Piratage et code malveillant

**cavo789** · 16/10/2013, 15h50

Re : Piratage et code malveillant

Bonjour

Télécharge ton site en local et avec un logiciel tel que p.ex. Notepad++ lance une recherche dans tous les fichiers de ton arborescence à la recherche de cette chaîne de caractères.

note : il est possible qu'elle soit cryptée et qu'il faille pousser plus loin tes contrôles.

Quelques conseils de sécurité : http://allevents.avonture.be/fr/joom...-securite.html Prends connaissance de la dernière partie "vous avez été hacké; que faire?"

**jhautier** · 16/10/2013, 19h58

Re : Piratage et code malveillant

Bonjour,

Merci pour les conseils ;-)
J'ai téléchargé Notepad++ et effectué une recherche, mais sans succès :-(
Avez-vous une autre piste ou conseil pour supprimer ce code ?

Merci d'avance,

jérôme

**manu93fr** · 16/10/2013, 20h51

Re : Piratage et code malveillant

regarde dans les log des l'hebergeur et par FTP les dates de fichiers et dossiers
vas y par deduction, regarde ce qui cloque ... un fichier php dans les images ... un nom de fichier qui n'appartient pas a Joomla ... etc

un lien vers le site ?

**cavo789** · 17/10/2013, 05h54

Re : Piratage et code malveillant

Bonjour

Essaie un peu MD5 Comparison Tool : http://extensions.joomla.org/extensi...ty-tools/15379

De ce que je lis, il compare tes fichiers Joomla versus la version d'origine : si tu as un J2.5 p.ex., il télécharge depuis joomla.org les fichiers d'origine de cette version-là de Joomla puis lance une comparaison avec ceux de ton site ==> il détecte donc les fichiers core ayant été modifié ====> il mettra en évidence ceux ayant été hacké.

A tester.

Tiens-nous au courant.

**lomart** · 17/10/2013, 13h24

Re : Piratage et code malveillant

Bonjour,

Tu mets le fichier joint dans ce zip infomodif.zip en racine de ton site et tu le lances par tonsite.fr/infomodif.php
Tu indiques un nombre de jours et tu auras la liste des fichiers modifiés dans ce délai

**jhautier** · 17/10/2013, 21h16

Re : Piratage et code malveillant

Bonjour à tous,

Je reviens vers vous et j'ai trouvé le fichier incriminé !

En fait au départ j'ai uploadé les fichiers du site en local et ni mon antivirus (Antivir), ni "Kaspersky" (pourtant un bon antivirus), ni la recherche avec Notepade++ n'ont permis de trouver le code (cheval de troie).

Seul AVAST qui équipe les PC de certains amis signalait un virus en accédant au site. J'ai donc installé AVAST (version gratuite) et après la nuit pour l'analyse détaillée de mon PC et des fichiers de mon site, il a trouvé le fichier incriminé. Il s'agissait de l'index.php du template.

J'ai écrasé le fichier avec une sauvegarde et tout semble ok. D'ailleurs les équipes d'AVAST (très réactives !!!) m'ont confirmé par email que le problème était corrigé. Pour plus de sécurité, j'ai viré les composants, modules et plugins que je n'utilisait pas + Installation de "crawlprotect": logiciel assez simple et semble t-il pas mal pour bloquer des tentatives d'intrusion.

En déduction, j'ai pris conscience que la version gratuite de AVAST était par rapport à d'autres antivirus très bien pour détecter les virus et autres problèmes de code. Anoter si d'autres utilisateurs de joomla galèrent pour rechercher les problèmes dans les fichiers.

Un grand merci pour votre aide en espérant que le souci ne se reproduira pas: comme d'autres sites avait été également piraté (serveur dédié), il est fort possible que l'intrusion soit liée à la récupération de mes identifiants FilleZilla.

Bonne soirée ;-)

Jérôme

**jhautier** · 17/10/2013, 21h18

Re : Piratage et code malveillant

Envoyé par lomart Voir le message

Bonjour,

Tu mets le fichier joint dans ce zip [ATTACH]25979[/ATTACH] en racine de ton site et tu le lances par tonsite.fr/infomodif.php
Tu indiques un nombre de jours et tu auras la liste des fichiers modifiés dans ce délai

Merci pour l'astuce: je vais tester ce week-end, car pas dispo ce soir et demain.

A +++

Jérôme

**cavo789** · 17/10/2013, 23h22

Re : Piratage et code malveillant

Salut

Envoyé par jhautier Voir le message

il est fort possible que l'intrusion soit liée à la récupération de mes identifiants FilleZilla

Tu sais donc ce qui te reste à faire : changer tes logins / mot de passes FTP.

Si tu n'as pas encore lu le document que je proposais plus haut; sache qu'il existe une technique pour continuer à utiliser FileZilla en toute sécurité; j'en parle ici : http://allevents.avonture.be/fr/joom...a-secured.html

Le but : stocker les fichiers xml de FZ dans un dossier TrueCrypt qui n'est "monté" que durant ta session de FTP et donc très, très peu de temps.

**jhautier** · 19/10/2013, 16h51

Re : Piratage et code malveillant

Envoyé par cavo789 Voir le message

Salut
Tu sais donc ce qui te reste à faire : changer tes logins / mot de passes FTP.
Si tu n'as pas encore lu le document que je proposais plus haut; sache qu'il existe une technique pour continuer à utiliser FileZilla en toute sécurité; j'en parle ici : http://allevents.avonture.be/fr/joom...a-secured.html
Le but : stocker les fichiers xml de FZ dans un dossier TrueCrypt qui n'est "monté" que durant ta session de FTP et donc très, très peu de temps.

Oui, la première chose que j'ai faite était de changer tous les mots de passe (compte hébergeur, Sql, base de données, sites joomla admin...).

Par contre j'ai testé la "sécurisation" de FilleZilla, mais sur mon PC je ne trouve pas le fichier "recentservers.xml"... ?

Bon we,

Jérôme

**cavo789** · 20/10/2013, 09h12

Re : Piratage et code malveillant

J'ai bien ce fichier mais il n'a plus été modifié depuis avril 2012 : probablement un reliquat d'une ancienne version de FileZilla. Ne t'en préoccupe pas donc.

Bonne journée.

Piratage et code malveillant

[Problème] Piratage et code malveillant

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association