Fichiers injectés sur mon FTP (ob_cache.php)

**cavo789** · 19/06/2015, 15h07

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Bonjour

Tu parles d'antivirus; si ce sont des anti-virus pour Windows que tu as utilisé, oui, certains détectent quelques virus mais tellement peu. Récemment, j'ai nettoyé un site où j'ai détecté 159 virus et Avast n'en avait trouvé qu'un seul et pour cause, un virus PHP, c'est quoi ? Juste du code PHP qui a été écrit pour faire un truc pas attendu; comme l'upload d'un fichier. Un script d'upload, pour un antivirus, ce n'est pas un virus. Pour nous, oui.

Pour t'aider à trouver d'autres virus sur ton site, j'ai développé un logiciel aeSecure Quick Scan qui est gratuit et téléchargeable ici : http://www.aesecure.com/fr/blog/aese...uick-scan.html. Ce logiciel va scanner un certain nombre de signatures et t'aider à trouver des virus sur ton site.

Envoyé par makina-galaxy Voir le message

- Nettoyer le site (sans tout refaire sur la base d'un Joomla propre...)

Ce n'est possible qu'en utilisant un logiciel de nettoyage avancé; il y a plusieurs services de ce type sur internet mais ils sont tous payant.

Envoyé par makina-galaxy Voir le message

- Trouver par où ces hackers sont passés

C'est tellement compliqué à savoir. Soit ils sont passés par ton site et là, les logs d'accès Apache peuvent t'aider mais était-ce la semaine passé, le mois dernier, il y a trois mois ? Soit ils sont passés par FTP et/ou un autre site qui est sur le même serveur que toi.

Ce n'es pas comme chercher une aiguille mais presque, c'est compliqué, très compliqué à déterminer.

Envoyé par makina-galaxy Voir le message

Le site concerné est en Joomla 3.2.3.

Une raison particulière de n'avoir pas mis à jour ?

Envoyé par makina-galaxy Voir le message

En fait, j'ai un espace web dans lequel j'ai créé un répertoire par site.

Comprends bien les soucis de ce type d'approche : si tu as un seul site faible, un seul plugin faillible, tous tes sites sont mis à mal.

Bonne journée.

**makina-galaxy** · 19/06/2015, 15h32

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Merci pour tes réponses.

Concernant les antivirus, effectivement un antivirus web ne pourra jamais détecter tous les fichiers malicieux car certains les usages mal intentionnés utilisent des techniques qui peuvent être employées de façon toute à fait normale. D'ailleurs, c'est pour cela qu'il n'a détecté que deux fichiers. Je parlais de l'antivirus du serveur 1&1.

Je vais tester ton outil, merci. As-tu des nettoyeurs, même payants à me conseiller ? Si cela peut me faire gagner du temps et si je peux être sûr que la menace est éradiquée...

J'ai déjà une piste : un fichier a été modifié pour la dernière fois bien avant les autres. Il se trouve sur le site en 3.2.3 donc celui qui comportent toutes les modifications (dans joomla update). C'est peut-être par là qu'ils sont passés. Effectivement, prendre un contrat et tout mettre dessus n'est pas une bonne chose et je viens de m'en rendre compte. En faisant ça, si un site a une faille, il peuvent hacker tous les autres car ils auront les droits sur tous les fichiers. Je peux être content que se sont des gens (si on peut appeler "ça" des gens...) qui n'avaient pas l'intention de défacer le site. Je vais prendre des mesures pour que chaque site ait son propre utilisateur.

Est-ce que quelqu'un en sait plus ?

**cavo789** · 19/06/2015, 15h48

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Defacer un site, cela ne sert à rien. Mettre du code PHP pour faire de phishing, envoyer des spams, faire du black hat seo, etc. est bien plus intéressant ==> l'intérêt est de rester invisible le plus longtemps possible.

Pour tes différents sites : mets un fichier php.ini à la racine de chacun avec une restriction open_basedir pour interdire aux fichiers php d'un site de remonter et d'aller se promener dans les autres (mon outil aeSecure; option 1.2 fait cela, gratuitement).

Pour les nettoyeurs; il en existe plein. Recherche sur le net, tu les trouveras sinon, si tu es à la recherche d'une personne pour le faire, n'hésite pas à utiliser la section "Demande de sercices" du forum afin que plusieurs pros puissent te répondre.

Pour "être sûr de..." comme je le disais, c'est difficile de le savoir. Il est respecter quantité de consignes comme être à jour, ne pas installer des logiciels pirates, ne pas installer 150 extensions mais seulement celles dont tu as besoin, etc. Tu trouveras une présentation "La sécurité et Joomla!" sur mon site; présentation donnée lors des JDays d'Alger, Paris et Nice.

Ensuite, quand ton/tes sites sont propres, si tu n'as pas encore de protection spécifique, il est alors temps d'installer un parefeu. Ici aussi, tu en trouveras plein dont AdminTools, aeSecure ou encore RS Firewall. Il y en a plusieurs sur le marché.

Bonne journée.

**makina-galaxy** · 19/06/2015, 16h35

Re : Fichiers injectés sur mon FTP (ob_cache.php)

En fait ça dépend de l'intention, on a bien vu beaucoup de sites défacés suite aux événements de ce début d'année en France...

OK je vais tester open_basedir dans l'immédiat mais dans l'absolu, il vaut mieux isoler chaque site.

Tu veux donc dire que la seule façon d'être sûr d'avoir éradiqué la menace est de tout refaire ?

Niveau firewall tu parles de services comme cloudflare ?

**cavo789** · 19/06/2015, 16h48

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Envoyé par makina-galaxy Voir le message

En fait ça dépend de l'intention, on a bien vu beaucoup de sites défacés suite aux événements de ce début d'année en France...

Oui mais là, c'était un but politique. Tu as raison de le souligner.
Toutes les interventions que j'ai faites cette année : zéro défaçage.

Envoyé par makina-galaxy Voir le message

OK je vais tester open_basedir dans l'immédiat mais dans l'absolu, il vaut mieux isoler chaque site.

Oui mais cela veut dire autant d'abonnement auprès d'un hébergeur si tu es en mutualisé.

Envoyé par makina-galaxy Voir le message

Tu veux donc dire que la seule façon d'être sûr d'avoir éradiqué la menace est de tout refaire ?

Je n'ai pas dis ça. Je parlais de la recherche du comment ils sont passés. Ensuite, si ton site est protégé, tu vas bloquer un max. de ces possibilités d'intrusion.

Envoyé par makina-galaxy Voir le message

Niveau firewall tu parles de services comme cloudflare ?

Je t'en ai cité trois ;-) Cloudflare est surtout connu pour sa fonction CDN et gestion des attaques DDOS; davantage réseau. Tu as aussi Sucuri qui est une solution de parefeu. Ce n'est pas le choix qui manque.

**makina-galaxy** · 22/06/2015, 08h39

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Envoyé par cavo789 Voir le message

Oui mais cela veut dire autant d'abonnement auprès d'un hébergeur si tu es en mutualisé.

Ça fait déjà un moment que je songe à un serveur dédié (soit physique soit virtuel). En principe, chaque site à son utilisateur donc si un site est hacké, il ne peut pas contaminer les autres, il doit hacker chacun des sites (donc prend plus de temps) et surtout ils doivent les trouver.

Envoyé par cavo789 Voir le message

Je n'ai pas dis ça. Je parlais de la recherche du comment ils sont passés. Ensuite, si ton site est protégé, tu vas bloquer un max. de ces possibilités d'intrusion.

J'ai regardé les fichiers modifiés : ils ont mis des fichiers dans le composant d'update de joomla dans un seul site. Je pense donc qu'ils sont passés par celui-là.

Je viens de trouver pourquoi le site plantait quand j'enlevais l'include du fichier malicieux en début du template : il y avait un appel à cette fonction en bas de page :

ob_end_flush();

En principe, il suffirait de virer le fichier ob_cache.php, enlever le code rajouté dans l'index.php de chaque template, virer les fichiers injectés dans le dossier /administrator/components/com_joomlaupdate pour nettoyer tous les sites.

Pour prévenir au mieux de nouvelles attaques, il faudrait :

- que je mette à jour systématiquement tous mes sites
- que j'isole chaque site (sur un serveur dédié/virtuel par exemple)

Merci

**jsb2000** · 30/07/2015, 08h23

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Merci à vous et en particulier à makina-galaxy pour le tuto pour se débarrasser de ce fichier malveillant. Je ne sais pas trop à quoi il sert encore. Dans le code j'ai une url :

'http://net9.pl/language/en-GB/script.php?p=b65514d8fa7bd6b2c86c2163b7adb4be&url= ' . $_SERVER['HTTP_HOST'

S'en servent-ils pour faire du SEO ? Ou autre chose ? J'ai demandé aux techs de OVH leur avis sur la question. Mais tous mes Joomla sont concernés. Makina-galaxy t'es-tu débarrassé complètement du problème ? Un firewall est-il pertinent ?

Bonne journée à tous.
js

**cavo789** · 30/07/2015, 10h22

Re : Fichiers injectés sur mon FTP (ob_cache.php)

Bbonjour jsb2000

Si tu as un fichier script.php dans ton dossier /language/en-GB, clairement, tu as été hacké. Cela ne fait aucun doute.

Un firewall permettrait de contrer ce type de hack en protégeant ton site (avant l'attaque si cette dernière passe par une URL dangeureuse) ou d'interdire l'exécution d'un script php dès lors qu'il est dans, p.ex., un dossier tel que /language puisque des scripts exécutable n'ont rien à faire là-bas.

Dans ton cas, il y a donc lieu :
1. de nettoyer ton site et de déloger les bestioles (toutes les bestioles)
2. de protéger ton site

Tu trouveras quelques liens dans ma signature pour t'aider à ces deux actions.

Bonne journée;

Fichiers injectés sur mon FTP (ob_cache.php)

Fichiers injectés sur mon FTP (ob_cache.php)

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association