virus Backdoor.PHP.ASQ

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] virus Backdoor.PHP.ASQ

    Bonjour

    Kors d' une sauvegarde via Filezilla de mon site,
    mon antivirus (Bitdefender) découvre 4 fichiers à la racine de mon site, infectés du virus Backdoor.PHP.ASQ
    ce sont des fichiers .php, par exemple w34067677n.php

    Je suis en JOOMLA 3.2

    Est-ce grave docteur ?

    Si oui, que dois-je faire ? supprimer ces fichiers ? Est-ce suffisant ? Et comment éviter que ça recommence ?

    SI quelqu'un peut m'aider, merci d'avance

  • #2
    Re : virus Backdoor.PHP.ASQ

    Bonjour,

    Si une backdoor ASQ a été installée, c'est qu'il y a une faille sur ton site. Et une fois la backdoor installée, l'attaquant a pu tout aussi bien modifier d'autres fichiers, installer des malwares en tous genres ou créer des comptes masqués en base de données.

    Une analyse complète du site s'impose.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : virus Backdoor.PHP.ASQ

      [modo]Sujet déplacé dans la catégorie "sécurité"[/modo]
      Auto-entrepreneur spécialiste Joomla https://www.stylitek.com

      Joomladay 2023 https://www.joomladay.fr/ 2 jours à ne pas manquer

      Commentaire


      • #4
        Re : virus Backdoor.PHP.ASQ

        Envoyé par jisse03 Voir le message
        Bonjour,

        Si une backdoor ASQ a été installée, c'est qu'il y a une faille sur ton site. Et une fois la backdoor installée, l'attaquant a pu tout aussi bien modifier d'autres fichiers, installer des malwares en tous genres ou créer des comptes masqués en base de données.

        Une analyse complète du site s'impose.
        Ben merci, ça accroît mon inquiétude !
        Et comment on fait une analyse complète ?
        Et comment on trouve l'origine de la faille ?
        Et comment on évite que ça se reproduise ?

        Commentaire


        • #5
          Re : virus Backdoor.PHP.ASQ

          Pour analyser, commencer par faire une copie locale du site, plus à côté un Joomla! de la même version, et utiliser un outil diff (sous Windows windiff par exemple) pour comparer le code, ce qui permet de déterminer l'ampleur des dégâts.

          Corriger ce qui est infecté en écrasant par des fichiers propres (donc directement du Joomla! propre et pour les extensions, d'une archive propre juste téléchargée).

          Trouver l'origine de la faille, en comlmançant par anlyser les logs d'accès au site (très fastidieux). Vérifier qu'aucune extension vullnérable n'est installée http://vel.joomla.org/ et le ca séchéant, mettre à jour vers une version non compromise ou si pas corrigée, remplacer par une équivalence.

          Et il faut sécuriser le site entier, pas seulement Joomla! (voir CrawlProtect)

          Et attention à ton logiciel FTP. Certaines versions de Filezilla peuvent être infectées (sans que les antivirus le voient) et envoyer tes mots de passe à des attaquants...
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire


          • #6
            Re : virus Backdoor.PHP.ASQ

            Merci des conseils

            J'ai comparé la version courante avec une plus ancienne où il n'y avait pas de virus
            Je n'ai trouvé aucun changement suspect

            J'ai vérifié les extensions avec celles listées dans vel, n'en ai trouvée aucune suspecte

            J'ai vérifié la liste d'utilisateurs directement dans la base de données; n'en ai pas trouvé de suspect

            J'ai installé CrawlProtect

            Par contre, je n'ai pas analysé les logs d'accès, pour la bonne raison que je ne les ai pas trouvés. Où se trouvent-ils ? le répertoire "logs" est vide

            Et comment savoir si mon Filezilla est infecté ? J'ai la version la plus récente

            Commentaire


            • #7
              Re : virus Backdoor.PHP.ASQ

              Pour trouver les logs d'accès, voir dans la documentation hébergeur, ou lui poser la question

              N'utilisant pas filezilla, je n'ai aucun moyen de savoir s'il est infecté, poreux ou autre.
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X