Tweet
Bonjour à tous,
Pour faire court, lorsque je me suis connecté sur l'interface back end de mon site internet aujourd'hui, je me suis rendu compte qu'une centaine d'articles avaient été créés... Des articles de spams. Donc, pour faire encore plus court, mon site a été attaqué.
Maintenant la version détaillée. Bien évidemment, la date de publication annoncée des articles était bidon (certains ayant été soi-disant créés avant la création du site). Cependant, en accédant à la base de donnée du site, j'ai une date plus cohérente, puisque les articles ont été "modifiés" entre le 28 Janvier et hier. Plus intéressant, ces articles ont tous été créés par un utilisateur qui n'existe pas.
Je m'explique : le site interdit la création de nouveaux utilisateurs et il y en a 4 d'enregistrés, dont 1 seul est administrateur. Or là les articles ont tous été créés par l'utilisateur ayant l'identifiant 0 et dont l'alias est "Super User". Et cet utilisateur n'existe tout simplement pas... Bref, j'ai l'impression que je me suis pris une injection SQL...
Au niveau actions entreprises, hormis supprimer les entrées de la BDD et regarder les logs, je ne sais pas trop quoi faire... D'autant plus que sur les logs, aux moments de "modification" des articles, il n'y a rien de particulier... Même si à d'autres moments on trouve l'instruction JDatabaseDriverMysqli... Je me dis que ça peut être lié mais je voudrais savoir comment corriger la faille (parce que là à part bloquer les IP d'attaque avec le .htaccess, c'est tout ce que je vois). Surtout que je tourne avec la dernière version de Joomla (3.4.8).
EDIT : toutes les requêtes avec l'user-agent contenant JDatabaseDriverMysqli ont renvoyé 404 donc ça ne doit pas être ça...
Le site est hébergé sur un serveur mutualisé 1&1, je tourne sur php 5.6 (normalement 1&1 met à jour à la dernière version).
Bref, tout ce pavé pour vous dire que j'ai vraiment besoin d'un coup de main pour comprendre ce qu'il s'est passé et éviter que ça se reproduise... Donc toute aide est vraiment bienvenue, n'hésitez pas à poser des questions pour avoir plus de détails.
Merci d'avance
Pour faire court, lorsque je me suis connecté sur l'interface back end de mon site internet aujourd'hui, je me suis rendu compte qu'une centaine d'articles avaient été créés... Des articles de spams. Donc, pour faire encore plus court, mon site a été attaqué.
Maintenant la version détaillée. Bien évidemment, la date de publication annoncée des articles était bidon (certains ayant été soi-disant créés avant la création du site). Cependant, en accédant à la base de donnée du site, j'ai une date plus cohérente, puisque les articles ont été "modifiés" entre le 28 Janvier et hier. Plus intéressant, ces articles ont tous été créés par un utilisateur qui n'existe pas.
Je m'explique : le site interdit la création de nouveaux utilisateurs et il y en a 4 d'enregistrés, dont 1 seul est administrateur. Or là les articles ont tous été créés par l'utilisateur ayant l'identifiant 0 et dont l'alias est "Super User". Et cet utilisateur n'existe tout simplement pas... Bref, j'ai l'impression que je me suis pris une injection SQL...
Au niveau actions entreprises, hormis supprimer les entrées de la BDD et regarder les logs, je ne sais pas trop quoi faire... D'autant plus que sur les logs, aux moments de "modification" des articles, il n'y a rien de particulier... Même si à d'autres moments on trouve l'instruction JDatabaseDriverMysqli... Je me dis que ça peut être lié mais je voudrais savoir comment corriger la faille (parce que là à part bloquer les IP d'attaque avec le .htaccess, c'est tout ce que je vois). Surtout que je tourne avec la dernière version de Joomla (3.4.8).
EDIT : toutes les requêtes avec l'user-agent contenant JDatabaseDriverMysqli ont renvoyé 404 donc ça ne doit pas être ça...
Le site est hébergé sur un serveur mutualisé 1&1, je tourne sur php 5.6 (normalement 1&1 met à jour à la dernière version).
Bref, tout ce pavé pour vous dire que j'ai vraiment besoin d'un coup de main pour comprendre ce qu'il s'est passé et éviter que ça se reproduise... Donc toute aide est vraiment bienvenue, n'hésitez pas à poser des questions pour avoir plus de détails.
Merci d'avance
Commentaire