Plugin nnframework suspicieux

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Plugin nnframework suspicieux

    Bonjour,

    deux de mes sites contiennent des fichiers suspicieux qui ont entraîné un blacklistage de mon IP. Après un scan findbot.pl sur le serveur, j'ai pu constater que le plugin nnframework, malheureusement indispensable et natif joomla était en partie responsable.

    Voici le rapport d'erreurs :[modo]Supression du lien[/modo]

    Merci d'avance pour vos idées.
    Dernière édition par cavo789 à 02/03/2016, 14h37

  • #2
    Re : Plugin nnframework suspicieux

    Salut,
    le lien d'affichage des erreurs que tu donnes est inaccessible, tu pourrais faire un copier/coller ou une capture d'écran ?

    As-tu mis à jour TOUTES tes extensions nonumber ?
    Le plugin nnframework est présent (à priori) dans toutes les extensions de cet auteur.
    Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter lla base de connaissance : https://kb.joomla.fr

    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Re : Plugin nnframework suspicieux

      Bonjour

      j'ai bien au lien (et ça pas cool puisque e.a. je connais maintenant le chemin complet de ton site sur ton serveur; à priori, c'est une info à garder confidentielle).

      De ce que je vois, zéro virus.

      La notion "suspicious" est ici à son paroxysme car le code couleur "#99cc99" est considéré comme suspect. Ceci parce que ton findbot a répertorié les lettres "C99" comme étant suspectes (il s'agit du nom d'un shell fort connu et fort dangereux). Sur "c99", tu vas te ramasser un paquet de fichiers présumés malsains.

      Idem pour "hacked" et "root" qui sont trop courant.

      Ton script tourne depuis dix minutes dans ma fenêtre et il n'est pas encore terminé visiblement... De ce que j'ai vu, zéro virus.

      Si tu as été blacklisté / bloqué, ce n'est pas à cause des scripts que j'ai vu.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Plugin nnframework suspicieux

        Bonjour, et merci pour vos réponses.

        @ghazal : Pardon j'ai fait vite et le lien est un accès direct sur mon serveur, voici le copié collé

        Code:
        ***/plugins/system/nnframework/helpers/functions.php: Suspicious(open_basedir):
         		if (!ini_get('safe_mode') && !ini_get('open_basedir'))
        
        ***/plugins/system/nnframework/helpers/tags.php: Suspicious(base64_decode):
         						$val = str_replace($tag['0'], base64_decode($tag['1']), $val);
        
        ***/plugins/system/nnframework/helpers/protect.php: Suspicious(base64_decode):
         				$string = str_replace($match['0'], base64_decode($match['1']), $string);
        Toutes les extensions sont à jour, je fais les mises a jour des joomla et leurs extensions très régulièrement et la recherche de mise à jour des joomla ne donne rien de plus.

        @cavo789 : Tu as raison c'etait pas top de donner ca comme ca J'ai retiré le fichier et cacher le chemin d'accès dans ma réponse ci dessus, et puis de toute façon je migre de serveur aujourd'hui vers un plus puissant et plus sécurisé

        Lorsque j'ai demandé le blacklistage, Spamhaus ZEN, une des blacklists m'a donné ce script en me disant que la raison était la présence de fichiers suspicieux se trouvant dans l’exécution de ce script.

        Commentaire


        • #5
          Re : Plugin nnframework suspicieux

          Attention : je dis "juste" que ce j'ai vu est sain. Si tu as un prestataire qui te dit qu'il y a un souci, on peut à priori le croire mais ce qu'a montré le script findbot.pl (résultat partiel) n'était pas concluant.

          Ton lien est toujours actif dans ton premier post. En tant que modo, je vais me permettre de le supprimer moi-même.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Plugin nnframework suspicieux

            Ok oui j'ai supprimé le fichier et laissé le lien en effet, merci à toi.

            J'essaye d'éplucher un a un les résultats pour essayer de minimiser ca, ce qui est bizarre, c'est que les erreurs sont uniquement sur les deux derniers sites créés très récemment, dont un qui n'est même pas en ligne et encore sur un sous-domaine du site principal.

            Commentaire


            • #7
              Re : Plugin nnframework suspicieux

              Bonjour,
              Une petite question importante pour être sur :
              - Qu'est-ce qui est blacklisté ? L'ip de ton serveur ? Ton nom de domaine ?
              - Sur quel type de serveur es tu hébergé (mutualisé, dédié) ?

              Cordialement,
              Chabi01 - http://www.xlformation.com

              Commentaire


              • #8
                Re : Plugin nnframework suspicieux

                Bonjour,

                C'est l'IP de mon serveur qui est blacklisté j'en ai fait délisté pas mal et suis en cours de migration de serveur, mais j'emporte les erreurs avec si elles sont bien dans les joomla.

                J'ai un serveur dédié NUXIT, en plus depuis 3 jours ils se font attaquer Ddos en masse ca ne facilite pas les choses.

                Commentaire


                • #9
                  Re : Plugin nnframework suspicieux

                  Ok, donc il y a plusieurs possibilités :
                  - ton site est compromis
                  - ton serveur est compromis (quelle distribution ? Quelle interface de gestion ?)
                  - une personne a déclaré un envoi de ton site sur un site "spam" et tu t'es retrouvé listé "par erreur".

                  Quel est l'url de ton site (à m'envoyer par MP) ?
                  Cordialement,
                  Chabi01 - http://www.xlformation.com

                  Commentaire


                  • #10
                    Re : Plugin nnframework suspicieux

                    Je suis sous Plesk Pro et nous avons effectué beaucoup de test avec Nuxit, aucune infection trouvée, même si Spamhaus ZEN une des blacklist ou était mon serveur disait le contraire.

                    Je t'envoie mon nom de domaine principal par MP.

                    Commentaire


                    • #11
                      Re : Plugin nnframework suspicieux

                      salut
                      j'ai pu constater que le plugin nnframework, malheureusement indispensable et natif joomla
                      ce n'est pas un plugin natif Joomla! mais un plugin de chez Nonumber. Juste pour info
                      CEd
                      Vive Joomla! http://www.joomlack.fr Tutoriels et extensions pour Joomla!. Livre création de template Joomla de plus de 200 pages.
                      http://www.template-creator.com Outil de création de templates
                      Module Maximenu CK - Megamenu, multicolonnes, chargement de module, description de lien, deroulement animé - Compatible Virtuemart, Hikashop

                      Commentaire


                      • #12
                        Re : Plugin nnframework suspicieux

                        Je viens de tester rapidement ton serveur, il semble clean au niveau des protocoles de sécurité. Ton site ne semble pas non plus compromis à première vue et semble à jour et je n'ai trouvé aucun blacklistage de ton domaine...
                        A part un scan de tes dossiers pour tenter de trouver une injection qui enverrait par exemple du spam à ton insu, il n'y a rien qui "s'allume en rouge" de mon côté...
                        Et effectivement, nnframework est installé à chaque fois que tu installes une extension provenant de nonumber et à ma connaissance, il n'y a pas de souci avec ce plugin...

                        Si vraiment tu as des soucis de ce type avec ton serveur/site, la prochaine étape va être d'éplucher attentivement les logs (mais tu l'as sans doute déjà fait...)

                        Cordialement,
                        Chabi01 - http://www.xlformation.com

                        Commentaire

                        Annonce

                        Réduire
                        Aucune annonce pour le moment.

                        Partenaire de l'association

                        Réduire

                        Hébergeur Web PlanetHoster
                        Travaille ...
                        X