Site web hacké

**cavo789** · 22/02/2016, 15h07

Re : Site web hacké

Bonjour

J'ai édité ton post pour en supprimer le code vérolé, inutile de poster des virus sur un forum.

Pour ta question "Où?" personne ne saura te répondre; il te faut chercher toi-même. Il existe des scanners gratuits pour cela. Tu as JAMSS (https://github.com/btoplak/Joomla-An...Script--JAMSS-) qui peut être une aide ainsi que aeSecure QuickScan (voir ma signature). Comprends bien les limitations de ces outils : le scan est partiel car il faut un scanner "profond" càd disposant d'une base de signatures conséquente pour espérer détecter toutes les variations.

Dans ma signature, tu trouveras un lien vers "Mon site a été hacké, que faire?" qui est un tutoriel expliquant comment tu peux nettoyer ton site seul; de manière autonome.

Enfin, le coup de l'antivirus de l'ordinateur est une bonne idée mais terriblement lacunaire : un antivirus "générique" ne va jamais détecter p.ex. un formulaire d'upload sur le site. Un "bête" script php qui fait un upload n'est pas un virus (et ce n'est pas un virus!) mais c'est un fameux danger pour ta sécurité si tu as un tel formulaire sur ton site; déposé par un hacker.

Idem pour un eval($_GET['var']); qui n'est pas méchant sur le plan syntaxique mais qui peut casser ton site. Un antivirus "traditionnel" ne trouvera pas ces lignes-là.

Bonne journée.

**garnut** · 22/02/2016, 15h28

Re : Site web hacké

Envoyé par cavo789 Voir le message

Bonjour

J'ai édité ton post pour en supprimer le code vérolé, inutile de poster des virus sur un forum.

Pour ta question "Où?" personne ne saura te répondre; il te faut chercher toi-même. Il existe des scanners gratuits pour cela. Tu as JAMSS (https://github.com/btoplak/Joomla-An...Script--JAMSS-) qui peut être une aide ainsi que aeSecure QuickScan (voir ma signature). Comprends bien les limitations de ces outils : le scan est partiel car il faut un scanner "profond" càd disposant d'une base de signatures conséquente pour espérer détecter toutes les variations.

Dans ma signature, tu trouveras un lien vers "Mon site a été hacké, que faire?" qui est un tutoriel expliquant comment tu peux nettoyer ton site seul; de manière autonome.

Enfin, le coup de l'antivirus de l'ordinateur est une bonne idée mais terriblement lacunaire : un antivirus "générique" ne va jamais détecter p.ex. un formulaire d'upload sur le site. Un "bête" script php qui fait un upload n'est pas un virus (et ce n'est pas un virus!) mais c'est un fameux danger pour ta sécurité si tu as un tel formulaire sur ton site; déposé par un hacker.

Idem pour un eval($_GET['var']); qui n'est pas méchant sur le plan syntaxique mais qui peut casser ton site. Un antivirus "traditionnel" ne trouvera pas ces lignes-là.

Bonne journée.

J'aurais dû ne pas mettre ce script vérolé ici, je le saurai pour les prochaines fois, j'espère jamais.

Bon, j'ai déjà installé Aesecure, celui-ci travaille en ce moment. Je comprend que ces outils sont limités, donc ils ne vont pas en profondeur. Ce qui semble clair, en tout cas je pense, les fichiers PHP et HTML ont été bien scrutés. Est-ce possible que le script se cache dans les fichiers Javascript et base de données SQL?

**cavo789** · 22/02/2016, 15h48

Re : Site web hacké

De mon expérience, le code malsain se trouve toujours dans un fichier php; planqué.

Note : la version QuickScan est limitée, oui puisque l'objectif est de déterminer s'il y a un hack ou pas. Ensuite, il faut prendre les mesures pour nettoyer le site.

**garnut** · 22/02/2016, 15h56

Re : Site web hacké

Envoyé par cavo789 Voir le message

De mon expérience, le code malsain se trouve toujours dans un fichier php; planqué.

Note : la version QuickScan est limitée, oui puisque l'objectif est de déterminer s'il y a un hack ou pas. Ensuite, il faut prendre les mesures pour nettoyer le site.

Dernière question. Le code qui peut se trouver dans un fichier PHP est-il le même que celui que j'avais trouvé ou c'est plutôt une ligne de commande qui génère le script? Si oui, avec ton expérience à quoi ressemble cette commande?

**cavo789** · 22/02/2016, 16h05

Re : Site web hacké

Un hack est quasi tout le temps crypté et donc, ce code-là, tu ne le trouveras pas. Il est p.ex. codé avec des base64_decode(str_rot13(gzinflate( et ce n'est qu'un exemple.

Il ne faut pas chercher "ton code" mais tout code pirate.

Va voir mon troisième lien ci-dessous pour nettoyer manuellement, toi-même, ton site.

Bonne chasse.

**garnut** · 22/02/2016, 16h10

Re : Site web hacké

Envoyé par cavo789 Voir le message

Un hack est quasi tout le temps crypté et donc, ce code-là, tu ne le trouveras pas. Il est p.ex. codé avec des base64_decode(str_rot13(gzinflate( et ce n'est qu'un exemple.

Il ne faut pas chercher "ton code" mais tout code pirate.

Va voir mon troisième lien ci-dessous pour nettoyer manuellement, toi-même, ton site.

Bonne chasse.

Wow, tout un boulot m'attend!!! Un grand grand merci pour ton aide, très apprécié!

**cavo789** · 22/02/2016, 16h17

Re : Site web hacké

Je t'en prie.

Au cas où, pour info, si tu vas au JoomlaDay 2016, j'aurai le plaisir de donner une conférence sur cette thématique : https://www.joomladay.fr/programme/e...t-m-en-assurer

Il est encore temps de prendre son ticket d'entrée ;-)

Site web hacké

[Problème] Site web hacké

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association