Malware ou pas ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Malware ou pas ?

    Salut,

    J'ai reçu ce message de mon hébergeur Nuxit, est-ce que le fichier incriminé est légitime ou pas ?

    En fouillant a la racine du site, j'ai vue qu'il ont fait le scan avec "Clamscan" qui contien le rapport suivant :

    Je ne sais même pas quel extension utilise ce module stat ? Statistique ?

    Voici le message mail de nuxit associé :

    Cher(e) Client(e),

    Pour information, notre anti-virus a détecté un ou plusieurs fichiers potentiellement malveillants sur votre hébergement :

    Liste des fichiers suspects :
    - /www/media/system/js/stat13c.php: {HEX}php.malware.charnested.545.UNOFFICIAL
    - /www/modules/mod_stats/stat13c.php: {HEX}php.malware.charnested.545.UNOFFICIAL

    Ces fichiers ne sont pas bloqués automatiquement par notre antivirus pour éviter le risque de faux-positifs, nous vous invitons donc à vérifier leur contenu.
    J'ai ouvert le fichier www/media/system/js/stat13c.php: avec notepad++ et voici son contenu, il est légitime ce fichier ?

    [modo]Code supprimé; virus confirmé[/modo]


    L'autre fichier incriminé www/modules/mod_stats/stat13c.php contiens ceci, c'est légitime ça ?

    [modo]Code supprimé; virus confirmé[/modo]


    Merci de me dire quoi faire, virer ses fichiers si inutile ou suspect ?

    C'est quoi ce long code en chiffre, étrange !!! Et comment as-t'il atterrit sur mon serveur, je suis sous la dernière version de Joomla!
    Dernière édition par cavo789 à 22/07/2019, 12h13

  • #2
    Bonjour,

    Ces fichiers n'existent pas dans une version standard de Joomla!, et à voir ce qu'ils contiennent, il y a en effet de fortes chances que ce soient des virus.
    A moins d'être sûr que ce sont des fichiers liés à une extension que tu as ajoutée (mais pourquoi aurait-elle ajouté un fochier dans le module "mod_stats" standard ?), vire les.
    Change ton mot de passe FTP et teste le site avec aeSecure Quickscan, il y a peut-être d'autres fichiers indésirables ailleurs que le scan de ton hébergeur n'a pas repérés.
    Vérifie aussi que toutes tes extensions sont bien à jour.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr hébergés chez PHPNET - sites perso chez PlanetHoster + sites gérés chez 1and1 et OVH

    Commentaire


    • #3
      Bonjour felichon

      vérifie ton site avec https://www.aesecure.com/blog/aesecure-quickscan.html
      Cordialement, Bruno28
      Joomla! 3.9.12 - php 7.3 - www.bp2i.fr

      Commentaire


      • #4
        Bonjour,

        C'est le code de malware encodé en base 64 deux fois pour eviter de se faire repérer par les antivirus.
        Perso, mon système à réagi au code, collé ici dans cette discussion.

        felichon Si tu veux vraiment voir le code pour infos, il te suffit de copier le code affiché en rouge puis de le coller dans un outil comme https://www.base64decode.org/
        comme il est encodé 2 fois, il faut selectionner le résultat et utiliser à nouveau la fonction "decode".
        Je me suis permis de supprimer une partie des lignes publiées pour éviter que le forum soit considéré comme piraté (il faut eviter de coller tout le code dans une discussion).





        Le trojan trouvé est de type downloader. C'est un type de code malveillant qui a la capacité de télécharger d'autres fichiers malveillants ou une version mise à jour de lui-même.

        Il te reste désormais à nettoyer ton site, trouver l'origine du hack. Vérifie les logs notamment à la date de création du fichier stat13c.php par exemple.
        On peut retrouver parfois l'injection de code (XSS) dans la liste des pages visitées ou d'une serie de connexion ( plusieurs tentatives de login/mot de passe, y compris en FTP)...

        Je te conseille de prendre le temps de sécuriser ton site et de faire ta propre checklist pour ne rien oublier.

        Bon courage,

        Yann
        Dernière édition par daneel à 22/07/2019, 11h44
        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #5
          Bonjour

          J'ai supprimé le code php du message initial; il n'y a aucun doute sur le caractère viral des fichiers.

          Un script php dans un dossier /media est en principe hyper suspect. "/media" est prévu pour des médias, pas du code. Quelques auteurs oublient parfois les bonnes pratiques mais ... si tu vois un fichier .php dans un dossier /images, /js, /css, /media, ... alerte rouge.

          Même chose quand le code du fichier est illisible : excepté quelques auteurs qui cryptent leur code (Phoca p.ex. pour leurs copyrights), un code crypté est hautement suspect.

          Sauf erreur, mon outil aeSecure QuickScan devrait repérer ces fichiers-là.

          Bonne journée
          Christophe (cavo789)
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            Merci les gars de votre retour,

            je me doutais aussi que c'est pas normal du tout...

            J'ai sur le site l'extension "Coala Web Trafic" c'est le seul qui utilise les statistiques, tout le reste du site est d'origine a joomla!, en plus il est pas possible ni de s’inscrire ni de publier de commentaire, du coup je me demande comment ça a pu atterrir sur mon site.

            J'ai la dernière version de joomla! tout y est a jour, j'y veille.

            En fait c'est un site que j'ai fait pour un amis écrivain spécialisé dans les fortifications des guerres passé, il a écrit pleins de livres et articles.

            Vous pouvez y jeter un œil et éventuellement scanner le site pour voir si vous trouvez autre chose ?

            De mon coté je vais virer les fichiers incriminé.

            J'ai fait également un scann du site en local (copie de sauvegarde) avec AeSecure (version gratuite) il n'a pas réagit.

            Je me méfie aussi de l'extension Coala Web trafic car il signale beaucoup trop de robot a mon gout c'est étrange.

            http://www.atlantik-wahl.com

            Commentaire


            • #7
              Hello,

              Je viens de virer les 2 fichiers incriminées, j'ai aussi changé le mot de passe FTP par un très compliqué.

              J'ai parcouru le plus de fichiers possible sans rien trouvé, comment être vraiment sur qu'il n'y a pas d'autres choses peu ragoutantes ?

              Pas facile, Joomla! a des milliers de fichiers...

              Commentaire


              • #8
                Teste ton site avec sitecheck.sucuri.net, puis avec aesecurequickscan, pour voir s'il y a des fichiers reconnus comme anormaux.
                Dernière édition par RobertG à 22/07/2019, 14h32
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr hébergés chez PHPNET - sites perso chez PlanetHoster + sites gérés chez 1and1 et OVH

                Commentaire


                • #9
                  Merci, pour sitecheck.sucuri.net c'est ok.

                  J'arrive pas a trouver en revanche un lien de téléchargement valide pour aesecure quiqscan.

                  J'ai bien ça, j'ai même créé un compte https://www.aesecure.com/logiciel/telecharger.html mais c'est le programme complet de protection et non de scan sauf erreur de ma part.

                  Pour quiqscan sur le site officiel j'ai ça https://www.aesecure.com/downloads/a..._quickscan.zip (erreur 404)

                  Commentaire


                  • #10
                    https://github.com/cavo789/aesecure_quickscan
                    cavo789 likes this.
                    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr hébergés chez PHPNET - sites perso chez PlanetHoster + sites gérés chez 1and1 et OVH

                    Commentaire


                    • #11
                      Ok, merci du lien.

                      Je fais un test en ce moment en local, histoire de voir ce que ça donne, pour le moment j'en suis a l'étape 2 du script analyse en cours, ça risque de prendre un petit moment.

                      Si stable, j’essayerai de voir sur le site en production.

                      En attendant merci de l'aide.

                      J’aimerai quand même savoir comment ce petit malin a pu mettre ses 2 fichiers sur le serveur...

                      Commentaire


                      • #12
                        ... Seule l'analyse approfondie du log des accès te permettra de trouver.

                        Sur mon github tu trouveras un outil d'analyse de logs, il te sera très utile pour cette recherche (voir aussi mon site www.avonture.be où tous les outils sont répertoriés)
                        felichon likes this.
                        Christophe (cavo789)
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                        Mes logiciels OpenSource : https://www.avonture.be

                        Commentaire


                        • #13
                          Salut Cavo, bravo pour ton taf.

                          L'ennuie c'est que j'ai effacé les log, je les ai plus...

                          Je suis limité sur le serveur en time out, erreur 504 je suis donc passé en mode expert et j'analyse dossier par dossier, il me trouve pas mal d'erreur ou de truc louche, plus de 205 ! (Comme la voiture Peugeot haha)

                          le hic est-ce des faux positif ?

                          Voici quelques captures, ça va de JCE à Ackebabacup, Admin tool pourtant des extension irréprochables normalement...

                          Qu'en penser ?

                          Cliquez sur l'image pour l'afficher en taille normale  Nom : capture_001_22072019_192307.jpg* Affichages : 0* Taille : 37,4 Ko* ID : 2003551

                          Cliquez sur l'image pour l'afficher en taille normale  Nom : capture_003_22072019_192437.jpg* Affichages : 0* Taille : 44,1 Ko* ID : 2003553
                          Fichiers joints

                          Commentaire


                          • #14
                            Je suis allé voir ton site Cavo, purée, c'est toi qui a programmé tout ça ! ?????

                            https://www.avonture.be

                            Si oui, tu mériterai une médaille, puis une statut en place public + légion d'honneur !

                            Bravo, t'es un champion, respect
                            Dernière édition par felichon à 22/07/2019, 18h48

                            Commentaire


                            • #15
                              Tes trois images sont safe. Faux positifs.

                              >des extension irréprochables normalement...
                              Rien à voir avec la qualité de l'extension; les virus vérolent sans se préoccuper de qui est l'auteur du code ;-)

                              Merci, oui, quelques-uns de mes outils de ces dernières années. D'autres sont privés ou encore non publiés.
                              Dernière édition par cavo789 à 22/07/2019, 21h14
                              Christophe (cavo789)
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                              Mes logiciels OpenSource : https://www.avonture.be

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X