Malware? index.html.bak.bak... Aux secours!

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Malware? index.html.bak.bak... Aux secours!

    Bonjour à tous,
    je viens vers vous remplie de désespoir...
    Si le sujet a été traité précédemment, je n'ai pas réussi à le trouver... veuillez, s'il vous plait m'en excuser d'avance.
    Merci.

    J'écris tout en vrac en essayant d'être la plus complète possible...
    j'ai une page d'accueil qui mène vers le dossier dans lequel il y a le site proprement dit.

    Depuis quelques temps,l' "index.html" de la page d'accueil se modifie en "index.html.bak.bak" et un "index.php" est créé menant vers un fichier ".ico" (dans le dossier du site complet)...
    En réalité, visuellement, ça remplace "juste" les caractères un peu spéciaux (avec accents,...) en points d'interrogation de l'accueil.

    Voilà un certain temps que je cherche, je lis, je fouille...
    J'ai trouvé quelques fichiers malveillants, j'ai tenté de nettoyer, mais le souci revient sans arrêt.

    j'ai réussi à ce que le cadenas dans la barre d'adresse de firefox ne soit plus barré en rouge comme il l'était pour le site mais pas pour la page d'accueil.

    J'ai lu quelque part que ce malware pourrait venir du pc de mon client qui est sous Linux Mint. Est-ce réellement possible?
    bref !
    Je crois que cette problématique atteint les limites de mes connaissances.

    J'ai carrément l'impression que cette vérole embête aussi mon ordi (windows 10). Ma souri se bloque de façon régulière et le "scroll" ne fonctionne plus, depuis que je suis occupée là dessus... Bon, ça, on verra !

    Auriez-vous, s'il vous plait, une technique/mode d'emploi pour m'aider? Que dois-je faire?
    Je me sens dépassée. J'ai surement loupé mille trucs...


    J'ai une sauvegarde d'il y a quelques mois. je crois qu'à ce moment là, le problème n'existait pas.

    Merci pour votre aide précieuse qui, j'en suis sure, me permettra de redormir à nouveau.

    Dernière édition par Francepoup à 02/12/2019, 11h22
    Le FOUDI est un FOU, tenez vous le pour DIt !!

  • #2
    Bonjour,

    Manifestement, le site est vérolé. Est-il mis à jour régulièrement, Joomla! ET extensions ? Les accès à l'administration et aux fichiers par ftp sont-ils bien protégés ?
    Tu as très probablement sur le serveur un script lancé régulièrement qui fait ces modifications. Utilise aeSecure Quickscan pour un premier test afin d'essayer de le débusquer et voir quels fichiers sont touchés.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Bonjour,

      J'ai essayé de résumer la procédure dans un message hier : https://forum.joomla.fr/forum/joomla...-site-*****#11

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Merci !
        Alors, oui, le site est mis à jour régulièrement ainsi que les extensions. Sauf AllEvents qui n'est plus mis à jour... bon, depuis, j'ai trouvé un autre agenda.
        Pour ce qui est d'aesecure quickscan, je l'ai lancé et c'est comme ça que j'ai trouvé certains fichiers que j'ai supprimés.

        mon admin contient 2 administrateurs avec chacun un mot de passe.
        Comment sécuriser ça mieux?
        Pour les fichiers par FTP, j'imagine qu'on parle des droits d'accès,... j'ai tenté de modifier certains trucs en 644 ou 604 au lieu de 755, mais alors le site ne s'affiche plus... oui, bon, j'avoue être un peu perdue quant à savoir quel dossier peut ne pas être modifiable,...

        @Pascal, je ne sais pas où regarder pour ton post... le lien mène dans la liste générale.


        J'ai passé une partie de la nuit à nettoyer mon ordi avec différents programmes ainsi que restaurer une sauvegarde pour le site...
        Aujourd'hui, il faut croire que le problème n'est pas revenu.

        Je touche du bois.

        Merci pour votre aide et votre attention, en tous cas...

        Kawawachikamach aime ceci.
        Le FOUDI est un FOU, tenez vous le pour DIt !!

        Commentaire


        • #5
          Effectivement, le lien a été un peu tronqué car il contient un mot interdit.(c'est un message d'hier de killer)

          Donc, ci-après une copie :

          La procédure de nettoyage peut être un peu longue, mais, en cas de doute, c'est nécessaire.

          1. akeebabackup de votre site
          2. monter un plate-forme en local avec uwamp ou wampserver
          3. kickstart d'akeeba pour restaurer votre environnement
          4. après restauration, ne rien lancer sur votre PC, sauf antivirus PC qui va certainement vous trouvez quelques trucs...
          5. un coup d'AESecure quickscan https://www.aesecure.com/blog/aesecure-quickscan.html qui donnera quelques faux positifs (souvent le cas avec akeeba backup)
          6. installer un environnement Joomla vierge avec uniquement vos extensions neuves
          7. comparaison par WinMerge de votre environnement et de l'environnement "clean"

          vous devriez avoir quelques fichiers .html qui n'ont rien à faire là, ainsi que quelques fichiers php à supprimer. Vérifier bien le répertoire images qui ne doit contenir que des fichiers d'images.

          Une fois que c'est fait,
          - sauvegarde de votre environnement désormais propre avec akeeba
          - suppression de tout le contenu chez votre hébergeur
          - changement des mots de passe (base de données, administrateur, hébergeur, ...)
          - restauration de votre sauvegarde avec kickstart

          et voilà....

          Après, quelques outils tels qu'AESecure peuvent permettre de bloquer les intrus et, surtout, suivez bien les mises à jour des Joomla et de vos extensions (que vous ne récupérez pas n'importe où, naturellement).

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #6
            Personnellement, j'ai souvent tendance à créer un site vierge et y importer les données du site piraté.
            Le problème est la quantité d'extensions complémentaires à réinstaller après avoir copié leurs tables dans la nouvelle base ou avec un autre préfixe si la même base doit être utilisée. Le faire en local peut simplifier les choses.
            J'aime utiliser JMigrator ou SP Transfer pour ces manipulations, qui permettent d'obtenir un vrai clone conservant les ID et donc les adresses. Je fais toujours la copie des tables des extensions avant de les réinstaller.
            Le point délicat est le transfert des images où peuvent se cacher des fichiers malveillants, idem s'il faut récupérer des documents hébergés sur le site.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

            Commentaire


            • #7
              Merci !! je vais tâcher de procéder... je vous tiens au courant.
              Grand MERCI !!

              pmleconte , quand vous dites "suppression de tout le contenu chez votre hébergeur", ça signifie supprimer les infos de la base de donnée? et/ou la base elle même ?

              Merci

              Edit : Je procède, je procède... j'en suis à "utiliser AeSecure Quickscan"... il y aurait "55 déjà identifiés comme virus". Ok. comment savoir ce qui est juste ou mauvais? Avec WinMerge, j'imagine...
              Auriez-vous plus d'infos quant à la manière de procéder ? J'ai peur parce que ça semble super fastidieux. il y a beaucoup de choses différentes qui apparaissent...
              Je me sens dépassée.

              auriez-vous l'une ou l'autre piste?
              Merci beaucoup !

              et, est-ce que c'est normal d'avoir dans beaucoup de répertoires un fichier html avec "<!DOCTYPE html><title></title>" et c'est tout ?? ça me semble très étrange... mais il y en a vraiment bcp qui se retrouve dans le dossier de mon site verolé restitué en local et non sur le nouveau site local avec aucune données sauf les quelques extensions rénistallées.

              Merci
              Dernière édition par Francepoup à 27/11/2019, 18h03
              Le FOUDI est un FOU, tenez vous le pour DIt !!

              Commentaire


              • #8
                Bonsoir,

                Il faut partir du principe que votre environnement est compromis, aussi bien au niveau des fichiers que de la base de données. Un hackeur va d'abord installer un petit fichier qui vous pompera tous vos mots de passe. Ensuite, il jouera avec tout ce qu'il trouve. Donc, grand nettoyage à prévoir.

                Au niveau de Quickscan, comme signalé, il y a des faux positifs. Généralement, on reconnait beaucoup de vrais positifs car les fichiers commencent ou se terminent par du code incompréhensible. Pour les autres, c'est là que Winmerge peut servir. WinMerge permettra aussi de trouver les fichiers en trop (qui sont certainement des virus).

                Pour les fichiers index.html, ils sont là par sécurité: si quelqu'un cherche à accéder à un répertoire contenant un fichier index.html de ce type, il obtient une page blanche.

                Sur mon PC, avant de lancer Winmerge, je commence par supprimer ces fichiers index.html. Il doit y en avoir 1 par répertoire, donc, dans une installation standard Joomla, cela représente un peu plus de 2.000 répertoires, donc, environ 2.000 fichiers index.html.

                Pascal
                Dernière édition par pmleconte à 29/11/2019, 18h04
                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                Commentaire


                • #9
                  Envoyé par Francepoup Voir le message
                  et, est-ce que c'est normal d'avoir dans beaucoup de répertoires un fichier html avec "<!DOCTYPE html><title></title>" et c'est tout ?? ça me semble très étrange... mais il y en a vraiment bcp qui se retrouve dans le dossier de mon site verolé restitué en local et non sur le nouveau site local avec aucune données sauf les quelques extensions rénistallées.
                  Oui, c'est normal.
                  Comme l'explique Pascal, ces fichiers index avec un contenu quasi vide, sont là pour empêcher de voir le contenu d'un répertoire sur le serveur (listing directory), puisque ce fichier index est le fichier qui sera appelé par défaut quand on essaie d'accéder à un répertoire.

                  Cela dit, on peut généralement sur un serveur paramétrer la règle d'accès à un répertoire, par exemple en interdisant de lire son contenu en l'absence d'un fichier d'index (qui pourrait d'ailleurs s'appeler default, ou quoique ce soit d'autre selon la config choisi par l'administrateur du serveur... mais bon, aujourd'hui index est la norme).

                  Certaines extensions dédiées à la sécurité d'un site sous Joomla peuvent également aider à configurer un tel blocage.
                  AdminTools est ce ceux-là, AESecure aussi, si je me souviens bien (Christophe pourra confirmer).

                  Dol.
                  Dernière édition par dolmenhir à 29/11/2019, 20h55
                  Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                  Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                  Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                  Commentaire


                  • #10
                    Bonsoir

                    En effet aeSecure permet cette protection nativement en interdisant le listing du contenu d'un dossier. Pas de paramétrage à faire, c'est natif.

                    Bonne soirée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Hello Tous,
                      Alors voilà. Je crois avoir résolu le souci...
                      J'ai réinstallé en local 3 sites : une sauvegarde récente, une sauvegarde du mois de juin et une version de Joomla toute propre avec seulement les extensions utilisées. J'ai utilisé WinMerge comme conseillé. En comparant les, je me suis rendue compte que la version de juin était déjà impactée par ce virus mais de façon moindre. J'ai effacé de la dernière version du site ce qui ne se trouvait pas en commun du Joomla tout propre. J'ai utilisé aussi AeSecure Quickscan. Après cela, j'ai vidé complètement la base de donnée chez l'hébergeur, j'ai changé le mot de passe et grâce à Akeeba, j'ai évidemment réinstallé cette nouvelle "dernière version" du site en ligne. J'ai installé AeSecure et je crois avoir protégé le tout, du coup.
                      Précédemment, quand je tentais de nettoyer en surface, après 3 jours, le problème revenait. Là, ça fait plus de 5 jours et ce n'est toujours pas revenu. Je pense que le souci est résolu.

                      Merci pour votre aide !

                      Je croise les doigts en espérant n'avoir rien raté et que ça tienne bon.

                      Je vous souhaite une agréable journée !
                      Le FOUDI est un FOU, tenez vous le pour DIt !!

                      Commentaire


                      • #12
                        Merci pour ce retour et cela fait toujours du bien de savoir qu'une procédure aussi complexe fonctionne et permette de se débarrasser des "indélicats".

                        Pour info, personnellement, j'ai gardé ma copie supposée propre et je viens périodiquement la comparer avec une copie plus récente pour traquer les intrus (au début, le lendemain, la semaine d'après, puis une fois par mois sur plusieurs mois). C'est un peu contraignant, mais, comme nous ne vivons pas dans le monde de bisounours, c'est malheureusement nécessaire.

                        Bonne continuation,

                        Pascal
                        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                        Commentaire


                        • #13
                          Envoyé par pmleconte Voir le message
                          Merci pour ce retour et cela fait toujours du bien de savoir qu'une procédure aussi complexe fonctionne et permette de se débarrasser des "indélicats".

                          Pour info, personnellement, j'ai gardé ma copie supposée propre et je viens périodiquement la comparer avec une copie plus récente pour traquer les intrus (au début, le lendemain, la semaine d'après, puis une fois par mois sur plusieurs mois). C'est un peu contraignant, mais, comme nous ne vivons pas dans le monde de bisounours, c'est malheureusement nécessaire.

                          Bonne continuation,

                          Pascal
                          Merci !
                          Je pensais bien le refaire le mois prochain pour être certaine. Merci beaucoup.
                          Belle continuation...
                          Le FOUDI est un FOU, tenez vous le pour DIt !!

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X