Site hacké ?

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Site hacké ?

    Bonsoir à tous et toutes.

    J’ai un petit soucis sur mon site : http://escrime-3-frontieres.fr/

    Vraiment tout en haut à gauche j'ai une petite image bizarre qui s’affiche (uniquement sous Firefox).

    Depuis quelques temps, au lieu d'effectuer une sauvegarde avec Akeeba en 2 minutes maximum, ça rame et je mets 20 minutes pour l'effectuer.

    En inspectant cette image avec Firebug, je trouve des scripts comme ceci :
    Code:
    <script src="//www.tr553.com/InterYield/bindevent.do?e=click&affiliate=softpublisher2&subid=5&ecpm=0&debug=false&snoozeMinutes=3&adCountIntervalHours=24&maxAdCountsPerInterval=4&attributionTitle=Powered+by+My+Savings&endpoint=https%3A%2F%2Fwww.tr553.com"><script src="//a.xfreeservice.com/partner/mil2V0Ws/?cid=18&addCB=1&sid=5&apptitle=My+Savings">
    ou comme ceci :

    Code:
    <script src="//www.tr553.com/InterYield/bindevent.do?e=click&affiliate=softpublisher2&subid=5&ecpm=0&debug=false&snoozeMinutes=3&adCountIntervalHours=24&maxAdCountsPerInterval=4&attributionTitle=Powered+by+My+Savings&endpoint=https%3A%2F%2Fwww.tr553.com">Recharger la page pour obtenir le code source pour: http://www.tr553.com/InterYield/bindevent.do?e=click&affiliate=softpublisher2&subid=5&ecpm=0&debug=false&snoozeMinutes=3&adCountIntervalHours=24&maxAdCountsPerInterval=4&attributionTitle=Powered+by+My+Savings&endpoint=https%3A%2F%2Fwww.tr553.com


</script>


Recharger la page pour obtenir le code source pour: http://a.xfreeservice.com/partner/mil2V0Ws/?cid=18&addCB=1&sid=5&apptitle=My+Savings



</script>


<script src="//cdn.visadd.com/script/14567725624/preload.js">
    J'avais déjà enlevé quelques Iframe indésirables.

    Je me demande si ce n'est pas du code malveillant ou autre chose, le plus bizarre c'est qu'en affichant le code source je ne vois rien et en plus je ne le vois que sous Firefox.

    Je suis en train de tester des sauvegardes pour voir si le problème est le même.

    En fait je ne trouve pas ce code et je ne sais pas comment le supprimer.

    Merci pour votre aide.
    Gros débutant sous Joomla et surtout gros galérien.....mais je bosse.

    Mons site en ligne depuis le 1er septembre 2013 : https://escrime-3-frontieres.fr/
    Tags: Aucun
  • #2
    Re : Site hacké ?

    Si le site n'est pas piraté (rien trouvé par sitecheck.sucuri.net), l'emplacement de l'image s'est rapidement affiché sous FF avant de disparaître. Par contre, il y a des iframes dans ce code-source !
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire

    • #3
      Re : Site hacké ?

      Tu peux avoir plusieurs manières d'injecter du code strictement pour un navigateur; une des façons de le faire est de hacker ton .htaccess et de faire une détection du user_agent.

      D'autres fois, je vois le fichier session.php de Joomla qui est hacké par l'ajout d'une ligne qui fait appel à un code malsain où il y a, là aussi, un contrôle sur le user agent pour cibler tel ou tel navigateur voire, c'est plus souvent le cas, un bot comme Google ou pas.

      Peut-être, aussi, l'un ou l'autre addon Firefox qui serait actif chez toi et qui font de l'injection html.

      Les possibilités sont, en fait, nombreuses.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire

      • #4
        Re : Site hacké ?

        Merci pour vos réponses.

        J'ai déjà passé mon site pour détecter si il y avait un piratage possible et effectivement je n'ai rien trouvé.

        J'ai remonté plusieurs sauvegardes .jpa et, même en local j'ai le même soucis et pourtant, à chaque fois que je testai ces sauvegardes je n'avais rien trouvé.

        En fait, j'ai réinstallé il y a quelques jours Mon Ubutnu 14.04 et bien évidement j'ai réinstallé Firfox avec plusieurs Addons (Ghostery, Firebug, Webdevolper, Adblock plus, ColorZilla, All-in-one sidebar, pdfit, print pages to pdf ) alors peut-être qu'un de ceux là fait de l'injection html comme le dit Cavo789.

        Il faudrait donc que je les désinstalle tous et que je teste, en local avec une sauvegarde Akebba à chaque fois que je réinstalle une extension Firefox.

        Par contre, pour trouver les Iframes.....elles peuvent être n'importe ou uniquement dans les articles ? Et comment chercher, trouver et supprimer toute ces Iframes ?

        le .htaccess est celui de aesecure et à mon avis est sain.

        Est ce qu'il est possible que mes archives (sauvegardes .jpa) soient toutes corrompues ?

        J'ai tenté une installation d'un Joomla neuf et tout s'est bien passé, pas de code ni d'image malveillante apparemment.

        Ce que je ferais demain :

        C'est réparer Firefox et désinstallé toutes mes Addons.
        Ensuite remonter une archive .jpa et tenter une réinstallation (en local, pour tester)
        Réinstaller une par une les Addons pour vérifier laquelle est ''pourrie''
        Dès que je trouve le soucis, effectuer une réinstallation sur mon site distant.

        Par contre pour supprimer les iframes ? Comment faire ?

        Par contre je n'ai pas trouvé de fichier session.php chez Joomla.

        Bon, retour d'essai demain, en espérant que tout soit Ok.
        Gros débutant sous Joomla et surtout gros galérien.....mais je bosse.

        Mons site en ligne depuis le 1er septembre 2013 : https://escrime-3-frontieres.fr/

        Commentaire

        • #5
          Re : Site hacké ?

          Envoyé par Kawawachikamach Voir le message
          Est ce qu'il est possible que mes archives (sauvegardes .jpa) soient toutes corrompues ?


          Réponse théorique : oui. Un virus (si c'est un virus, on n'affirme rien) peut être en mode dormant durant quelques semaines / mois avant d'être activés, justement pour que tes archives soient alors corrompues.

          Envoyé par Kawawachikamach Voir le message
          Par contre je n'ai pas trouvé de fichier session.php chez Joomla.
          Je donnais un exemple.

          Récemment, l'un des derniers sites que j'ai nettoyé, avait le fichier natif \libraries\joomla\session\session.php qui avait été hacké. Un ligne de code avait été ajouté au début du fichier :

          Code:
          require    (    dirname   (     __FILE__  )    .   '/cache.php');
          et cache.php avait été déposé par le hacker et contenait un joli virus. Exécuté à chaque appel d'une page.
          Une bestiole encodée en base64.

          C'était juste un exemple, vécu, pour te démontrer que l'on peut mettre du code un peu partout (index.php, .htaccess, session.php, ...) pour qu'il soit exécuté à chaque affichage ;-)

          Bonne soirée.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire

          • #6
            Re : Site hacké ?

            Bonjour.

            J'ai testé une bonne vingtaine de sauvegarde et j'ai du remonter à une sauvegarde du mois de mars pour en trouver une qui soit saine.

            Ça veut dire que je vais perdre pas mal d'articles, il va me falloir les recommencer un par un.

            Je pense remonter tout d'abord ma sauvegarde saine, refaire tout mes articles et tout cela en local et dès que tout sera prêt, remplacer mon site distant.

            C'est dommage que je ne puisse pas supprimer le truc malsain sur mon site actuel, cela m’aurait éviter du boulot inutile.
            Gros débutant sous Joomla et surtout gros galérien.....mais je bosse.

            Mons site en ligne depuis le 1er septembre 2013 : https://escrime-3-frontieres.fr/

            Commentaire

            • #7
              Re : Site hacké ?

              Je viens de développer un scanner gratuit... Contacte moi et je te l'envoie (suis en déplacement pour l'instant)
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire

              • #8
                Re : Site hacké ?

                Bonjour

                Désolé pour hier, je ne pouvais pas t'envoyer le fichier, je n'étais pas chez moi car j'organisais un "JoomlaDay" en Belgique francophone; quatre conférences et une journée Grands Débutants

                Voici, je viens de rédiger un article de présentation de mon nouvel outil "aeSecure Quick Scan", gratuit. Tu trouveras le script, une démo et une explication ici : http://www.aesecure.com/fr/blog/aese...uick-scan.html

                Bonne fin de journée.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire

                Précédent template Suivant

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire
                Hébergeur Web PlanetHoster
                Travaille ...
                X