Plugin nnframework suspicieux

**ghazal** · 02/03/2016, 13h00

Re : Plugin nnframework suspicieux

Salut,
le lien d'affichage des erreurs que tu donnes est inaccessible, tu pourrais faire un copier/coller ou une capture d'écran ?

As-tu mis à jour TOUTES tes extensions nonumber ?
Le plugin nnframework est présent (à priori) dans toutes les extensions de cet auteur.

**cavo789** · 02/03/2016, 13h13

Re : Plugin nnframework suspicieux

Bonjour

j'ai bien au lien (et ça pas cool puisque e.a. je connais maintenant le chemin complet de ton site sur ton serveur; à priori, c'est une info à garder confidentielle).

De ce que je vois, zéro virus.

La notion "suspicious" est ici à son paroxysme car le code couleur "#99cc99" est considéré comme suspect. Ceci parce que ton findbot a répertorié les lettres "C99" comme étant suspectes (il s'agit du nom d'un shell fort connu et fort dangereux). Sur "c99", tu vas te ramasser un paquet de fichiers présumés malsains.

Idem pour "hacked" et "root" qui sont trop courant.

Ton script tourne depuis dix minutes dans ma fenêtre et il n'est pas encore terminé visiblement... De ce que j'ai vu, zéro virus.

Si tu as été blacklisté / bloqué, ce n'est pas à cause des scripts que j'ai vu.

**Minie** · 02/03/2016, 14h23

Re : Plugin nnframework suspicieux

Bonjour, et merci pour vos réponses.

@ghazal : Pardon j'ai fait vite et le lien est un accès direct sur mon serveur, voici le copié collé

Code:

***/plugins/system/nnframework/helpers/functions.php: Suspicious(open_basedir):
 		if (!ini_get('safe_mode') && !ini_get('open_basedir'))

***/plugins/system/nnframework/helpers/tags.php: Suspicious(base64_decode):
 						$val = str_replace($tag['0'], base64_decode($tag['1']), $val);

***/plugins/system/nnframework/helpers/protect.php: Suspicious(base64_decode):
 				$string = str_replace($match['0'], base64_decode($match['1']), $string);

Toutes les extensions sont à jour, je fais les mises a jour des joomla et leurs extensions très régulièrement et la recherche de mise à jour des joomla ne donne rien de plus.

@cavo789 : Tu as raison c'etait pas top de donner ca comme ca

J'ai retiré le fichier et cacher le chemin d'accès dans ma réponse ci dessus, et puis de toute façon je migre de serveur aujourd'hui vers un plus puissant et plus sécurisé

Lorsque j'ai demandé le blacklistage, Spamhaus ZEN, une des blacklists m'a donné ce script en me disant que la raison était la présence de fichiers suspicieux se trouvant dans l’exécution de ce script.

**cavo789** · 02/03/2016, 14h37

Re : Plugin nnframework suspicieux

Attention : je dis "juste" que ce j'ai vu est sain. Si tu as un prestataire qui te dit qu'il y a un souci, on peut à priori le croire mais ce qu'a montré le script findbot.pl (résultat partiel) n'était pas concluant.

Ton lien est toujours actif dans ton premier post. En tant que modo, je vais me permettre de le supprimer moi-même.

**Minie** · 02/03/2016, 14h59

Re : Plugin nnframework suspicieux

Ok oui j'ai supprimé le fichier et laissé le lien en effet, merci à toi.

J'essaye d'éplucher un a un les résultats pour essayer de minimiser ca, ce qui est bizarre, c'est que les erreurs sont uniquement sur les deux derniers sites créés très récemment, dont un qui n'est même pas en ligne et encore sur un sous-domaine du site principal.

**chabi01** · 02/03/2016, 17h18

Re : Plugin nnframework suspicieux

Bonjour,
Une petite question importante pour être sur :
- Qu'est-ce qui est blacklisté ? L'ip de ton serveur ? Ton nom de domaine ?
- Sur quel type de serveur es tu hébergé (mutualisé, dédié) ?

Cordialement,

**Minie** · 02/03/2016, 17h27

Re : Plugin nnframework suspicieux

Bonjour,

C'est l'IP de mon serveur qui est blacklisté j'en ai fait délisté pas mal et suis en cours de migration de serveur, mais j'emporte les erreurs avec si elles sont bien dans les joomla.

J'ai un serveur dédié NUXIT, en plus depuis 3 jours ils se font attaquer Ddos en masse ca ne facilite pas les choses.

**chabi01** · 02/03/2016, 17h44

Re : Plugin nnframework suspicieux

Ok, donc il y a plusieurs possibilités :
- ton site est compromis
- ton serveur est compromis (quelle distribution ? Quelle interface de gestion ?)
- une personne a déclaré un envoi de ton site sur un site "spam" et tu t'es retrouvé listé "par erreur".

Quel est l'url de ton site (à m'envoyer par MP) ?
Cordialement,

**Minie** · 02/03/2016, 17h57

Re : Plugin nnframework suspicieux

Je suis sous Plesk Pro et nous avons effectué beaucoup de test avec Nuxit, aucune infection trouvée, même si Spamhaus ZEN une des blacklist ou était mon serveur disait le contraire.

Je t'envoie mon nom de domaine principal par MP.

**ced1870** · 03/03/2016, 10h01

Re : Plugin nnframework suspicieux

salut

j'ai pu constater que le plugin nnframework, malheureusement indispensable et natif joomla

ce n'est pas un plugin natif Joomla! mais un plugin de chez Nonumber. Juste pour info
CEd

**chabi01** · 03/03/2016, 10h43

Re : Plugin nnframework suspicieux

Je viens de tester rapidement ton serveur, il semble clean au niveau des protocoles de sécurité. Ton site ne semble pas non plus compromis à première vue et semble à jour et je n'ai trouvé aucun blacklistage de ton domaine...
A part un scan de tes dossiers pour tenter de trouver une injection qui enverrait par exemple du spam à ton insu, il n'y a rien qui "s'allume en rouge" de mon côté...
Et effectivement, nnframework est installé à chaque fois que tu installes une extension provenant de nonumber et à ma connaissance, il n'y a pas de souci avec ce plugin...

Si vraiment tu as des soucis de ce type avec ton serveur/site, la prochaine étape va être d'éplucher attentivement les logs (mais tu l'as sans doute déjà fait...)

Cordialement,

Plugin nnframework suspicieux

Plugin nnframework suspicieux

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association