Site web hacké

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site web hacké

    Bonjour à tous,

    Le site que j'administre est contaminé depuis un certain temps. J'ai fais un grand ménage en fin de semaine, en effet, j'ai nettoyé pas moins que deux cents fichiers contaminés. Des fichiers PHP et HTML, la méthode que j'ai utilisé pour dénicher ces sacrés virus a été de télécharger une archive créée avec Akeeba backup, par la suite je l'ai décompressée dans mon pc et là hop mon anti virus a tout de suite détecté les fichiers contaminés.

    Bon, l'anti virus m'a évidemment donné la liste des fichiers contaminés, donc je me suis rendu sur le serveur et corriger tous ces fichiers en enlevant le script, qui est un Javascript. Maintenant, j'ai refais la même procédure, créer une nouvelle archive et la décompresser dans mon pc et plus de virus détecté.


    J'étais content d'avoir réussi, sauf qu'il y a encore des fichiers contaminés et je sais pas ou ils sont. Si je me connecte sur mon site j'ai une menace "HTML/Iframe.B cheval de troie" ou si je vais sur un site pour vérification en ligne siteguarding.com celui-ci détecte encore le même script. Voici le sacré script. Avez-vous une idée ou ce script peut se trouver?

    Merci.


    Known javascript malware. Details: http://labs.siteguarding.com/db/malw...ckhole1?v282.2 <body><script type="text/javascript">xxxxxxx</script>
    Dernière édition par cavo789 à 22/02/2016, 15h01 Raison: Il est inutile de poster un code d'un virus

  • #2
    Re : Site web hacké

    Bonjour

    J'ai édité ton post pour en supprimer le code vérolé, inutile de poster des virus sur un forum.

    Pour ta question "Où?" personne ne saura te répondre; il te faut chercher toi-même. Il existe des scanners gratuits pour cela. Tu as JAMSS (https://github.com/btoplak/Joomla-An...Script--JAMSS-) qui peut être une aide ainsi que aeSecure QuickScan (voir ma signature). Comprends bien les limitations de ces outils : le scan est partiel car il faut un scanner "profond" càd disposant d'une base de signatures conséquente pour espérer détecter toutes les variations.

    Dans ma signature, tu trouveras un lien vers "Mon site a été hacké, que faire?" qui est un tutoriel expliquant comment tu peux nettoyer ton site seul; de manière autonome.

    Enfin, le coup de l'antivirus de l'ordinateur est une bonne idée mais terriblement lacunaire : un antivirus "générique" ne va jamais détecter p.ex. un formulaire d'upload sur le site. Un "bête" script php qui fait un upload n'est pas un virus (et ce n'est pas un virus!) mais c'est un fameux danger pour ta sécurité si tu as un tel formulaire sur ton site; déposé par un hacker.

    Idem pour un eval($_GET['var']); qui n'est pas méchant sur le plan syntaxique mais qui peut casser ton site. Un antivirus "traditionnel" ne trouvera pas ces lignes-là.

    Bonne journée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Site web hacké

      Envoyé par cavo789 Voir le message
      Bonjour

      J'ai édité ton post pour en supprimer le code vérolé, inutile de poster des virus sur un forum.

      Pour ta question "Où?" personne ne saura te répondre; il te faut chercher toi-même. Il existe des scanners gratuits pour cela. Tu as JAMSS (https://github.com/btoplak/Joomla-An...Script--JAMSS-) qui peut être une aide ainsi que aeSecure QuickScan (voir ma signature). Comprends bien les limitations de ces outils : le scan est partiel car il faut un scanner "profond" càd disposant d'une base de signatures conséquente pour espérer détecter toutes les variations.

      Dans ma signature, tu trouveras un lien vers "Mon site a été hacké, que faire?" qui est un tutoriel expliquant comment tu peux nettoyer ton site seul; de manière autonome.

      Enfin, le coup de l'antivirus de l'ordinateur est une bonne idée mais terriblement lacunaire : un antivirus "générique" ne va jamais détecter p.ex. un formulaire d'upload sur le site. Un "bête" script php qui fait un upload n'est pas un virus (et ce n'est pas un virus!) mais c'est un fameux danger pour ta sécurité si tu as un tel formulaire sur ton site; déposé par un hacker.

      Idem pour un eval($_GET['var']); qui n'est pas méchant sur le plan syntaxique mais qui peut casser ton site. Un antivirus "traditionnel" ne trouvera pas ces lignes-là.

      Bonne journée.

      J'aurais dû ne pas mettre ce script vérolé ici, je le saurai pour les prochaines fois, j'espère jamais.


      Bon, j'ai déjà installé Aesecure, celui-ci travaille en ce moment. Je comprend que ces outils sont limités, donc ils ne vont pas en profondeur. Ce qui semble clair, en tout cas je pense, les fichiers PHP et HTML ont été bien scrutés. Est-ce possible que le script se cache dans les fichiers Javascript et base de données SQL?

      Commentaire


      • #4
        Re : Site web hacké

        De mon expérience, le code malsain se trouve toujours dans un fichier php; planqué.

        Note : la version QuickScan est limitée, oui puisque l'objectif est de déterminer s'il y a un hack ou pas. Ensuite, il faut prendre les mesures pour nettoyer le site.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Site web hacké

          Envoyé par cavo789 Voir le message
          De mon expérience, le code malsain se trouve toujours dans un fichier php; planqué.

          Note : la version QuickScan est limitée, oui puisque l'objectif est de déterminer s'il y a un hack ou pas. Ensuite, il faut prendre les mesures pour nettoyer le site.
          Dernière question. Le code qui peut se trouver dans un fichier PHP est-il le même que celui que j'avais trouvé ou c'est plutôt une ligne de commande qui génère le script? Si oui, avec ton expérience à quoi ressemble cette commande?

          Commentaire


          • #6
            Re : Site web hacké

            Un hack est quasi tout le temps crypté et donc, ce code-là, tu ne le trouveras pas. Il est p.ex. codé avec des base64_decode(str_rot13(gzinflate( et ce n'est qu'un exemple.

            Il ne faut pas chercher "ton code" mais tout code pirate.

            Va voir mon troisième lien ci-dessous pour nettoyer manuellement, toi-même, ton site.

            Bonne chasse.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Site web hacké

              Envoyé par cavo789 Voir le message
              Un hack est quasi tout le temps crypté et donc, ce code-là, tu ne le trouveras pas. Il est p.ex. codé avec des base64_decode(str_rot13(gzinflate( et ce n'est qu'un exemple.

              Il ne faut pas chercher "ton code" mais tout code pirate.

              Va voir mon troisième lien ci-dessous pour nettoyer manuellement, toi-même, ton site.

              Bonne chasse.
              Wow, tout un boulot m'attend!!! Un grand grand merci pour ton aide, très apprécié!

              Commentaire


              • #8
                Re : Site web hacké

                Je t'en prie.

                Au cas où, pour info, si tu vas au JoomlaDay 2016, j'aurai le plaisir de donner une conférence sur cette thématique : https://www.joomladay.fr/programme/e...t-m-en-assurer

                Il est encore temps de prendre son ticket d'entrée ;-)
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X