Bonjour,

En effet, revenir à une sauvegarde faite avant le blocage du site (fichiers ET base de données) peut être une solution, à condition que les fichiers malveillants n'aient pas été installés plus tôt et seulement activés récemment.
L'analyse avec aeSecure quickscan pourrait permettre, sans certitude absolue, de repérer les fichiers en cause.

Bonjour
Je ne m'attendais pas à une réponse si rapide..merci
Bon je peux essayer la restauration via My Admin, car il y a 30 sauvegardes. Le système en fait une par jour je pense. Par contre je lis Fichier et base de données et là je comprends pas.
Que fait la restauration via My Admin ? Uniquement la base de données? oui bien les deux
Sinon où sont alors les fichiers ? et quels fichiers....et oui je découvre tout Joomla ...et comment les restaurer si ils sont en dehors de la sauvegarde automatique

Comment utiliser aeSecure quickscan ? je ne le connais pas ce programme
est ce que ce programme doit etre installé quelque part ?

phpMyAdmin ne gère que la base de données, et en général ce sont les fichiers qui sont piratés, d'où la nécessité de coupler la restauration des fichiers et de la base.
OVH fait aussi des sauvegardes du serveur de fichiers, accessibles depuis le Manager

Le script de scan et ses explications sont ici : https://github.com/cavo789/aesecure_quickscan

Petit soucis, le lien http://localhost/my_site/aesecure_quickscan.php, mis dans le navigateur ne marche pas, j 'ai mis le nom du site à la place de my_site et pas de connexion. C'est peut être normal,vu que je ne peux pas me connecter pour arriver sur l'interface de gestion

Bonjour

Non rien à voir puisqu'il s'agit d'un script totalement indépendant.

As-tu testé sans my_site ?

Le fichier de Quickscan doit être placé à la racine de ton site joomla.

Le fichier doit être placé à la racine de ton site, donc soit dans "www", soit dans "www2" selon le dossier où tourne le site (tu peux le vérifier tout simplement dans ton Manager en regardant à quel dossier correspond le nom de domaine).
Ensuite, tu saisiras l'adresse de ce site suivi de "aescure_quickscan.php" (https://ww w.infspm44.com/aesecure_quickscan.php") et tu valideras

Bonjour

Pour info, l'outil QuickScan requiert un certain niveau de technicité car il va retourner des fichiers / partie de fichiers qui sont potentiellement des virus (c'est ce qu'on nomme des faux-positifs) et dans le cas avéré d'un virus, il faut intervenir toi-même pour ou supprimer l'intégralité du fichier (=c'est un virus) ou la portion du virus dans un fichier qui était légitime (=le virus a parasité un fichier).

Je crains, au vu de ta récente question ci-dessus, que cela soit trop technique pour toi.

Du coup, dans l'hypothèse que QuickScan soit trop compliqué et que ton site soit réellement vérolé (sauf erreur, ce n'est pas une certitude); il te faudra faire appel à un technicien je pense et/ou remettre un site tout propre depuis un backup sain.

Bonjour Christophe
Pour le moment effectivement je ne vais pas aller plus loin avec QuickScan

Après avoir fait diverses tentatives de récupération du mot de passe et utilisateur sans succès voici résumé et observation

Méthode 1 fichier configuration php : n’a pas marché. A refaire ?
Méthode 2 modification BD
On peut ajouter un utilisateur sans problème et avec le mot de passe secret
Peut ajouter Super Admin avec requête SQL et en ajoutant le script pour admin2
Je n’ai pas modifié les mots de passe des utilisateurs existants ne sachant pas trop ce qui pouvait se passer

Autre méthode : script log-admin.php très bon programme
Je peux me connecter en backend et voir tous les utilisateurs existants et les derniers qui ont été crée.
Par contre 3 constats
1- toute l’interface est en Anglais au lieu du Français
2 je peux naviguer dans les différents menus
2- je ne peux rien modifier, ni sauvegarder, a priori je suis en mode mode lecture

Je n’arrive pas au même endroit que avant le blocage d’accès backend
Plus de boutique VirtueMart
Je pense que l’intrus à fait une redirection vers un autre répertoire pour expliquer cela ; mais où ???

Avec Methode 2 une fois utilisateur(s) crée, si j’essaye de me connecter par la méthode classique : nom du site/administrator....rien pas de connexion
Je serais tenté de dire que l’intrus a fait une modification quelque part pour empêcher toute connexion de cette façon malgré ajout d’utilisateurs par Méthode 2 ou manuellement dans la BD

En ce qui concerne l’accès par FTP via FileZilla et vis le FTP d’OVH: j’accède au répertoire www et il y a toujours mes fichiers pdf par exemple

En ce qui concerne la BD , je peux y accéder sans problème, et il y a deux tables différentes:
- celle lors de la création dont le nom correspond avec les infos d’OVH
- une autre avec un autre nom ( ou préfixe) inconnu et dans user , rien c’est vide
C’est peut être une vieille table crée pour test au débute ce qui expliquerait le second répertoire www2

Pour revenir au problème de connexion en backend, je ne sais pas ou chercher. J’ai ouvert le fichier config.php et il y avait un nom étrange homez.713 ( je pense que c'est modification de l'intrusque j’ai modifié en home
public $log_path = '/homez.713/sealanda/www/logs';
public $tmp_path = '/homez.713/sealanda/www/tmp';

Voilà si vous avez des idées et solutions je suis preneur avant de faire un nettoyage complet

Bonjour,

Pour ce qui est de la dernière question, ce "home.713" est le nom du serveur où a été initialement placé le site, lors du premier abonnement. Il peut être remplacé par "home" tout simplement.
Ce n'est pas forcément un intrus qui l'a défini.
A en croire ce que tu montres du fichier configuration.php, le site est dans "www" et tu n'as, a priori, surtout pas à modifier le ficher configuration.php, sauf si tu devais redéfinir le mot de passe d'accès à la base (ou ce home.713).

Comme dit précédemment, la restauration du serveur de fichier et celle de la base de données depuis le Manager OVH, de préférence au même jour, est probablement la seule méthode, avec un scan pour s'assurer que les fichiers indésirables n'étaient pas déjà présents au moment où a été faite la sauvegarde : si tu n'en es pas capable, tu peux faire appel à un utilisateur averti ou un pro dans le sous-forum "demande de service". Certains pourraient aussi te conseiller de tester avec mysites.guru ou de faire appel à leur service de nettoyage de sites piratés, mais n'en ayant pas l'expérience, je ne peux rien en dire.

Bonjour,
Je vais réfléchir pour la suite et en principe le choix serait d'installer de nouveau Joomla et refaire un site web plus simple et surtout plus sécurisé. Dans le fichier log /error...tres longue liste des adresse ip qui ont tenté un accès....édifiant ( russie, chine, france etc...)

Suite à des lectures sur Joomla, je commence à deviner un peu la structure de cet outil et voici quelques questions
-si l'intrus a eu accès au backend ( panneau administration de Joomla) as t il pu modifier la base de données qui est seulement accessible via OVH ?
- en ce qui concerne le répertoire www accessible par FTP et via OVH, as t il pu être infecté via le backend ?
- dans le cas d'une nouvelle installation de Joomla via FTP, faut il effacer avant ( et les sauvegarder) tous les fichiers entre / et www ?
J'espère que mes questions ne sont pas trop idiotes vu mon niveau sur Joomla

Bonjour,

Une méthode pour l'accès à l'administration est de compliquer son accès soit par une extension comme Admin Exile ou Admin Tools avec nécessité d'un "token" dans l'adresse d'accès ou une protection par .htaccess/.htpasswd : pas d'accès sans, donc tous les robots et individus ne connaissant pas la clé ne seront pas répertoriés dans le fichier de logs (mais pourront quand même attaquer).

Si un individu arrive à se créer un compte de niveau suffisant, il peut installer toute extension qui lui conviendra, dont une gestion des fichiers. Pour la base, bien sûr, il pourra y faire des modifications.

Il faut protéger l'accès au site et à son administration : identifiants (pas de "admin" par exemple) et surtout mots de passe complexes, solutions déjà citées, toujours être à jour des extensions et de Joomla! lui-même, et le risque de piratage sera limité aux failles éventuelles non encore connues.
Des sauvegardes régulières sont aussi indispensables.

Bonjour,

Après discussion avec le client, le problème actuel vient de la mise à jour PHP en 7.3 alors que le site est en Joomla 2.5 avec un template Yootheme de 2012.

Action en cours pour mettre à niveau ce site aussi bien en Joomla/PHP qu'en template.

Pascal