Re : Site Web Piraté [ page blanche]

Ah? Le plus simple irait d'aller lui tirer l'oreille alors

Re : Site Web Piraté [ page blanche]

Oui, je peux pas sortir de chez moi, j ai le bracelet

Re : Site Web Piraté [ page blanche]

Bonjour Phennys

Je me permets d'intervenir car je me suis occupé d'un site qui a été piraté dernièrement...
En fait, il y a je pense 2 façons de prendre ce problème :
Solution 1) Essayer d'entrer dans l'administration du site et dans la base de données pour rechercher et corriger toutes les anomalies.
Solution 2) Repartir d'un site vide et recréer tous les menus, articles, paramétrages, ...

Solution 1
On est bien souvent poussé vers cette solution car la deuxième nous semble tellement longue... Et puis nous n'imaginons pas les dégâts que le ou les pirates auraient pu faire sur notre site.
Comme pour un iceberg, il y a ...
- La partie visible : par exemple la modification de la bannière de notre site par le pirate, ou l'impossibilité d'accéder au site ou à son administration
- La partie invisible : le plus sournois et le plus difficile à cerner, par exemple les codes d'attaque du serveur d'hébergement (et des autres sites présents sur le même serveur), le transfert d'information des visiteurs vers des sites commerciaux, la récupération des adresses mails (voire plus...), etc...

En ce qui me concerne, il ne faut pas minimiser la partie invisible et cette dernière peut être très importante.

Solution 2
Cette solution fait souvent peur car nous n'avons pas envie de tout refaire... Ceci nous semble long alors qu'une simple opération pourrait corriger le problème...
Grave erreur à mon sens car la partie invisible peut être très très sournoise et rester invisible très longtemps tout en effectuant des opérations illégales.

Pour moi, la seule solution viable et sécurisée reste la deuxième.
Pour ceux qui seraient intéressés, je peut contacter la personne responsable du site piraté et vous pourrez avoir non seulement ses explications (qui ressemblent comme une goutte d'eau au problème de Phennys) mais également pourquoi la solution 1 n'a pas été envisagée.

Phennys, je serai toi, je ne prendrai pas de risque... Je repartirai de zéro
Cordialement
Jean-Marie

Re : Site Web Piraté [ page blanche]

Bonjour Jean-Marie

Absolument d'accord avec toi sur l'image de l'iceberg car c'est exactement de ça qu'il s'agit. Hier, j'ai encore trouvé des fichiers gif ne contenant que du code virusé. L'astuce est, pour un pirate, d'avoir un fichier tel que nestor.php.gif (double extension) qui sur les vieux serveurs Apache devient exécutable (car la première extension est .php).

Hier donc, j'ai trouvé plein de nestor.gif (une seule extension) et tous de jolies bestioles. Donc, oui, oui, pour l'iceberg.

Maintenant, un peu moins d'accord sur l'approche : jusqu'à présent, j'ai souvent nettoyé des sites en option 1 et cela a toujours fonctionné. Pour un prestataire qui ne connait pas le site, l'option 2 est impossible à réaliser. Et pour l'option 1; cela prends en général quelque chose comme quatre heures de travail. Probablement moins que 2.

Une bonne approche, en fait, c'est le mix des deux :

* supprimer du site tous les dossiers de Joomla himself (/administrator, /cache, /components, ...) mais pas /media ni /images.
* remettre des fichiers propres : un nouveau Joomla tout sain, des réinstallations des composants utilisés depuis le site de l'éditeur, ...

A ce niveau, tu as tout qui est propre excepté nos dossiers /media et /images. Là, c'est à la manu ou presque : passage de plusieurs scan antivirus, anti-malware, ... et correction manuelle des fichiers (suppression des bestioles tels que trojan ou édition de fichier pour en retirer le code vérolé).

Reste à jeter un oeil aux différents .htaccess (dans le root, dans /media ete dans /images).

Voici, une approche qui mixe les deux. Reste qu'il faut compter un certain nombre d'heures pour le nettoyage et donc, un milliard de fois mieux : le restore d'un backup fait quelques jours avant l'attaque.

Bonne journée.

Re : Site Web Piraté [ page blanche]

Je suis d'accord en effet sur les approches de la solution 1 mais il y a tellement de choses et de techniques pouvant être utilisées...
Imaginons par exemple l'ajout d'une simple petite ligne de php dans un fichier ".php" faisant une requête dans une table de la base pour rechercher d'autres instructions php servant à attaquer le serveur d'hébergement... La simple requête SQL peut sembler tout à fait normale (la requête elle-même ne ressemble pas à une instruction de pirate), par contre, le résultat de la requête peut contenir des instruction très dangereuses... Pour moi, le contenu de la base devrait aussi être étudiée pour vérifier tous les enregistrements de toutes les tables... C'est de la folie pure !!!!!!

De plus, de mon côté, je n'ai pas la prétention de tout savoir, de tout maîtriser, et avoir suffisamment d'imagination pour trouver toutes les "petits trucs" des pirates qui pourraient dans mes recherches et analyse du site passer à la trappe.

Donc, malgré toutes les astuces que tout le monde pourrait donner ici (et qui sont de très bonne qualité), je pense qu'il restera toujours un risque !

Pour moi, quelques règles de base pour réduire et non pas supprimer car un site protégé à 100% n'existe pas...

- Mettre en place une ou des extensions de sécurité pour rendre la vie des pirates plus difficile. Il est possible de combler certains trous de sécurité obligeant certains pirates à recherche la "petite faille". Les pirates "amateurs" seront dans ce cas vite fatigués et abandonneront, les autres, "moins amateurs" passeront plus de temps à chercher, chercher et chercher. les vrais pirates professionnels risquent malgré ces protection de passer à travers...
- Sauvegarder, sauvegarder, sauvegarder encore et encore... à chaque modification de site (contenu ou mises à jour de Joomla ou des extensions). Et ceci sur une période la plus longue possible. Ne prenez pas de risques à vouloir garder que 2 ou 3 dernières sauvegardes pour faire des économies de bout de chandelles... gardez-les le plus longtemps possible tant que vous avez de la place disque.
- Faire les mises à jours régulières de Joomla et des extensions si ces dernière contiennent des corrections de sécurité.
- Récupérer les fichiers archives des sauvegardes par exemple ceux générés par "Akeeba Backup", en les copiant sur un serveur totalement indépendant de celui de l'hébergeur. En effet...un pirate pourrait éventuellement aller les supprimer sur le serveur d'hébergement. L'utilisation d'un protocole de transfert non sécurisé "FTP" simple est bien entendu déconseillé, préférer par exemple la sécurité "SFTP".
- Préférer l'utiliser de "https" à la place de "http" surtout sur les pages de connexion (en frontend et backend).

Je m'éloigne du sujet de ce post qui est plutôt sur "comment récupérer" un site piraté mais bon... on ne le répètera jamais assez... Les accidents n'arrivent pas uniquement qu'aux autres... c'est pour cela que nous prenons souvent des assurances dans la vie non ? Et la responsabilité Civile en est même une obligatoire... Et puis le métier de l'informaticien n'est pas d'éteindre les feux et de faire le travail de pompier, mais surtout de tout faire pour éviter que le feu s'allume.

Bon courage en tout cas à ceux qui malheureusement sont confrontés au piratage. Ce sont quelquefois des moments très douloureux, on se sent totalement démuni, pratiquement "violé" dans notre intimité.
Comme pour les spammeurs et autres comportements, nous trouvons toujours des petits rigolos qui se sentent forts et supérieurs à abaisser ou détruire les autres de façon anonyme, cachés derrière des claviers, au lieu d'aider la communauté à grandir et à chercher le positif dans la vie de tous les jours...

Bon, j'arrête là... je vais m'énerver et mon post devient un roman...

Re : Site Web Piraté [ page blanche]

En effet mais, à moins qu'un truc ne m'échappe, ma précédente explication réponds à cela.

Je disais : tu supprimes tout des dossiers standards de Joomla excepté /images et /media. Et, ces deux dossiers n'ont pas de fichiers php. En outre, même si, tu auras pris le soin d'installer une barrière (un .htaccess) qui interdit l'exécution de code dans ces dossiers.

Quand tu analyseras en particulier ces deux dossiers, tu auras vite fait de mettre en évidence les scripts et de les supprimer. Pour le reste, le .htaccess en interdira l'exécution.

Bonne journée.