tentative d'attaque?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] tentative d'attaque?

    bonjour, j'ai de GET Http codé en base_64. en décodant j'arrive à

    [modo]code supprimé; merci de ne pas le remettre[/modo]

    sous savez ce que ça fait ? Je n'y connais pas grand chose en joomla et rien en sécurité.
    Merci
    Dernière édition par cavo789 à 18/01/2018, 10h58

  • #2
    Bonsoir

    Ce fichier est bel et bien un virus qui tente de télécharger, sur différents endroits, du code PHP vérolé.

    Si ce fichier se trouve sur votre site; votre site est donc mal en point.

    Si ce contenu était transmis à votre site par une grosse requête GET avec les données en paramètres, à priori, c'est donc juste une tentative d'attaque.

    >Je n'y connais pas grand chose en joomla et rien en sécurité.

    Il serait alors grand temps de commencer à potasser le sujet ;-) Il y a de multiples sujets sur internet parlant de cela.

    Bonne soirée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Bonjour,
      Oui c'est dans les requêtes GET que c'est envoyé. Mais je ne sais pas comment savoir si elles ont abouti. L'adresse IP en a fait 4 identiques puis plus rien. J'imagine que le mail à la fin c'est un envoi au pirate si jamais l’attaque automatique a réussit ?
      Les problèmes de sécurité m'intéresse mais ça prend du temps et ça évolue vite. Je pense que mon site contient peu d'informations critiques, mais il y a quand même quelques adresses mails pour les mailing list. ça m'embêterais d'être un vecteur de fuite.

      Commentaire


      • #4
        Le pirate s'en moque du contenu du site; vraiment. Je te suggère de lire un article que j'ai écris pour CINNK magazine où justement j'aborde ce sujet-là : https://cinnk.com/magazine/mai-2016/...on-site-joomla


        Bonne journée.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Bonjour,
          finalement il y avait un dizaine de fichier ajoutés sur mon site un peu partout (à priori pas de modification des fichiers originaux, ce qui a facilité leurs suppression).
          C'est impressionnant le mal qu'ils se donnent pour cacher le code php, il faut une bonne dizaines de commandes pour remonter au code original.

          Commentaire


          • #6
            Bonjour

            Envoyé par Maika Voir le message
            finalement il y avait un dizaine de fichier ajoutés sur mon site un peu partout (à priori pas de modification des fichiers originaux, ce qui a facilité leurs suppression).
            Oui, lorsque c'est juste ça (ajout et non altération), le monde est du coup plus facile.

            Pour ma curiosité : comment avez-vous fait pour identifier les fichiers ajoutés ? Une comparaison de dossiers/fichiers entre une copie saine et la copie vérolée du site ?

            Envoyé par Maika Voir le message
            C'est impressionnant le mal qu'ils se donnent pour cacher le code php, il faut une bonne dizaines de commandes pour remonter au code original.
            Je suis intervenu sur un site il y a deux jours : 700 virus dont 650 fichiers altérés.
            Pour le pirate, le nombre de fichiers importe peu; c'est juste une routine qui va aller polluer xxx (X étant juste une variable) fichiers. J'ai déjà vu des fichiers vérolés deux fois càd deux types de virus différents dans le même fichier.

            Pour le cryptage; oui, en effet, un code crypté encore et encore et parfois différentes techniques de cryptage. Là aussi, le cryptage se fait en boucle, c'est une variable; le pirate s'en moque. Sauf que, de cryptage en cryptage, le code devient plus gros et donc plus identifiable. Et il faut pouvoir le décrypter pour l'exécuter ==> plus de cryptage plus long sera le temps d'exécution et cela pourrait mettre la puce à l'oreille du gestionnaire du site.

            (Si votre problème est réglé, merci de passer le post en Réglé)

            Bonne journée.

            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Envoyé par cavo789 Voir le message
              Bonjour

              Oui, lorsque c'est juste ça (ajout et non altération), le monde est du coup plus facile.
              Pour ma curiosité : comment avez-vous fait pour identifier les fichiers ajoutés ? Une comparaison de dossiers/fichiers entre une copie saine et la copie vérolée du site ?
              Oui comparaison avec une sauvegarde (pas tout à fait à jour ce qui à demandé plus de temps) et un scan avec un outils trouvé en ligne (qui à confirmé les fichier trouvés avec la première méthode).

              Envoyé par cavo789 Voir le message

              (Si votre problème est réglé, merci de passer le post en Réglé)

              Bonne journée.
              Ok, bonne journée

              Edit: en fait je n'arrive pas à mettre Solved Tread.
              Dernière édition par Maika à 23/02/2018, 12h35

              Commentaire


              • #8
                Juste un complétment : un outil en ligne est hyper limité. Que scanne-t-il ? Strictement le code HTML de la page que tu lui as soumis. Si tu as un virus, disons /images/virus.php, seul un scanner "fichiers" (à l'opposé d'en ligne) pourra le détecter.

                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Bonjour,
                  en ligne mais j'ai scanné une copie local du site web. donc bien les fichiers php, js etc...

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X