virus Backdoor.PHP.ASQ

**jisse03** · 14/12/2013, 17h53

Re : virus Backdoor.PHP.ASQ

Bonjour,

Si une backdoor ASQ a été installée, c'est qu'il y a une faille sur ton site. Et une fois la backdoor installée, l'attaquant a pu tout aussi bien modifier d'autres fichiers, installer des malwares en tous genres ou créer des comptes masqués en base de données.

Une analyse complète du site s'impose.

**toffffe** · 14/12/2013, 17h56

Re : virus Backdoor.PHP.ASQ

[modo]Sujet déplacé dans la catégorie "sécurité"[/modo]

**yves35** · 14/12/2013, 18h09

Re : virus Backdoor.PHP.ASQ

Envoyé par jisse03 Voir le message

Bonjour,

Si une backdoor ASQ a été installée, c'est qu'il y a une faille sur ton site. Et une fois la backdoor installée, l'attaquant a pu tout aussi bien modifier d'autres fichiers, installer des malwares en tous genres ou créer des comptes masqués en base de données.

Une analyse complète du site s'impose.

Ben merci, ça accroît mon inquiétude !
Et comment on fait une analyse complète ?
Et comment on trouve l'origine de la faille ?
Et comment on évite que ça se reproduise ?

**jisse03** · 14/12/2013, 18h22

Re : virus Backdoor.PHP.ASQ

Pour analyser, commencer par faire une copie locale du site, plus à côté un Joomla! de la même version, et utiliser un outil diff (sous Windows windiff par exemple) pour comparer le code, ce qui permet de déterminer l'ampleur des dégâts.

Corriger ce qui est infecté en écrasant par des fichiers propres (donc directement du Joomla! propre et pour les extensions, d'une archive propre juste téléchargée).

Trouver l'origine de la faille, en comlmançant par anlyser les logs d'accès au site (très fastidieux). Vérifier qu'aucune extension vullnérable n'est installée http://vel.joomla.org/ et le ca séchéant, mettre à jour vers une version non compromise ou si pas corrigée, remplacer par une équivalence.

Et il faut sécuriser le site entier, pas seulement Joomla! (voir CrawlProtect)

Et attention à ton logiciel FTP. Certaines versions de Filezilla peuvent être infectées (sans que les antivirus le voient) et envoyer tes mots de passe à des attaquants...

**yves35** · 17/12/2013, 10h39

Re : virus Backdoor.PHP.ASQ

Merci des conseils

J'ai comparé la version courante avec une plus ancienne où il n'y avait pas de virus
Je n'ai trouvé aucun changement suspect

J'ai vérifié les extensions avec celles listées dans vel, n'en ai trouvée aucune suspecte

J'ai vérifié la liste d'utilisateurs directement dans la base de données; n'en ai pas trouvé de suspect

J'ai installé CrawlProtect

Par contre, je n'ai pas analysé les logs d'accès, pour la bonne raison que je ne les ai pas trouvés. Où se trouvent-ils ? le répertoire "logs" est vide

Et comment savoir si mon Filezilla est infecté ? J'ai la version la plus récente

**jisse03** · 17/12/2013, 12h09

Re : virus Backdoor.PHP.ASQ

Pour trouver les logs d'accès, voir dans la documentation hébergeur, ou lui poser la question

N'utilisant pas filezilla, je n'ai aucun moyen de savoir s'il est infecté, poreux ou autre.

virus Backdoor.PHP.ASQ

[Problème] virus Backdoor.PHP.ASQ

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association