Création d'articles indésirables

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Création d'articles indésirables

    Bonjour à tous,

    Pour faire court, lorsque je me suis connecté sur l'interface back end de mon site internet aujourd'hui, je me suis rendu compte qu'une centaine d'articles avaient été créés... Des articles de spams. Donc, pour faire encore plus court, mon site a été attaqué.

    Maintenant la version détaillée. Bien évidemment, la date de publication annoncée des articles était bidon (certains ayant été soi-disant créés avant la création du site). Cependant, en accédant à la base de donnée du site, j'ai une date plus cohérente, puisque les articles ont été "modifiés" entre le 28 Janvier et hier. Plus intéressant, ces articles ont tous été créés par un utilisateur qui n'existe pas.

    Je m'explique : le site interdit la création de nouveaux utilisateurs et il y en a 4 d'enregistrés, dont 1 seul est administrateur. Or là les articles ont tous été créés par l'utilisateur ayant l'identifiant 0 et dont l'alias est "Super User". Et cet utilisateur n'existe tout simplement pas... Bref, j'ai l'impression que je me suis pris une injection SQL...

    Au niveau actions entreprises, hormis supprimer les entrées de la BDD et regarder les logs, je ne sais pas trop quoi faire... D'autant plus que sur les logs, aux moments de "modification" des articles, il n'y a rien de particulier... Même si à d'autres moments on trouve l'instruction JDatabaseDriverMysqli... Je me dis que ça peut être lié mais je voudrais savoir comment corriger la faille (parce que là à part bloquer les IP d'attaque avec le .htaccess, c'est tout ce que je vois). Surtout que je tourne avec la dernière version de Joomla (3.4.8).

    EDIT : toutes les requêtes avec l'user-agent contenant JDatabaseDriverMysqli ont renvoyé 404 donc ça ne doit pas être ça...

    Le site est hébergé sur un serveur mutualisé 1&1, je tourne sur php 5.6 (normalement 1&1 met à jour à la dernière version).


    Bref, tout ce pavé pour vous dire que j'ai vraiment besoin d'un coup de main pour comprendre ce qu'il s'est passé et éviter que ça se reproduise... Donc toute aide est vraiment bienvenue, n'hésitez pas à poser des questions pour avoir plus de détails.

    Merci d'avance
    Dernière édition par padawan19 à 10/02/2016, 15h32

  • #2
    Re : Création d'articles indésirables

    Vraiment personne pour me donner une simple piste ? C'est un truc 100 % normal que des articles apparaissent comme ça sur Joomla ?

    Commentaire


    • #3
      Re : Création d'articles indésirables

      Bonjour

      Je ne suis pas intervenu car hormis te dire que ton site est probablement hacké je n'ai pas d'informations à te donner.

      Normal ? Non bien sûr que non.

      Selon toutes vraisemblances tu as des scripts php parasitaires sur ton site qui créeraient ces articles.

      Pour s'en assurer change ton mot de passe pour ta base de données. Si les articles continuent c'est donc un script hébergé sur ton site. Si cela s'arrête on pourrait imaginer que quelqu'un avait tes accès et, à distance, ajoutaient les articles.

      Bonne soirée
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Création d'articles indésirables

        Bonjour Christophe, merci pour ta réponse (j'ai manqué de réactivité...),

        En fait, mon site a bien été hacké en Décembre : l'hébergeur avait bloqué certains fichiers considérés (à juste titre) nuisibles... L'ironie du truc c'est que c'est à ce moment-là que j'ai pris le contrôle du site car je suis le seul a avoir quelques compétences dans ce domaine. Ce qui veut dire qu'il n'y a aucune sauvegarde stable du site... Et il était loin d'être à jour...

        Bref, l'hébergeur m'a donné une liste des fichiers qu'il avait bloqué donc je les ai regardé un par un et je les ai supprimé ou j'ai effacé la partie vérolée des fichiers légitimes (avant les commentaires de présentation du fichier).

        J'ai mis à jour joomla et les modules, changé tous les mots de passe. Visiblement sans succès. Maintenant j'ai pris le temps de faire une analyse avec l'outil que tu as développé (super utile, merci), et j'ai comparé les fichiers trouvés avec les fichiers officiels de joomla ou des modules : les fichiers détectés sont tous légitimes. Le problème c'est que certains modules sont payants (donc je n'ai pas de version fiable des fichiers, vu que je n'ai pas de sauvegarde du site avant l'attaque), et même si je pense que les fichiers sont légitimes, vu ce qu'il s'est passé il doit bien y avoir une backdoor quelque part...

        N'y aurait-il pas moyen que je te fasse parvenir les fichiers que je n'ai pas pu tester pour que tu me dises ce que tu en penses ?
        Je pensais aussi te montrer les fichiers injectés au cours de l'attaque de décembre ?

        J'aimerais vraiment pouvoir m'assurer que le site est nettoyé avant de mettre en place une sécurité plus poussée avec htaccess.

        En tout cas, j'ai vraiment besoin d'un bon coup de main pour m'assurer que le site est de nouveau fiable...

        Ah, et pour info même sans changer le mot de passe de ma bdd je n'ai pas eu de nouvelle création d'articles, c'est plus quelque chose qui se produit ponctuellement (c'est pour ça que je pense plus à une backdoor d'injection sql qu'à un script qui publie seul).

        Commentaire


        • #5
          Re : Création d'articles indésirables

          Bonjour

          Envoyé par padawan19 Voir le message
          N'y aurait-il pas moyen que je te fasse parvenir les fichiers que je n'ai pas pu tester pour que tu me dises ce que tu en penses ? Je pensais aussi te montrer les fichiers injectés au cours de l'attaque de décembre ?
          Oui mais...

          Je peux évidemment le faire mais tu le comprendras, je l'espère, je fais ce type de prestation contre rémunération. Je peux nettoyer un site web qui a été vérolé (même en l'absence de backup) mais c'est donc sous la forme d'une prestation. Tu trouveras toutes les infos sur mon site.

          Je te souhaite de trouver quelqu'un qui puisse t'aider de manière bénévole si c'était ton souhait.

          Bonne journée jeuen padawan ;-)
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Création d'articles indésirables

            Bonjour, si ton site est a peu près stable ... je te conseille vivement d'installer une protection serveur style Aesecure (même free)
            Fais aussi une sauvegarde du site complet dans l'état actuel ... installe le en local pour le nettoyer completement

            même sans changer le mot de passe de ma bdd je n'ai pas eu de nouvelle création d'articles
            La première chose a faire en cas d'attaque est de changer TOUS les mots de passe ... les virus sachant rester discrets pour se faire "oublier" ... jusqu'a la prochaine attaque
            Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
            Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

            Commentaire


            • #7
              Re : Création d'articles indésirables

              Envoyé par cavo789 Voir le message
              Bonjour



              Oui mais...

              Je peux évidemment le faire mais tu le comprendras, je l'espère, je fais ce type de prestation contre rémunération. Je peux nettoyer un site web qui a été vérolé (même en l'absence de backup) mais c'est donc sous la forme d'une prestation. Tu trouveras toutes les infos sur mon site.

              Je te souhaite de trouver quelqu'un qui puisse t'aider de manière bénévole si c'était ton souhait.

              Bonne journée jeuen padawan ;-)
              Oui j'ai vu que tu proposais des prestations (et c'est bien normal). En vrai ça m'arrangerait de pouvoir laisser un expert s'en occuper (car je n'ai pas vraiment les compétences et pas forcément le temps) mais je ne suis pas le décideur et puisque le site reste fonctionnel et qu'on devrait être amener à le changer prochainement...

              Je vais donc me contenter de lire le code des fichiers détectés par aesecure et mon hébergeur, je suis capable de comprendre ce qu'ils font normalement. Puis quand j'aurais validé les fichiers je mettrai en place des règles de sécurité. Et ça va me permettre de progresser sur la sécurité, ce qui ne sera pas du luxe quand je vois que notre site actuel, fait par un "professionnel", est moins sécurisé que si je l'avais fait moi-même

              Merci beaucoup pour ton aide en tout cas. Je pense m'inspirer de tes articles sur le magazine pour contrôler les accès :
              Trop souvent, nous sommes attaqués par des scripts malveillants qui tentent de pénétrer notre site Joomla! afin d'injecter du spam dans les commentaires du site, les forums, pages d'or, ... et, bien sûr, pour générer des utilisateurs fantômes qui, s'ils sont automatiquement approuvés, disposeront alors d'un niveau utilisateur enregistré qui leur pe...

              Et si on se penchait sur la sécurité de votre site Joomla! ? Vous l’aimez bien votre site, vous le trouvez beau ; vous y avez consacré tellement d'énergie. Vous êtes fier du résultat et nul doute que vous pouvez l'être. Votre site est beau et utile. Vous l’avez mis sur le net pour en faire profiter le plus grand nombre. Permettez-moi de faire une ...


              Il y a aussi celui-là qui semble reprendre des éléments donc je recouperai les informations :



              Envoyé par manu93fr Voir le message
              Bonjour, si ton site est a peu près stable ... je te conseille vivement d'installer une protection serveur style Aesecure (même free)
              Fais aussi une sauvegarde du site complet dans l'état actuel ... installe le en local pour le nettoyer completement
              En effet, mon site est à peu près stable (j'étais même à peu près convaincu de l'avoir réparé jusqu'à ce que j'ai ces articles dans ma base de données)... J'ai fait une copie locale du site ça y est, mais j'avoue que j'ai du mal à me dire qu'elle est saine

              Mais c'est vrai qu'une protection serveur type aesecure ne peut pas faire de mal.


              Envoyé par manu93fr Voir le message
              La première chose a faire en cas d'attaque est de changer TOUS les mots de passe ... les virus sachant rester discrets pour se faire "oublier" ... jusqu'a la prochaine attaque
              En vrai j'ai changé tous les mots de passe en Décembre, je l'ai juste pas refait après la création des articles car visiblement ça n'a pas changé la donne...


              J'aurais juste 2 dernières questions : dans mon cas, il s'agit soit d'un virus qui va écrire dans la base de données (j'imagine qu'il doit télécharger les données qu'il écrit quelque part, car je n'ai aucun fichier qui contient les articles qui ont été ajoutés) soit une porte qui permet une injection sql. Des idées pour savoir quelle hypothèse est la bonne ?

              En parcourant les logs, je me rends compte qu'un robot cherche à spammer une page de mon forum. Cette page n'existant plus (et de toute façon un utilisateur non-identifié ne peut pas poster), il reçoit un 404, mais je me demandais si je ne peux pas faire quelque chose pour empêcher que ces tentatives ne soient prises en compte par apache. Mais si je ne m'abuse, même si, avec un htaccess je bloque l'user agent qui me spamme, ça va juste rencoyer un 403 au lieu d'un 404 non ?


              En tout cas merci pour vos avis, c'était surtout pour pouvoir en parler avec des personnes qui s'y connaissent que je me suis décidé à parler de mes problèmes.

              Bonne journée

              Commentaire


              • #8
                Re : Création d'articles indésirables

                Correct pour le log : en protégeant et en envoyant un code 403, tu auras toujours cette requête dans le log. En fait, il n'y a rien à faire de ce côté-là : tant que le robot ne se fatigue pas, tu auras des lignes dans le log; la rançon du succès ;-)
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Création d'articles indésirables

                  Merci pour le retour et pour les conseils maître jedi.

                  Je vais me débrouiller pour sécuriser un peu mon site maintenant.

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X