
              Encore merci, et bonne nuit.
              Didier.

              Commentaire


              • #8
                Re : Site Joomla 3.4.8 bloqué par l'hébergeur

                Bonjour Didier

                Tu as donc tout recommencé "from scratch" : supprimer les fichiers du FTP et la base de données. Les virus sont donc éliminés.

                Maintenant que ton site est propre, je te suggère en effet de le sécuriser pour éviter au maximum de te faire hacker à nouveau. Intéresse-toi au concept de pare-feu. Il en existe plusieurs qui fonctionnent sous Joomla; le mien, aeSecure, mais d'autres également : AdminTools ou RS Firewall pour ne mentionner que ces deux-là.

                Demande-toi aussi (si cela peut être simple à déterminer) comment tu t'es fait hacké. Avais-tu installé un thème douteux, une extension qui avait été bannie du Joomla Extension Directory, ... ou est-ce juste la faute à pas de chance.

                En sécurisant ton site, tu vas réduire le risque d'être hacké à nouveau.

                Bonne journée.
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be

                Commentaire


                • #9
                  Re : Site Joomla 3.4.8 bloqué par l'hébergeur

                  Il faut penser sur des environnements de production à respecter les pré-requis Joomla pour la sécurité.
                  Vérifie dans les infos Joomla (infos système) que tu sois up to date: http://www.joomla.fr/afuj/item/1468-...es-pour-joomla .
                  Bon courage !
                  Ariane - webmaster
                  Informatologue - 10 années d'expériences et toujours débutante

                  Commentaire


                  • #10
                    Re : Site Joomla 3.4.8 bloqué par l'hébergeur

                    Bonsoir,
                    Je viens de vérifier les prérequis...ça va.
                    J'ai installé aesecure à midi, j'espère que cela va fonctionner. Attendons.
                    J'avais remarqué, en consultant les logs que trois adresses IP étaient présentes à chaque problème. Je les ai "dénoncés" dans le pare feu. Si ce sont eux les fauteurs de troubles, ils seront bloqués.
                    C'est peut-être ma parano, mais notre site s'intitule SMHG (pour société mauzéenne d'histoire et de généalogie - nous habitons à Mauzé sur le Mignon). D'autres sites s'appellent ainsi, il n'y a que l'extension qui change. Un d'entre eux est un site gay.A votre connaissance, peut-il s'agir d'une action homophobe (dans ce cas, nous serions une victime collatérale) ?
                    Quoi qu'il en soit, je vous remercie de votre gentillesse et de votre compétence. J'aimerais bien aider la communauté Joomla, mais je n'ai pas beaucoup de connaissance technique et fonctionnelle de l'univers web, je parle mal l'anglais. Que puis-je faire ? Bêta testeur ? correcteur de traductions ?
                    Voilà, j'attends les événements (le calme plat m’irait très bien).
                    est-ce que je dois fermer la discussion ?
                    Encore merci et bonne soirée,
                    Didier.

                    Commentaire


                    • #11
                      Re : Site Joomla 3.4.8 bloqué par l'hébergeur

                      Faut pas chercher une raison Didier. Les attaques sont faites au petit bonheur la chance. Des scripts qui scannent le net à la recherche de sites à attaquer. Faut vraiment pas chercher une raison.

                      Pour l'aide que tu pourrais proposer, c'est super ! Tout le monde est le bienvenu, à tout niveau de compétences. Traduction, test, ... toute aide est intéressante à avoir.

                      Je vais communiquer ton post ci-dessus à d'autres personnes de l'AFUJ, peut-être pourront-ils te proposer quelques missions.

                      Merci Didier pour cette proposition.
                      Christophe (cavo789)
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                      Mes logiciels OpenSource : https://www.avonture.be

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X