Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

    Bonjour à tous,
    Je remercie d'avance tout ceux qui prendront le temps de me lire, merci à ceux qui pourront également m'apporter des réponses.

    je rencontre un soucis, comme dans le titre, j'ai un site qui a été hacké (ou tentative) et OVH a par précaution il l'a mit hors service.

    Je sais que je dois :
    1) trouver le problème, et vérifier qu'il n'y a pas de fichier créé.
    2) Supprimer les fichiers créé par le hacker
    3) Mettre à jour Joomla (Manuelle par FTP ou Site web ? )
    4) réouvrir le site

    Je suis dans la bonne direction ?

    Voici le mail reçu :

    Problème rencontré : Un script malveillant a été détecté sur votre hébergement
    Commande apparente : ././crond
    Exécutable utilisé : /homez.331/lesiteqmuf/www/libraries/phputf8/.nfs00000000061ce22e0000132f
    Horodatage: 2016-02-08 23:55:14
    Les logs web
    Code:
    83.14.149.228 lesite.eu - [08/Feb/2016:23:47:06 +0100] "POST /libraries/phputf8/strcasecmp.php HTTP/1.1" 200 17 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
83.14.149.228 lesite.eu - [08/Feb/2016:23:47:07 +0100] "POST /libraries/phputf8/str_pad.php HTTP/1.1" 200 17 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
31.210.43.85 lesite.fr - [08/Feb/2016:23:50:14 +0100] "POST /libraries/phputf8/trim.php HTTP/1.1" 200 93 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
    une connexion

    les logs d'erreur
    Code:
    [Mon Feb 08 12:35:58 2016] [error] [client 66.249.64.99] [host www.lesite.eu] (103)Software caused connection abort: Failed to flush CGI output to client
[Mon Feb 08 12:36:28 2016] [error] [client 66.249.64.99] [host www.lesite.eu] (103)Software caused connection abort: Failed to flush CGI output to client
[Mon Feb 08 23:47:04 2016] [error] [client 83.14.149.228] [host lesite.eu] Pre****** end of script headers: adb19d448bcbfae598a13bf3f79ffe1a_data.php
[Mon Feb 08 23:47:08 2016] [error] [client 83.14.149.228] [host lesite.eu] Pre****** end of script headers: 75edaf59d972446aac2148031d4eeaee_data.php
[Mon Feb 08 23:53:37 2016] [crit] [client 167.114.173.203] [host lesite.eu] (13)Permission denied: /homez.331/lesiteqmuf/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Feb 08 23:53:37 2016] [crit] [client 167.114.173.203] [host lesite.eu] (13)Permission denied: /homez.331/lesiteqmuf/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Feb 08 23:57:26 2016] [crit] [client 66.249.66.72] [host www.lesite.eu] (13)Permission denied: /homez.331/lesiteqmuf/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Feb 08 23:56:46 2016] [crit] [client 151.80.138.19] [host lesite.eu] (13)Permission denied: /homez.331/lesiteqmuf/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://mcem.eu/
[Mon Feb 08 23:57:43 2016] [crit] [client 180.76.15.31] [host lesite.eu] (13)Permission denied: /homez.331/lesiteqmuf/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
    Il semblerait que le hacker ait tenté d'ouvrir le HTACCESS peut être pour en modifier le contenu ? est-ce bien ça ?
    Tags: Aucun
  • #2
    Re : Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

    Bonsoir,
    tu parles surement d'un joomla en version 2.5 non ? La version 3.5 en en beta il me semble

    Pour nettoyer le site -> c'est par ici
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire

    • #3
      Re : Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

      Envoyé par manu93fr Voir le message
      Bonsoir,
      tu parles surement d'un joomla en version 2.5 non ? La version 3.5 en en beta il me semble

      Pour nettoyer le site -> c'est par ici
      En fait je me suis trompé ds le titre, c'est Joomla 3.3.
      J'ai mis à jour le site, ainsi que les modules tiers

      et en rouvrant qq minutes après OVH le met à nouveau en fermé :
      Commande apparente : ././crond
      Exécutable utilisé : /homez.331/lesiteqmuf/www/libraries/f0f/toolbar/.nfs000000000220ce53000054c0
      Horodatage: 2016-02-11 18:35:15
      je ne trouve pas ce fichier .nfs... ers

      ok je vais voir ton lien, merci pour l'info

      Commentaire

      • #4
        Re : Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

        Mettre le site a jour est une bonne chose mais voila ... le site est deja infecté !

        Par le fichier "nfs....." il est là
        www/libraries/f0f/toolbar/.nfs000000000220ce53000054c0 mais c'est un fichier caché !

        Il va falloir que tu scannes ton site en entier et que tu vérifies ce qu'il y a dans les fichiers souvent attaqués et donc suspects (index.php et .htaccess) La lecture du lien que je t'ai donné te sera très profitable.

        Tu as aussi la solution de faire remonter une sauvegarde saine du site en question ... via une de tes sauvegardes ou via l'hébergeur ... en priant pour que celle ci ne soit pas vérolée

        Bon courage
        Dernière édition par manu93fr à 11/02/2016, 19h02
        Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
        Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

        Commentaire

        • #5
          Re : Joomla 3.5 - Site hacké - fermé par OVH - Aide corrigé le soucis

          Bonjour

          Qu'est-ce qu'un fichier .NFS chez OVH : https://forum.ovh.com/showthread.php...un-fichier-nfs

          Les fichiers .nfsxxxxx sont des fichiers temporaires qui sont créés par le système lorsqu'un process efface un fichier pendant qu'un autre y accède toujours. Ces fichiers ne peuvent pas être supprimés par l'utilisateur mais sont supprimés par le système quand tous les processus qui l'utilisent sont terminés. Rien d'inquiétant, et normalement, on n'a pas à s'en occuper.
          Par contre, un "POST /libraries/phputf8/str_pad.php" ne dit rien qui vaille. As-tu été voir ce fichier str_pad.php ?
          Un "POST" sur ce fichier n'est pas légitime et, si ton hébergeur t'informe d'un hack, tu peux lui faire confiance; c'est qu'il y a un souci de légitimité sur ton site.

          Bonne soirée.
          Dernière édition par cavo789 à 12/02/2016, 18h49
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire

          Précédent template Suivant

          Annonce

          Réduire
          Aucune annonce pour le moment.

          Partenaire de l'association

          Réduire
          Hébergeur Web PlanetHoster
          Travaille ...
          X