Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

La mise à jour en 3.6.4 a telle été faite immédiatement au moment de sa parution ? Depuis combien de temps durent ces inscriptions ?

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Bonsoir
tu pourrais commencer par le debut ... nous donner un lien

Tu es sur quelle version de Joomla et quelle version de PHP ?

Comme te le precise GraphiqueDesign, il y a eu mise a jour de sécurité très importante -> la 3.6.4 ! A t'elle été effectuée a temps ?

Si c'était le cas, plus personne n'utiliserai Jommla ou n'importe lequel des Cms du marché ... ce qui est sûre, c'est que dès l'instant ou tu utilises un CMS codé par une team, tu dois rester informé de ce qui ce passe ... Pour l'installation d'une extension de sécurité, il est évident que dès l'instant ou tu veux péréniser ton site, tu dois passer par de la sécurité et de la sauvegarde

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Merci pour vos réponses :-)

Je suis Web Designer et j'ai une dizaine de site sur Joomla. J'écarte ceux qui sont encore en 2.5 ou même un en 1.6 (et qui curieusement ne sont pas spammé) pour essayer de maintenir à jour ceux sur Joomla 3 qui sont tous sur PHP 5.6.

J'avoue qu'il est difficile de dire si les enregistrement d'utilisateurs non-sollicité sont survenus avant ou après la mise à jour en 3.6.4. C'est plutôt lorsque le client me demande une modification de contenu que je jette un coup d'œil à la gestion des utilisateurs. C'est là que j'ai vu que deux sites avaient des user non-sollicités et que j'ai compris qu'il fallait désactiver l'enregistrement des utilisateurs.
Seulement c'est certain que même après, il y en a eu d'autres.

Aujourd'hui, j'ai d'un coup reçu au moins 15 message de fomulaires web spammés en moins de 5 minutes. Il faut préciser que mon hébergeur (Infomaniak en Suisse) recommande d'utiliser PHPmail sans expéditeur. C'est le root qui envoie les messages du formulaire avec l'objet "enregistrement root du formulaire" ce qui n'indique même pas de quel site provient le message. C'est dans le contenu que je le vois, sauf que si c'est du spam, le contenu est bidon.

Bref, à la suite de ça je suis allé voir voir d'urgence mes sites et 3 étaient encore en Joomla 3.6.3. Je les ai aussitôt mis à jour et c'est en même temps que j'ai vu des nouveaux users. Donc possible que les spammeurs aient utilisés une faille de la 3.6.3. On verra bien maintenant que tous mes sites sont en 3.6.4.

Néanmoins j'aimerais bien installer une extension qui sécurise le site mais je ne sais laquelle. On m'a parlé de Akeeba Admin Tools. Qu'en pensez-vous ?

Merci de votre soutien, Stéphane

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Tu parles en même temps de nouveaux utilisateurs et de formulaires spammés, ce qui n'est pas vraiment le même problème.

Pour limiter le spam des formulaires, il faut utiliser un anti-spam, que Joomla permet assez facilement de mettre en œuvre.

Pour les nouveaux utilisateurs, s'ils ont été créés via la faille que corrige la mise à jour 3.6.4, le problème est que ces nouveaux utilisateurs peuvent avoir le statut administrateur et donc faire sur ton site absolument tout ce qu'ils veulent, y compris véroler l'ensemble des fichiers. Seule solution, revenir sur une version sauvegardée non touchée, la mettre à jour et remplacer la vérolée par celle qui ne l'est pas. Voilà pourquoi je te demandais depuis quand tu as ces nouveaux users.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Concernant les formulaires de contact, j'utilise BreezingForms et n'ai pas mis de Captcha pour la raison évidente que les visiteurs ne vont pas l'utiliser s'il doivent s'escrimer à entrer un code souvent illisible :-) Sans rire c'est un véritable frein mais peut-être la seule solution pour éviter le spam. Ou ne pas mettre de formulaire et seulement un contact par email.

Donc tu penses que ce n'est pas par une faille du formulaire que les hackers peuvent accéder à l'enregistrement de nouveaux utilisateurs ? C'est plutôt un bonne nouvelle même si ça reste inquiétant que Joomla soit si vulnérable. J'ai vu un article sur les CB triggers (Community Builder has an assortment of triggers which can be used to alter CB data or even Joomla data without hacking the code.)

Pour les nouveaux utilisateurs, aucun n'avait le statut d'admin et aucun n'était activé.

Sais-tu s'il existe une extension qui peut vérifier qu'il n' a pas d'addition de fichiers suspects dans le Joomla installé ou de scripts malveillants ?

Merci.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Sans rire
le captcha de nos jour a beaucoup évolué ... recaptcha v2 a juste besoin d'un clic ... basta
Pour l'adresse par mail, tu penses vraiment que tu éviteras les spams lorsqu'un badbot aura récupéré cette adresse mail ?

La règle number ONE pour tout Cms, c'est de suivre l'actu du dit fameux Cms (peut importe lequel) et surtout de suivre les mises a jour de sécurité !!! Tous les sites Joomla actuels doivent impérativement être en 3.6.4 pour être tranquille.
Tu parles dans ton 1er posts de site en 1.6 ou 2.5 , tot ou tard ils seront obselètes ou hackés si tu n'agis pas ... peut etre le sont ils deja, vu que les motivations des vilains hackeurs, c'est de prendre le contrôle de ton serveur sans casser ton site web pour ne pas éveiller de soupçons
Dans tous les cas, ces sites là ne doivent pas évolués beaucoup, vu que les extensions ne sont surement pas a jour, elles aussi ... je me trompe ?

Pour le coté sécurité, un bon pare feu comme aesecure en free fera l'affaire ... ou l'extension que tu mentionnes ... ou encore un simple couple .htaccess/.htpasswd das
ns le dossier administrator ... mais tu l'auras compris, je privilégie le pare feu externe (serveur donc)

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Dans Breezingforms, tu peux utiliser le nouveau captcha de Google, celui où tu coches juste un truc (je ne suis pas un robot). Personnellement, je l'active uniquement quand je suis ciblé par le spam, ensuite quand c'est fini, je le vire. Là ça fait plusieurs mois que je suis en paix.

Je pense qu'il n'y a aucun lien entre le formulaire de contact et l'inscription de nouveaux users. Mais si ton site a été touché par la faille citée précédemment, je ne prendrais pas cela à la légère. J'ai plusieurs sites en lignes avec quelques protections basiques (password sur administratif, double identification, etc.), je n'ai jamais eu le moindre soucis mais je fais assez rapidement les mises à jour, du moins celles liées à la sécurité.

Cherche Christophe Avonture aka cavo789 (aesecure) sur ce forum, il est actif et dans sa signature, tu trouveras un scanner qui fait ça bien. Le lien pour son site https://www.aesecure.com/fr/

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Bonjour

Essaie aeSecure QuickScan; il scanne les fichiers de ton site en omettant de traiter ceux, natifs, de Joomla si ces derniers sont strictement les mêmes que les originaux.

L'outil va alors te montrer certains fichiers qui ont été détectés comme suspects à savoir qui contiennent des mots clefs à "surveiller". Il te faudra alors déterminer si ce sont des virus ou pas.

Bonne journée.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Merci pour vos réponses, merci cavo789 pour la mise à disposition de l'outils Quiskscan que je vais essayer sur le site suspecté.

@cavo789 Sur la page "Votre site a été hacké, que faire ?", sous "Si votre site est sous Joomla®", je lis "Il ne doit pas non plus y avoir un fichier nommé index.php dans le dossier /templates du site. Ici aussi, si vous en trouvez un; supprimez-le.".
Tous les templates ont un fichier index.php. Ne serait-ce pas plutôt un fichier index.html dont tu parles ?

Merci encore, cordialement.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

En effet :-) Les clients ne réalisent pas l'importance des mises à jour et ne veulent pas investir. Ils me disent "mon site n'a que 4 ans, on ne va pas encore le changer !"

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Les index.php ne sont pas dans le dossier "/templates" mais dans chaque sous-dossier de template, ce n'est pas la même chose.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Bonjour,
c'est a toi d'expliquer qu'en terme de Cms (Joomla ou un autre) il faut suivre a minima les mises a jour qui comble les failles potentielles et apportent souvent des fonctionnalités supplémentaires. Tu peux ainsi mettre en place un contrat de maintenance.

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Désolé, mais comme je lisais juste dessous "Une majorité des attaques se font en incluant du code php malveillant soit le fichier /index.php (à la racine du site) soit /templates/votre_template/index.php.", j'ai associé cela au paragraphe précédant.
Merci et bonne journée.
Stéphane

Re : Utilisateur (bidon) créé malgré l'enregistrement utilisateur désactivé

Lecture trop rapide ;-)

Il ne faut aucun fichier index.php immédiatement sous les dossiers /components, /modules, /plugins ou encore /templates.