Re : http:/monsite.org/cbK6j/cod.php

En principe rien qu'avec ce que tu as fait, cela devrait aller ?

Au cas où tu serais à nouveau hacké, note l'heure de création du fichier avant de tout écraser. Afin de chercher dans les logs une backdoor causée par une extension de Joomla...

Re : http:/monsite.org/cbK6j/cod.php

Bonsoir

Merci pour votre réponse.

Le site marche bien (et même après l'attaque et le nettoyage fait par l'hébergeur, il semblait bien marcher muis j'ai préféré tout remettre à zéro)

C'est un site très simple avec très peu d'extensions : admin Tools, Akeeba backup, JCE, , liens web ... la probabilité que cela vienne d'une extension me parait faible.

L'explication qui me semble la plus probable est celle émise par l'hébergeur : je n'avais pas appliqué la mise à jour des dernières versions de Joomla, j'étais resté en 3.4.2 et j'ai du prendre une attaque due à la faille détectée avec la 3.4.5

mais je n'ai aucun élément tangible pour étayer cette hypothèse

j'ai bien quelques ukrainiens qui sont allés sur mon site les 12, 15 et 18 janvier (attaques le 18 janvier, adresses commençant par 194.28 ) mais est-ce suffisant pour en conclure quelque chose ?
.

Re : http:/monsite.org/cbK6j/cod.php

Bonjour

Si tu as un Joomla 3.4.x, je présume que tu n'étais déjà plus en PHP 5.3.

Vérifie ta version de PHP, si c'est une version supérieure ou égale à
* 5.4.45
* 5.5.29
* 5.6.13
alors non, l'attaque ne vient pas de là car il s'agissait alors d'exploiter un user_agent qui contenait du code php et qui était interprété par PHP 5.3 ou une des versions inférieures à celles que j'ai mentionné ci-dessus.

Donc, désolé, mais l'attaque ne venait pas de là.

Comment savoir d'où elle vient ? Galère ! Tu devrais aller analyser ton fichier de log (accès Apache) pour la période entre la création du site et l'exploitation du hack et vérifier si tu n'as pas des comportements suspects et ça, c'est loin d'être simple à faire et requiert un logiciel dédié pour faire cela plus ou moins rapidement.

Tente de retrouver la première occurence de "cbK6j/cod.php" et de là, remontes dans l'historique puisque tu auras trouvé la première exploitation de ce fichier; reste à découvrir qui et comment il a été mis.

Je dis souvent que ce temps-là, celui passé à analyser les logs est du temps ... perdu. Sauf si tu veux vraiment savoir par où, sauf si tu sais où et comment chercher, tu risques d'y passer des heures entières pour un maigre résultat.

Pose-toi les questions théoriques : comment sont-ils passés ?

* As-tu des extensions pirates sur ton site; un template téléchargé depuis le net; ...,
* As-tu des extensions qui n'étaient pas à jour ,
* As-tu des pratiques simplistes (un login/mot de passe hyper simple, des extensions type gestionnaires de fichiers, des super-admin en-veux-tu-en-voilà, ...),
* As-tu quantité de sites sur ton hébergement ,
* As-tu des extensions qui ne seraient pas fiables, d'un développeur non connu (un voisin qui t'a fait un truc pour t'aider) et surtout non compétent en PHP,
* ...

L'idée de ces questions est d'essayer, rapidement, d'isoler un problème.

Ensuite, protège ton site. Tu parles d'AdminTools : l'avais-tu activé avant l'attaque ? Comment se peut-il que l'attaque ait pû réussir si AT était activé ?


Pour ton nettoyage : as-tu vérifié la qualité de ton site "récupéré" ? Etait-il propre au moment où tu l'as sauvegardé ? Jette un coup d'oeil aux fichiers de ton site pour voir si tu n'aurais pas, déjà à l'époque, quelques traces de bestioles. Regarde le contenu de ton fichier cbK6j/cod.php et lance une recherche sur ton site pour certains patterns que tu aurais trouvé dans ce fichier-là, par exemple. Sous Windows, Notepad++ (gratuit) permet de faire ce type de recherche manuelle, en cherchant un pattern dans tous les fichiers d'un dossier (sous-dossiers y compris)

Bonne nuit.

Re : http:/monsite.org/cbK6j/cod.php

Merci cavo789

J'essaie d'avoir un comportement prudent sur le site web mais parfois quelque chose m'échappe

- hébergement chez Ouvaton (où j'ai plusieurs sites qui marche bien) ; version de php 5.6.16 :

* As-tu des extensions pirates sur ton site; un template téléchargé depuis le net; ...,
Non (pas à ma connaissance mais un pirate est passé par là)
* As-tu des extensions qui n'étaient pas à jour ,
Pas à ma connaissance (sauf peut être JCE)
* As-tu des pratiques simplistes (un login/mot de passe hyper simple, des extensions type gestionnaires de fichiers, des super-admin en-veux-tu-en-voilà, ...),
Un nom d'admin spécifique et un mot de passe à dormir debout (généré à partir de keepass, 16 caractères alphabétiques et numériques ...)
* As-tu quantité de sites sur ton hébergement ,
- je suis sur une plateforme mutualisée
* As-tu des extensions qui ne seraient pas fiables, d'un développeur non connu (un voisin qui t'a fait un truc pour t'aider) et surtout non compétent en PHP,
Rien de tout cela

C'est un vieux site et j'ai conservé le vieux template Joomla beez2

Avec Admin Tool, j'avais protégé l'accès à l'interface d'administration (certes avec un login et un mot de passe un peu faibles ...)

L'hébergeur a supprimé des fichiers sur le site attaqué et je n'ai pas retrouvé les logs ; les seules traces trouvées sont dans le fichier error.php dans l'arborescence Joomla les traces "habituelles" de tentative d'intrusion

Certes une attaque sur un site créé en janvier 2007, c'est pas beaucoup
Mais j'aurais voulu en savoir plus ...

Merci

Re : http:/monsite.org/cbK6j/cod.php

Bonjour

Donc tu n'as pas été attaqué suite au trou de sécurité de la version 3.4.5 et de son user-agent non nettoyé. Ta version de PHP était patchée et ne permettait pas l'exploit de la faille.

Lol, tu as raison. Tu avais des extensions saines mais hacké. C'est presque la même chose mais la chronologie est importante :-)

je ne connais plus AT : le fait de l'installer active d'office la protection de ton site ? Le fichier .htaccess d'AT était-il bien activé à la racine du site ?


Sympa l'hébergeur pour le nettoyage *mais* sache qu'un log des accès Apache n'est en principe jamais supprimé. Ton hébergeur devrait pouvoir te le mettre à disposition.
[/QUOTE]

Oui, joli comme score ! Donne-nous un peu l'URL de ton site pour voir si on peut multiplier ton score par deux :-D :-D :-D

Bonne journée Didier.

Re : http:/monsite.org/cbK6j/cod.php

bonsoir

J'ai eu accès aux logs de mon site et j'ai trouvé quelques indices sur l'attaque :
- beaucoup de tentatives d'accès à l'administration du site,
- apparition de l'url bizarre 2 jours avant
- des transferts de fichiers le jour de l'attaque (le nom des fichiers laisseraient croire que ce site a été transformé en boutique de luxe)
- une url venant du Japon que l'on trouve assez souvent ...

Une question : comment le hacker a-t-il eu accès au transfert de fichier ? A partir de l'administration Joomla ?

Merci pour vos réponses

Re : http:/monsite.org/cbK6j/cod.php

Bonsoir,
en installant des backdoors ... il peux faire a peu près ce qu'il veut ... d'ou le nettoyage minutieux et la mise en surveillance du site quand tu le remets online

Ne néglige pas non plus le PC sur lequel tu travailles ... il y a des virus qui detectent les connexions FTP et capturent les codes d'accès ... avec ça en poche, c'est la voie royale pour entrer !

Re : http:/monsite.org/cbK6j/cod.php

Comme complément de ce qu'écrit Manu : si tu utilises FileZilla et que tu stockes les données de connexion, ben, c'est simple, tout est stocké de manière non cryptée : va voir les fichiers XML se trouvant dans le dossier %APPDATA%/FileZilla (sous Windows) et tu comprendras.

Il suffit de piquer ces fichiers et hop, on a tes accès.

Re : http:/monsite.org/cbK6j/cod.php

J'utilise Fillezilla, je connais la menace ...

Comment bien se protéger ?

Re : http:/monsite.org/cbK6j/cod.php

ne pas enregistrer tes mots de passe

Re : http:/monsite.org/cbK6j/cod.php

+1 avec Manu sinon WinSCP fait très bien le boulot; un peu mieux sécurisé que FZ

Re : http:/monsite.org/cbK6j/cod.php

pas cool

Une dernière question : connaissez vous un petit outil sympa pour analyser les logs http ? on hébergeur me fournit certes des stats (awstats) mais, pour chercher les traces des attaques, je fais cela à la main et c'est pas terrible