Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Bon alors je m'auto répond.

Après avoir passé une partie de la nuit et matinée à chercher à comprendre, apparement mon site a été victime d'une "injection php".
Dans mon index.php situé dans mon dossier templates, j'ai trouvé cette ligne à la fin de la balise head :

J'ai cherché et apparement cette ligne est une sorte de "backdoor" qui permet au pirate d'utiliser ensuite un "rig exploit"(pas trop compris ce que c'était mais c'est une ******rie..) et d'envoyer un "ransomware" sur l'ordi, à comprendre une sorte de virus qui crypte toutes les données du disque dur et demande une rançon pour pouvoir tout decrypter. (genre dans les 500$ minimum d'après ce que j'ai lu, à payer en bitcoin)
En gros, quelque chose à ne vraiment pas prendre à la légère.

J'ai vu ces informations ici et qui datent du 25 juillet, donc c'est tout frais apparement.


J'espère que cette information pourra aider certains, car je n'ai trouvé aucun post à ce sujet via google.



J'aimerai toutefois avoir vos avis à propos de 2 ou 3 points.

- Comment me suis je retrouvée avec du code injecté alors que je n'ai que très peu d'activité sur mon site ? je me connecte de temps en temps pour faire les mises à jours et rajouter quelques photos juste..

- J'imagine que cette merde peut revenir ? y'aurait-il un moyen de prévenir cela ?

- Le fait que j'ai eu cette ligne de code sur mon site pendant quelques heures a t-il pu avoir des conséquences sur ma sécurité ? (site, ftp, pc perso..), sachant que je me suis connecté dessus malgré l'avertissement pour voir ce qui se passait...

re merci d'avance et en espérant que mon post puisse éviter à certains de se retrouver dans la mouise

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Bonjour,

Il y a eu une attaque généralisée depuis mi-décembre, suite à une faille de sécurité http://www.cert.ssi.gouv.fr/site/CER...013/index.html. Elle est toujours en cours car je vois presque tous les jours des tentatives d'intrusion avec les "JDatabaseDriverMysqli" dans mes logs.

Donc, quelle est votre version Joomla ? avez-vous des sauvegardes ?

En gros, il va falloir nettoyer et, si vous faites une recherche avec le mot "Virus" rien que sur le mois dernier, on a déjà traité le sujet une bonne quinzaine de fois http://forum.joomla.fr/search.php?searchid=3552049 dont la discussion http://forum.joomla.fr/showthread.ph...ighlight=virus qui peut certainement vous aider.

Pascal

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Bonjour, merci pour la réponse rapide.

J'ai fait ma mise à jour de joomla hier dans l'après midi, j'étais à la version 3.45..sachant que l'alerte est arrivée quelques heures après.

J'ai une sauvegarde clean (j'ai vérifié) qui date de novembre 2015, je n'ai quasiment rien changé depuis cette date, à part la mise à jour de joomla donc. (par contre vu que mon site est petit, je fait mes sauvegardes à la "barbare", je prend le dossier www de mon ftp et je le met dans un coin sur mon pc au cas ou, ça pose pas de problème normalement en cas de backup non ?)

J'avais vu le post de Explo effectivement (qui est encore en 1ere page il me semble), mais je n'étais vraiment sur qu'il s'agissait du meme probleme..j'ai donc préféré faire un nouveau post au cas ou effectivement.
D'après ce que j'ai lu sur ce post et sur http://www.cert.ssi.gouv.fr/site/CER...013/index.html, le plus simple reste donc de remettre un backup clean je vois.
Y'a t'il quelque chose d'autre à faire que les mises a jour joomla pour éviter ce genre de scénario ?

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Autre petit détail, dans mes logs je ne vois pas de "JDatabaseDriverMysqli" ni aucune IP indiquée pour ce type d'attaque, je vois uniquement des attaques en brute force pour trouver mon log admin. (classique j'imagine)

Donc je pense que c'est un autre type d'attaque, une injection php "toute bete", mais aucune idée de comment ça m'est arrivé et si ça risque de revenir après la maj..

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Bonjour

Plusieurs erreurs dans ta gestion :

* Tu as omis de mettre à jour Joomla vers 3.5.x. La version 3.4.5 date du 22 octobre soit, euh, 8 mois de retard. C'est beaucoup trop d'autant plus qu'entretemps, il y a eu une grosse faille colmatée (fin décembre 2015). Il est *primordial* d'au minimum installer les versions qui colmatent des trous de sécurité.

* Tu fais tes backups "à l'arrache" : tu copies les fichiers, okido, mais tu le fais "parfois" et surtout tu ne prends même pas un backup de la base de données. Pourquoi refuser la simplicité offerte par Akeeba Backup qui est déconcertante et gratuite ?

* J'ai l'impression que tu n'as pas de sécurité en place pour ton site; intéresse-toi à ce que nomme les parefeu, il en existe plein pour Joomla dont RS firewall, AdminTools, aeSecure, etc.

JDatabaseDriverMysqli est justement un type d'attaque qui a sévi fin 2015 et qui a été la raison de la mise en download de Joomla 3.4.8. Sur un serveur ayant une vieille version de PHP, il y avait une attaque rendue possible par l'instruction session_decode, native de PHP, qui autorisait l'exécution de code PHP et donc rendant ton site vulnérable.

Bonne journée.

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Merci pour ta réponse complète !

Effectivement mon site je bouge quasiment pas, donc des fois il se passe plusieurs mois sans que je pense à faire les mises à jours..c'est une erreur bete de ma part la.

J'ai eu une expérience malheureuse avec Akeeba, lorsque j'ai voulu faire il y'a pas mal de temps la migration joomla 2.5 vers 3.x
Il y'avait des chances pour que la mise à jour échoue et fasse planter le site avec toutes les incompatibilités.
J'ai donc essayé de faire un backup avec akeeba, j'ai fait la mise à jour...qui à planté..et au moment de remettre le backup, tout à foiré et pour faire simple j'ai du refaire quasiment mon site de A à Z...heureusement que c'est un petit site parce qu'avec un gros ça aurait été catastrophique. (ceci dit j'aurai peut etre pas pris le risque comme ça).

Je regarderai pour les firewall effectivement merci, ça peut pas faire de mal.

Par contre pour JDatabaseDriverMysqli, j'ai bien regardé mes logs (error.php et joomla_update.php) et je ne l'ai vu nulle part..j'ai du etre épargné je pense. (vais pas me plaindre)

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

Je poste juste un détail au cas ou ça arrive à d'autres.

Je me suis aperçu que mon site tournais sur PHP 5.3.29, étant donné que je suis sur un mutualisé ovh depuis des années et que je n'avais jamais upgradé la version PHP (je pensais que ça le faisait tout seul).
Mon injection php viens peut être de ça étant donné que cette version est carrément dépassée.

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"

Bonjour

Il y a plusieurs mois maintenant, j'ai longuement expliqué le souci avec l'attaque JDatabaseDriverMysqli : j'ai envoyé une newsletter à mes utilisateurs. Cette NL est disponible ici : https://www.aesecure.com/fr/?option=...tmpl=component

Il est impératif de suivre l'évolution des versions de Joomla lorsqu'il s'agit de mises-à-jour de sécurité et, ici, faire en sorte de ne pas rester sur des vieilles versions de PHP.

Bonne journée.

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"

J'ai mis un backup et fait les mises à jour de joomla et de php hier, je viens de passer le scan aesecure et tout semble être clean maintenant merci

J'ai regardé mes logs via OVH également (j'ignorais que ça existait, je pensait que le fichier de log etait le error.txt stocké dans le site...), et ça faisait genre 6/7 mois que je prenais des attaques JDatabaseDriverMysqli, sans conséquences heureusement (et c'est pas comme si y'avait quelque chose à "hacker" sur mon site en meme temps..)

Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"

Si c'est réglé merci de l'indiquer :