Virus, une histoire de fou !

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Virus, une histoire de fou !

    Bonjour,

    Il y a quelques semaines, un site vérolé a été nettoyé, puis finalement, le serveur a été vidé pour une réinstallation d'une version neuve et totalement vierge de Joomla! 3.9.11 afin de repartir de zéro. Le site est chez OVH dans le dossier "www". Les seuls autres fichiers et dossiers présents sont ceux d'OVH.
    Le site est vierge : simple page d'accueil sans menu ni module.

    Un template récupéré sur le site Joomlaworks a été installé et défini comme style par défaut. Dès le site (frontend) affiché, on retrouve la redirection qu'on avait précédemment vers un site indésirable.

    Je regarde et trouve du code malicieux dans le fichier index.php du template. Je vérifie dans le zip : code absent, donc ajouté après coup.

    Je récupère une copie du site en local, supprime ce template depuis le gestionnaire de fichiers, vais dans la base pour définir Protostar comme template, et j'ouvre le site. Bing ! même redirection (entretemps, j'avais supprimé les cookies et vidé le cache du navigateur, il n'y avait rien dans les dossiers de cache du site, et le fichier index de Protostar était correct).
    J'ouvre l'index de Protostar : le même code est là...

    aeSecure Quickscan me signale un virus, sans que je puisse savoir où. Si je remplace l'index du Template par l'original, aeSecure Quickscan ne signale plus rien, mais si j'ouvre de nouveau le site, rebelote !

    Seul le remplacement complet des fichiers système par un pack 3.9.11 résout le problème, mais dans la mesure où on ne sait pas comment ce code se retrouve dans l'index du template, ce n'est pas satisfaisant, vous en conviendrez !

    Il y a donc quelque part un fichier système qui a été modifié et échappe au Quickscan, et qui réécrit ce code malicieux à la volée !

    J'ai deux instances locales du site : après remplacement des fichiers système, la page d'accueil reste la bonne et ne déclenche plus cette redirection intempestive.
    Dernière édition par RobertG à 14/09/2019, 16h36
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

  • #2
    Bonjour,

    Quickscan détecte pas mal de virus, mais pas tous. Il signale aussi pas mal de faux positifs car Akeeba backup, par exemple, utilise pas mal de commandes PHP qu'il n'aime pas (eval par exemple).

    Pour résoudre ce type de problème, je fais un site avec un Joomla tout beau tout neuf de la même version que mon site suspect et j'y ajoute les extensions neuves.

    D'abord un coup d'antivirus Windows, puis, travail de fourmi, je compare les 2 répertoires avec WinMerge et les différences sont vite signalées.

    Petite question un peu bête : as-tu bien changé tous les mots de passe ?

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Merci Pascal,

      Si je ne me trompe tous les mots de passe ont dû être changés lors de la première intervention.
      J'ai désinstallé Akeeba après restauration en local, pour éviter ces fausses alertes d'aesecure.
      Je tenterai la comparaison avec Winmerge et le site brut de décompression et une des deux versions propres (a priori).
      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
      MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

      Commentaire


      • #4
        N'oublie pas le coup d'antivirus Windows, je m'en suis pris pas mal ces derniers temps...
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Je l'ai déjà fait, et surtout conseillé à la propriétaire du site d'en faire autant chez elle, au cas où un malware local contaminerait le site, mais c'est le seul site parmi ceux dont elle s'occupe qui est touché.
          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

          Commentaire


          • #6
            Bitdefender ne trouve rien, et Winmerge seulement le code dans les index.php de Protostar et de l'autre template (Beez3 n'avait pas été utilisé), seule différence hors dossier "installation" de l'archive.
            Donc aucun fichier système ne semble corrompu.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

            Commentaire


            • #7
              Bonjour

              Si j'ai bien compris... je n'ai pas compris.

              De ton site de départ; vérolé; tu n'as rien gardé du tout. Nada. Tu as recréé tout en nouveau sur un serveur où il n'y avait que les fichiers standards de l'hébergeur. Tout est nouveau et pourtant tu as le même virus que tu avais avec le site vérolé. Est-ce bien correct ?

              Si la contamination ne vient pas du site; le point commun, c'est ... toi. Non ? Cela me paraît invraisemblable et je pense donc ne pas avoir compris.

              Si je relis une fois encore ton premier message : tout est propre; tout est refait sur du vierge et le site est donc présumé propre. Tu installes un template de confiance et au premier affichage; tu as une redirection du browser et un virus PHP dans index.php. Cela au premier affichage. Est-ce que tu as le même comportement avant même d'avoir installé le template ? Vraiment avec tout en natif ?

              (mes questions ont pour seul but de tenter de comprendre la situation)

              Bonne soirée
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Oui, Christophe, c'est comme ça que ça s'est passé.
                Ce n'est pas moi, mais c'est pareil. J'ai suggéré que c'était un malware sur l'ordinateur de la gestionnaire du site, mais elle en gère d'autres qui n'ont pas été contaminés, ce qui est surprenant.

                Etant donné que lorsque c'est moi qui interviens pour nettoyer tout va bien ensuite, mais que ça recommence alors que je n'y touche plus personnellement, c'est que ça a été contaminé ailleurs.
                Ce que je n'avais pas noté au départ, c'est que l'index.php de Protostar était aussi déjà touché, d'où une certaine confusion.
                Le fait que je ne trouve avec Winmerge aucune différence, en dehors de ces deux fichiers déjà atteints, entre la sauvegarde décompressée et une copie écrasée par les fichiers système d'un pack de même version et ceux du template complémentaire montre bien que la cause est externe au site.
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Tu mentionnais que tous les fichiers étaient ceux de l'hébergeur hormis le dossier www où tu viens d'installer un Joomla tout propre. Est-ce que tu es certain de cela ? Je suppose ici qu'il y a une contamination croisée par un autre site sur le même hébergement ou, à tout le moins, un script vérolé qui s'y trouve déjà et qui est réactivé.

                  Dans cette hypothèse; as-tu regardé s'il y avait des choses indues dans le cron du serveur ?

                  Bonne recherche.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Merci Christophe !

                    Je n'ai pas accès à la gestion du compte OVH, et chez eux, les tâches cron ne peuvent que lancer un fichier PHP, qui doit donc être sur le serveur, mais il n'y en a pas. Je demanderai à ce que la liste d'éventuelle tâches cron soit vérifiée.
                    J'ai demandé à ce que les logs soient analysés, mais apparemment, la collègue n'a rien trouvé d'utile à la compréhension.
                    Si c'est une tâche cron ailleurs qui utilise une faille de sécurité, seuls les logs nous le dirons, je vais insister sur ce point auprès d'elle.

                    Le site neuf n'a pas été installé par moi, il l'a été le mois dernier et immédiatement mis hors ligne, puis le nouveau template a été ajouté. Entre-temps, comme le site avait été blacklisté, les antivirus étaient à mon avis assez dissuasifs pour les visiteurs (pas bon pour le référencement).
                    Les fichiers "hébergeur" sont en fait un ".forward" qui ne contient que l'adresse de messagerie "postmaster" du nom de domaine, un "LISEZ-MOI" et les dossiers cgi-bin et requetes, vides, qui datent de 10 ans.

                    Je viens de retourner sur le site sur lequel j'avais renvoyé par ftp le pack neuf ainsi que le template, et pour le moment, pas d'anomalie, pas de redirection. Je verrai demain matin si ça a changé ou non.

                    Si le code injecté dans les index des templates l'est depuis un fichier du site, Winmerge aurait dû déceler la différence sur au moins un fichier, ce qui n'a pas été le cas, à moins que je l'aie raté, mais je ne pense pas.
                    Et je ne vois pas comment, si d'origine ce code était présent dans un index de template (pourquoi Protostar plutôt que Beez3, sain, lui), comment il se clonerait dans l'index d'un nouveau template. Mais aussi, comment a-t-il pu se retrouver dans ce template, si on imagine qu'il l'a été depuis l'ordinateur de la gestionnaire, sans que ça le fasse aussi sur d'autres sites qu'elle gère.

                    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                    Commentaire


                    • #11
                      Petite question du matin : ton site est vide ou a-t-il des articles ?

                      Si articles, as-tu vérifié dans les articles s'il n'y a pas un peu de code à la c.... ?

                      Bonne recherche,

                      Pascal
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #12
                        Bonjour

                        Envoyé par pmleconte Voir le message
                        Si articles, as-tu vérifié dans les articles s'il n'y a pas un peu de code à la c.... ?
                        Si cela devrait être le cas, ce serait du code JS et donc quelque chose qui peut inclure, oui, une redirection (faite en javascript) ou l'inclusion d'un fichier .js externe (pour p.ex. modifier le comportement d'une page).

                        Un code .js ne peut pas venir altérer le code PHP d'un fichier car du .js exécuté au travers d'un browser ne peut pas modifier un fichier sur le serveur.

                        Puisque le index.php est altéré, la piste .js n'est pas la bonne ici. Mais oui, donc, pour "juste" une redirection.

                        Bonne journée.

                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Bonjour,

                          Le site était totalement vide, juste quelques mots dans un article pour faire patienter les visiteurs.
                          Pour l'instant, après donc avoir tout écrasé hier en fin d'après-midi avec un pack Joomla! et une copie saine du template, il n'y a pas eu de nouvelle modification de l'index du template.
                          La redirection était faite par le code ajouté dans cet index.
                          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X