Piratage et code malveillant

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Piratage et code malveillant

    Bonjour,

    Le logiciel AVAST signalait un souci de sécurité sur un de mes sites joomla.

    J'ai contacté AVAST qui m'a répondu en précisant:

    This site is infected.
    Search for this string:
    ".LENGTH{?+=?.CHARAT(?++);"
    If you're an administrator, delete this script to heal the webpage.


    En résumé, un code semble infecter un de mes fichiers.

    Mais comment retrouver le fichier infecté parmi mes milliers de répertoires/fichiers ?

    Quel outil de recherche me conseillez-vous ?

    Merci d'avance ;-)

    Jérôme

  • #2
    Re : Piratage et code malveillant

    Bonjour

    Télécharge ton site en local et avec un logiciel tel que p.ex. Notepad++ lance une recherche dans tous les fichiers de ton arborescence à la recherche de cette chaîne de caractères.

    note : il est possible qu'elle soit cryptée et qu'il faille pousser plus loin tes contrôles.

    Quelques conseils de sécurité : http://allevents.avonture.be/fr/joom...-securite.html Prends connaissance de la dernière partie "vous avez été hacké; que faire?"
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Piratage et code malveillant

      Bonjour,

      Merci pour les conseils ;-)
      J'ai téléchargé Notepad++ et effectué une recherche, mais sans succès :-(
      Avez-vous une autre piste ou conseil pour supprimer ce code ?

      Merci d'avance,

      jérôme

      Commentaire


      • #4
        Re : Piratage et code malveillant

        regarde dans les log des l'hebergeur et par FTP les dates de fichiers et dossiers
        vas y par deduction, regarde ce qui cloque ... un fichier php dans les images ... un nom de fichier qui n'appartient pas a Joomla ... etc

        un lien vers le site ?
        Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
        Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

        Commentaire


        • #5
          Re : Piratage et code malveillant

          Bonjour

          Essaie un peu MD5 Comparison Tool : http://extensions.joomla.org/extensi...ty-tools/15379

          De ce que je lis, il compare tes fichiers Joomla versus la version d'origine : si tu as un J2.5 p.ex., il télécharge depuis joomla.org les fichiers d'origine de cette version-là de Joomla puis lance une comparaison avec ceux de ton site ==> il détecte donc les fichiers core ayant été modifié ====> il mettra en évidence ceux ayant été hacké.

          A tester.

          Tiens-nous au courant.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Piratage et code malveillant

            Bonjour,

            Tu mets le fichier joint dans ce zip infomodif.zip en racine de ton site et tu le lances par tonsite.fr/infomodif.php
            Tu indiques un nombre de jours et tu auras la liste des fichiers modifiés dans ce délai
            UP, le plugin universel à découvrir sur https//up.lomart.fr
            bgMax
            , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

            Commentaire


            • #7
              Re : Piratage et code malveillant

              Bonjour à tous,

              Je reviens vers vous et j'ai trouvé le fichier incriminé !

              En fait au départ j'ai uploadé les fichiers du site en local et ni mon antivirus (Antivir), ni "Kaspersky" (pourtant un bon antivirus), ni la recherche avec Notepade++ n'ont permis de trouver le code (cheval de troie).

              Seul AVAST qui équipe les PC de certains amis signalait un virus en accédant au site. J'ai donc installé AVAST (version gratuite) et après la nuit pour l'analyse détaillée de mon PC et des fichiers de mon site, il a trouvé le fichier incriminé. Il s'agissait de l'index.php du template.

              J'ai écrasé le fichier avec une sauvegarde et tout semble ok. D'ailleurs les équipes d'AVAST (très réactives !!!) m'ont confirmé par email que le problème était corrigé. Pour plus de sécurité, j'ai viré les composants, modules et plugins que je n'utilisait pas + Installation de "crawlprotect": logiciel assez simple et semble t-il pas mal pour bloquer des tentatives d'intrusion.

              En déduction, j'ai pris conscience que la version gratuite de AVAST était par rapport à d'autres antivirus très bien pour détecter les virus et autres problèmes de code. Anoter si d'autres utilisateurs de joomla galèrent pour rechercher les problèmes dans les fichiers.

              Un grand merci pour votre aide en espérant que le souci ne se reproduira pas: comme d'autres sites avait été également piraté (serveur dédié), il est fort possible que l'intrusion soit liée à la récupération de mes identifiants FilleZilla.

              Bonne soirée ;-)

              Jérôme

              Commentaire


              • #8
                Re : Piratage et code malveillant

                Envoyé par lomart Voir le message
                Bonjour,

                Tu mets le fichier joint dans ce zip [ATTACH]25979[/ATTACH] en racine de ton site et tu le lances par tonsite.fr/infomodif.php
                Tu indiques un nombre de jours et tu auras la liste des fichiers modifiés dans ce délai
                Merci pour l'astuce: je vais tester ce week-end, car pas dispo ce soir et demain.

                A +++

                Jérôme

                Commentaire


                • #9
                  Re : Piratage et code malveillant

                  Salut

                  Envoyé par jhautier Voir le message
                  il est fort possible que l'intrusion soit liée à la récupération de mes identifiants FilleZilla
                  Tu sais donc ce qui te reste à faire : changer tes logins / mot de passes FTP.

                  Si tu n'as pas encore lu le document que je proposais plus haut; sache qu'il existe une technique pour continuer à utiliser FileZilla en toute sécurité; j'en parle ici : http://allevents.avonture.be/fr/joom...a-secured.html

                  Le but : stocker les fichiers xml de FZ dans un dossier TrueCrypt qui n'est "monté" que durant ta session de FTP et donc très, très peu de temps.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Piratage et code malveillant

                    Envoyé par cavo789 Voir le message
                    Salut
                    Tu sais donc ce qui te reste à faire : changer tes logins / mot de passes FTP.
                    Si tu n'as pas encore lu le document que je proposais plus haut; sache qu'il existe une technique pour continuer à utiliser FileZilla en toute sécurité; j'en parle ici : http://allevents.avonture.be/fr/joom...a-secured.html
                    Le but : stocker les fichiers xml de FZ dans un dossier TrueCrypt qui n'est "monté" que durant ta session de FTP et donc très, très peu de temps.
                    Oui, la première chose que j'ai faite était de changer tous les mots de passe (compte hébergeur, Sql, base de données, sites joomla admin...).

                    Par contre j'ai testé la "sécurisation" de FilleZilla, mais sur mon PC je ne trouve pas le fichier "recentservers.xml"... ?

                    Bon we,

                    Jérôme

                    Commentaire


                    • #11
                      Re : Piratage et code malveillant

                      J'ai bien ce fichier mais il n'a plus été modifié depuis avril 2012 : probablement un reliquat d'une ancienne version de FileZilla. Ne t'en préoccupe pas donc.

                      Bonne journée.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X