URL phishing

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • URL phishing

    Bonjour,

    je lis mes messages d'erreur sur la search console de google, et il me déclare un url que je ne possède pas.
    J'essaye de l'ouvrir dans mon navigateur et de suite j'ai un message d'alerte de mon antivirus parlant de phishing.
    Je ne trouve pas où est cette adresse pour la supprimer http://www.andeo.be/got.php

    De plus cette url est en http, alors que normalement tout le site est redirigé vers le https
    Quelqu'un aurait une idée

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Sans titre-2.jpg 
Affichages : 94 
Taille : 78,0 Ko 
ID : 2005835
    Fichiers joints
    Quelques liens de mon univers professionnel
    www.andeo.be
    www.websseo.be
    www.stop-humidite.pro

  • #2
    Got.php serait à la racine de ton site tu ne vois pas le fichier ?
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Hello cavo789
      désolé pour ma réponse tardive, je n'ai pas vu ton message.
      Quand tu dis à la racine, tu parles via ftp ?
      Quelques liens de mon univers professionnel
      www.andeo.be
      www.websseo.be
      www.stop-humidite.pro

      Commentaire


      • #4
        Bonjour,

        Sur la racine d'un site Joomla, il doit y avoir :
        .htaccess
        configuration.php
        index.php
        robots.txt
        php.ini (éventuellement)

        Le reste est supposé suspect, donc à vérifier avec un bon antivirus.

        Généralement, les virus essaient de s'installer sur la racine, mais peuvent être un peu partout.

        Donc, oui, il faut regarder par FTP.

        Pascal
        Dernière édition par pmleconte à 06/09/2019, 11h27
        If anything can go wrong, it will...
        If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Bonjour Pascal,

          voici ce que j'ai sur la racine en pièce jointe.
          Je ne vois pas de got.php à la racine
          Tu parles d'antivirus, sur le ftp ?
          Quelques liens de mon univers professionnel
          www.andeo.be
          www.websseo.be
          www.stop-humidite.pro

          Commentaire


          • #6
            Je ne vois pas la pièce jointe.

            En général, je rapatrie la sauvegarde du site sur un PC en local et je fais mes recherches de virus à ce niveau : antivirus normal (même windows defender en trouve), puis avec quickscan (https://www.aesecure.com/blog/aesecure-quickscan.html).

            Après, en cas de gros doute, je recharge une version clean Joomla identique à celle en ligne. J'y remets les extensions que j'ai chargé à partir du site officiel qui me les a fournies et je fais une comparaison à la main ou presque (WinMerge https://winmerge.org/) pour voir les différences.

            Il existe aussi d'autres solutions telles que myjoomla https://myjoomla.guru/ qui propose une recherche gratuite.

            Pascal
            Jeff71 likes this.
            If anything can go wrong, it will...
            If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              J'ai oublié la pièce jointe.
              Là je fais dossier par dossier via ftp pour trouver le got.php , puré ça va me prendre la journée.
              Fichiers joints
              Quelques liens de mon univers professionnel
              www.andeo.be
              www.websseo.be
              www.stop-humidite.pro

              Commentaire


              • #8
                Bonjour,

                Deux choses :
                1. Sucuri ne trouve rien d'anormal,
                2. L'ouverture de "got.php", en passant outre le blocage par BitDefender, affiche une page où on n'a que "Error".
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr hébergés chez PHPNET - sites perso chez PlanetHoster + sites gérés chez 1and1 et OVH

                Commentaire


                • #9
                  Merci RobertG pour ton retour.
                  Est-ce que je peux comprendre que je ne dois pas m'embêter avec ceci et ne rien faire ?
                  C'est surtout que google m'annonce une page bloquée et voudrai pas que ça me fasse des pénalités sur google
                  Quelques liens de mon univers professionnel
                  www.andeo.be
                  www.websseo.be
                  www.stop-humidite.pro

                  Commentaire


                  • #10
                    Bonjour

                    As-tu trouvé ce fichier got.php à la racine de ton site ? Si oui : ce fichier n'a rien à faire là ==> il y a plus qu'une présomption d'un site ayant été hacké.

                    Dire "je ne dois pas m'en soucier" c'est comme si tu rentres chez toi et que tu as été cambriolé et les mecs sont parti. Faut-il s'en soucier ? Ben ... oui.

                    Parce que même s'ils n'ont rien volé, ils ont réussi à rentrer => il y a un souci au niveau de la sécurité.

                    En outre, chez toi, ils sont rentrés mais ils ont déposé ce fameux got.php à la racine (et quoi d'autres ailleurs ?)

                    Du coup, analyser le site, le nettoyer et le sécuriser doivent être des actions à ajouter en haut de ta liste des tâches à faire.

                    Bonne journée.
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Commentaire


                    • #11
                      Petite remarque : sucuri https://sitecheck.sucuri.net fait un 1er niveau de contrôle, mais, ne détecte pas les fichiers php intrus, ni les php plein de virus (expérience vécue récemment).

                      J'ai bien précisé "en cas de doute".

                      Au passage, je n'aime pas trop sur votre site les liens cachés (couleur identique au fond et partant sur http au lieu d'https) qui, en général, ne sont pas très bons pour le référencement.:

                      Cliquez sur l'image pour l'afficher en taille normale

Nom : DevTools - www.andeo.be 06092019 143016.jpg 
Affichages : 52 
Taille : 34,7 Ko 
ID : 2006128

                      Pascal
                      If anything can go wrong, it will...
                      If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #12
                        Envoyé par reivilo78 Voir le message
                        J'ai oublié la pièce jointe.
                        Là je fais dossier par dossier via ftp pour trouver le got.php , puré ça va me prendre la journée.
                        Pour sauvegarder un site, rien de mieux qu'akeeba backup https://www.akeebabackup.com/product...ba-backup.html avec son outil kickstart pour assurer la restauration en local.

                        remarque: pour restaurer les fichiers uniquement à partir d'une sauvegarde akeeba, vous auriez pu aussi utiliser Akeeba extract wizard. En fait, plus maintenant, wizard a été retiré : https://www.akeebabackup.com/news/17...continued.html

                        Après, avec le gestionnaire de fichiers windows, on trouve rapidement un fichier.

                        Pascal
                        Dernière édition par pmleconte à 06/09/2019, 13h56
                        If anything can go wrong, it will...
                        If I can help, I will ..https://conseilgouz.com

                        Commentaire


                        • #13
                          Envoyé par cavo789 Voir le message
                          Bonjour

                          As-tu trouvé ce fichier got.php à la racine de ton site ? Si oui : ce fichier n'a rien à faire là ==> il y a plus qu'une présomption d'un site ayant été hacké.

                          Dire "je ne dois pas m'en soucier" c'est comme si tu rentres chez toi et que tu as été cambriolé et les mecs sont parti. Faut-il s'en soucier ? Ben ... oui.

                          Parce que même s'ils n'ont rien volé, ils ont réussi à rentrer => il y a un souci au niveau de la sécurité.

                          En outre, chez toi, ils sont rentrés mais ils ont déposé ce fameux got.php à la racine (et quoi d'autres ailleurs ?)

                          Du coup, analyser le site, le nettoyer et le sécuriser doivent être des actions à ajouter en haut de ta liste des tâches à faire.

                          Bonne journée.
                          Non pas trouvé à la racine.
                          Là je regarde dossier par dossier, mais trop long.
                          Existe t-il un système payant qui va me faire gagner du temps ?
                          Quelques liens de mon univers professionnel
                          www.andeo.be
                          www.websseo.be
                          www.stop-humidite.pro

                          Commentaire


                          • #14
                            Il y a environ 2.500 répertoires pour une installation Joomla.

                            Par FTP, on peut chercher un fichier en utilisant la paire de jumelles (icone à droite)


                            Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture plein écran 06092019 150050.jpg 
Affichages : 50 
Taille : 5,8 Ko 
ID : 2006132

                            Pascal

                            If anything can go wrong, it will...
                            If I can help, I will ..https://conseilgouz.com

                            Commentaire


                            • #15
                              Le fichier .htaccess n'aurait-il pas été piraté pour y ajouter une redirection de "got.php" vers autre chose ?

                              Comme Akeeba Extract Wizard n'est plus disponible, lorsqu'on a besoin de faire une telle vérification, il faut faire une sauvegarde en "zip" au lieu de "jpa", elle sera plus facile à extraire en local.
                              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr hébergés chez PHPNET - sites perso chez PlanetHoster + sites gérés chez 1and1 et OVH

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X