Re : Site hacké avec code malicieux injecté

As-tu appliqué le patch qui consiste à uploader 2 fichiers ?

Re : Site hacké avec code malicieux injecté

Met aesecure

Re : Site hacké avec code malicieux injecté

voici la lien

Re : Site hacké avec code malicieux injecté

Merci pour la réponse rapide.
Non, l'installation est quasiment vierge d’extensions.

Re : Site hacké avec code malicieux injecté

Le site est bloqué, impossible d'installer quoique ce soit...

- - - Mise à jour - - -

Re : Site hacké avec code malicieux injecté

tu dois toujours avoir un accès ftp

Re : Site hacké avec code malicieux injecté

Voici l'email d'OVH :

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

****************.com

Problème rencontré : Executing deleted program Commande apparente : ././crond Exécutable utilisé : /****/****/www/log/.nfs00000000003967fc00000854
Horodatage: 2015-04-20 12:25:10

Ceci n'est pas autorisé sur nos installations, car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui peuvent poser problème. Pensez également à mettre à jour les logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guides.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez rouvrir votre site en remettant les bons droits sur le répertoire racine (chmod 705 .).

NOUVEAU : Vous pouvez à présent activer le firewall applicatif "mod_security" dans votre manager pour mieux protéger votre site contre les piratages. Pour plus d'informations, consultez ce lien :


Contactez notre support si vous ne parvenez pas à rouvrir l'accès web par vous-même. Notez que les équipes du support ne peuvent pas rechercher l'origine du problème pour vous, mis à part dans le cadre d'une opération payante d'infogérance.


Cordialement,

- - - Mise à jour - - -

Oui je l'ai toujours.

Re : Site hacké avec code malicieux injecté

donc regarde tes logs pour localiser le fichier du hacker, supprime le, uploade les 2 fichiers patch et suis la procédure (chmod 705 à la racine)

j'ai répertorié quelques trucs à faire

Re : Site hacké avec code malicieux injecté

Les fichiers patch sont destinés à un Joomla 1.5 alors que le mien tourne sur du 3.4...

Re : Site hacké avec code malicieux injecté

J'ai cru que tu avais toujours une version 1.5 tournant, ceci dit, la démarche est la même : trouver la faille en consultant les logs et l'éradiquer. fermez les composants susceptibles de permettre un upload, une inscription...etc
Tu es en guerre, il faut te protéger donc commence par limiter les fonctionnalités à leur plus simple expression

Re : Site hacké avec code malicieux injecté

Yes, je suis sous un joomla 3.4
J'ai :

• Akeeba backup installé
• Le template Full Template 3 installé
• JCE Editor

Il n'y a aucune interaction avec les utilisateurs. Y'en a pas pour ainsi dire, si ce n'est l'administrateur.

Comment consulter les logs?

Re : Site hacké avec code malicieux injecté

Est-ce qu'il y'a un plugin qui se nomme Anticopy en natif sur le dernier Joomla ?

"/www/plugins/system/anticopy"

EDIT : apparement le plugin s'est installé je ne sais comment. Et je commence à penser que la faille vient de là...
Je vais le virer et voir comment ça se présente.

J'avais aussi à la racine du premier site hacké (Joomla 3.3.x) un dossier suspect nommé MK que j'ai supprimé la première fois. Il n'y est plus là.

Mais ils ont quand même réussi à hacker le site...sapristi !

Re : Site hacké avec code malicieux injecté

Ce 'MK' semble bouffer énormément de ressources...

Re : Site hacké avec code malicieux injecté

Bonjour

Le document référencé par Webcrea te donne beaucoup d'excellentes astuces. Reste, comme mentionné, l'extrême difficulté de scanner ton site; tes fichiers php, à la recherche de code php malveillant.

Ton antivirus local (windows) peut mettre en évidence un certain nombre de fichiers vérolés mais pas tous.

Si tu as un backup sain, je te conseille de le récupérer.

Si pas, une façon, lourde, de nettoyer ton site par toi-même serait

1. copie ton site en local
2. note les extensions (composants, modules, plugins, templates) que tu utilises encore
3. supprime les dossiers : tous exceptés /images et /media.
4. réinstalle un Joomla tout beau tout propre
5. réinstalle tes extensions depuis le site des éditeurs.
6. remets en place /images et /media ==> ce sont les deux seuls dossiers que tu devras analyser à la loupe à la recherche de code malveillants. A priori, zéro code php ne devra se trouver dans ces dossiers.

Bonne journée et bon courage.