Malware? index.html.bak.bak... Aux secours!

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Malware? index.html.bak.bak... Aux secours!

    Bonjour à tous,
    je viens vers vous remplie de désespoir...
    Si le sujet a été traité précédemment, je n'ai pas réussi à le trouver... veuillez, s'il vous plait m'en excuser d'avance.
    Merci.

    J'écris tout en vrac en essayant d'être la plus complète possible...
    j'ai une page d'accueil qui mène vers le dossier dans lequel il y a le site proprement dit.

    Depuis quelques temps,l' "index.html" de la page d'accueil se modifie en "index.html.bak.bak" et un "index.php" est créé menant vers un fichier ".ico" (dans le dossier du site complet)...
    En réalité, visuellement, ça remplace "juste" les caractères un peu spéciaux (avec accents,...) en points d'interrogation de l'accueil.

    Voilà un certain temps que je cherche, je lis, je fouille...
    J'ai trouvé quelques fichiers malveillants, j'ai tenté de nettoyer, mais le souci revient sans arrêt.

    j'ai réussi à ce que le cadenas dans la barre d'adresse de firefox ne soit plus barré en rouge comme il l'était pour le site mais pas pour la page d'accueil.

    J'ai lu quelque part que ce malware pourrait venir du pc de mon client qui est sous Linux Mint. Est-ce réellement possible?
    bref !
    Je crois que cette problématique atteint les limites de mes connaissances.

    J'ai carrément l'impression que cette vérole embête aussi mon ordi (windows 10). Ma souri se bloque de façon régulière et le "scroll" ne fonctionne plus, depuis que je suis occupée là dessus... Bon, ça, on verra !

    Auriez-vous, s'il vous plait, une technique/mode d'emploi pour m'aider? Que dois-je faire?
    Je me sens dépassée. J'ai surement loupé mille trucs...


    J'ai une sauvegarde d'il y a quelques mois. je crois qu'à ce moment là, le problème n'existait pas.

    Merci pour votre aide précieuse qui, j'en suis sure, me permettra de redormir à nouveau.

    Dernière édition par Francepoup à 02/12/2019, 11h22
    Le FOUDI est un FOU, tenez vous le pour DIt !!

  • #2
    Bonjour,

    Manifestement, le site est vérolé. Est-il mis à jour régulièrement, Joomla! ET extensions ? Les accès à l'administration et aux fichiers par ftp sont-ils bien protégés ?
    Tu as très probablement sur le serveur un script lancé régulièrement qui fait ces modifications. Utilise aeSecure Quickscan pour un premier test afin d'essayer de le débusquer et voir quels fichiers sont touchés.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

    Commentaire


    • #3
      Bonjour,

      J'ai essayé de résumer la procédure dans un message hier : https://forum.joomla.fr/forum/joomla...-site-*****#11

      Pascal
      If anything can go wrong, it will...
      If I can help, I will ..https://conseilgouz.com

      JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

      Commentaire


      • #4
        Merci !
        Alors, oui, le site est mis à jour régulièrement ainsi que les extensions. Sauf AllEvents qui n'est plus mis à jour... bon, depuis, j'ai trouvé un autre agenda.
        Pour ce qui est d'aesecure quickscan, je l'ai lancé et c'est comme ça que j'ai trouvé certains fichiers que j'ai supprimés.

        mon admin contient 2 administrateurs avec chacun un mot de passe.
        Comment sécuriser ça mieux?
        Pour les fichiers par FTP, j'imagine qu'on parle des droits d'accès,... j'ai tenté de modifier certains trucs en 644 ou 604 au lieu de 755, mais alors le site ne s'affiche plus... oui, bon, j'avoue être un peu perdue quant à savoir quel dossier peut ne pas être modifiable,...

        @Pascal, je ne sais pas où regarder pour ton post... le lien mène dans la liste générale.


        J'ai passé une partie de la nuit à nettoyer mon ordi avec différents programmes ainsi que restaurer une sauvegarde pour le site...
        Aujourd'hui, il faut croire que le problème n'est pas revenu.

        Je touche du bois.

        Merci pour votre aide et votre attention, en tous cas...

        Kawawachikamach aime ceci.
        Le FOUDI est un FOU, tenez vous le pour DIt !!

        Commentaire


        • #5
          Effectivement, le lien a été un peu tronqué car il contient un mot interdit.(c'est un message d'hier de killer)

          Donc, ci-après une copie :

          La procédure de nettoyage peut être un peu longue, mais, en cas de doute, c'est nécessaire.

          1. akeebabackup de votre site
          2. monter un plate-forme en local avec uwamp ou wampserver
          3. kickstart d'akeeba pour restaurer votre environnement
          4. après restauration, ne rien lancer sur votre PC, sauf antivirus PC qui va certainement vous trouvez quelques trucs...
          5. un coup d'AESecure quickscan https://www.aesecure.com/blog/aesecure-quickscan.html qui donnera quelques faux positifs (souvent le cas avec akeeba backup)
          6. installer un environnement Joomla vierge avec uniquement vos extensions neuves
          7. comparaison par WinMerge de votre environnement et de l'environnement "clean"

          vous devriez avoir quelques fichiers .html qui n'ont rien à faire là, ainsi que quelques fichiers php à supprimer. Vérifier bien le répertoire images qui ne doit contenir que des fichiers d'images.

          Une fois que c'est fait,
          - sauvegarde de votre environnement désormais propre avec akeeba
          - suppression de tout le contenu chez votre hébergeur
          - changement des mots de passe (base de données, administrateur, hébergeur, ...)
          - restauration de votre sauvegarde avec kickstart

          et voilà....

          Après, quelques outils tels qu'AESecure peuvent permettre de bloquer les intrus et, surtout, suivez bien les mises à jour des Joomla et de vos extensions (que vous ne récupérez pas n'importe où, naturellement).

          Pascal
          If anything can go wrong, it will...
          If I can help, I will ..https://conseilgouz.com

          JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

          Commentaire


          • #6
            Personnellement, j'ai souvent tendance à créer un site vierge et y importer les données du site piraté.
            Le problème est la quantité d'extensions complémentaires à réinstaller après avoir copié leurs tables dans la nouvelle base ou avec un autre préfixe si la même base doit être utilisée. Le faire en local peut simplifier les choses.
            J'aime utiliser JMigrator ou SP Transfer pour ces manipulations, qui permettent d'obtenir un vrai clone conservant les ID et donc les adresses. Je fais toujours la copie des tables des extensions avant de les réinstaller.
            Le point délicat est le transfert des images où peuvent se cacher des fichiers malveillants, idem s'il faut récupérer des documents hébergés sur le site.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

            Commentaire


            • #7
              Merci !! je vais tâcher de procéder... je vous tiens au courant.
              Grand MERCI !!

              pmleconte , quand vous dites "suppression de tout le contenu chez votre hébergeur", ça signifie supprimer les infos de la base de donnée? et/ou la base elle même ?

              Merci

              Edit : Je procède, je procède... j'en suis à "utiliser AeSecure Quickscan"... il y aurait "55 déjà identifiés comme virus". Ok. comment savoir ce qui est juste ou mauvais? Avec WinMerge, j'imagine...
              Auriez-vous plus d'infos quant à la manière de procéder ? J'ai peur parce que ça semble super fastidieux. il y a beaucoup de choses différentes qui apparaissent...
              Je me sens dépassée.

              auriez-vous l'une ou l'autre piste?
              Merci beaucoup !

              et, est-ce que c'est normal d'avoir dans beaucoup de répertoires un fichier html avec "<!DOCTYPE html><title></title>" et c'est tout ?? ça me semble très étrange... mais il y en a vraiment bcp qui se retrouve dans le dossier de mon site verolé restitué en local et non sur le nouveau site local avec aucune données sauf les quelques extensions rénistallées.

              Merci
              Dernière édition par Francepoup à 27/11/2019, 18h03
              Le FOUDI est un FOU, tenez vous le pour DIt !!

              Commentaire


              • #8
                Bonsoir,

                Il faut partir du principe que votre environnement est compromis, aussi bien au niveau des fichiers que de la base de données. Un hackeur va d'abord installer un petit fichier qui vous pompera tous vos mots de passe. Ensuite, il jouera avec tout ce qu'il trouve. Donc, grand nettoyage à prévoir.

                Au niveau de Quickscan, comme signalé, il y a des faux positifs. Généralement, on reconnait beaucoup de vrais positifs car les fichiers commencent ou se terminent par du code incompréhensible. Pour les autres, c'est là que Winmerge peut servir. WinMerge permettra aussi de trouver les fichiers en trop (qui sont certainement des virus).

                Pour les fichiers index.html, ils sont là par sécurité: si quelqu'un cherche à accéder à un répertoire contenant un fichier index.html de ce type, il obtient une page blanche.

                Sur mon PC, avant de lancer Winmerge, je commence par supprimer ces fichiers index.html. Il doit y en avoir 1 par répertoire, donc, dans une installation standard Joomla, cela représente un peu plus de 2.000 répertoires, donc, environ 2.000 fichiers index.html.

                Pascal
                Dernière édition par pmleconte à 29/11/2019, 18h04
                If anything can go wrong, it will...
                If I can help, I will ..https://conseilgouz.com

                JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

                Commentaire


                • #9
                  Envoyé par Francepoup Voir le message
                  et, est-ce que c'est normal d'avoir dans beaucoup de répertoires un fichier html avec "<!DOCTYPE html><title></title>" et c'est tout ?? ça me semble très étrange... mais il y en a vraiment bcp qui se retrouve dans le dossier de mon site verolé restitué en local et non sur le nouveau site local avec aucune données sauf les quelques extensions rénistallées.
                  Oui, c'est normal.
                  Comme l'explique Pascal, ces fichiers index avec un contenu quasi vide, sont là pour empêcher de voir le contenu d'un répertoire sur le serveur (listing directory), puisque ce fichier index est le fichier qui sera appelé par défaut quand on essaie d'accéder à un répertoire.

                  Cela dit, on peut généralement sur un serveur paramétrer la règle d'accès à un répertoire, par exemple en interdisant de lire son contenu en l'absence d'un fichier d'index (qui pourrait d'ailleurs s'appeler default, ou quoique ce soit d'autre selon la config choisi par l'administrateur du serveur... mais bon, aujourd'hui index est la norme).

                  Certaines extensions dédiées à la sécurité d'un site sous Joomla peuvent également aider à configurer un tel blocage.
                  AdminTools est ce ceux-là, AESecure aussi, si je me souviens bien (Christophe pourra confirmer).

                  Dol.
                  Dernière édition par dolmenhir à 29/11/2019, 20h55
                  Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.
                  Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                  Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                  Commentaire


                  • #10
                    Bonsoir

                    En effet aeSecure permet cette protection nativement en interdisant le listing du contenu d'un dossier. Pas de paramétrage à faire, c'est natif.

                    Bonne soirée.
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                    Commentaire


                    • #11
                      Hello Tous,
                      Alors voilà. Je crois avoir résolu le souci...
                      J'ai réinstallé en local 3 sites : une sauvegarde récente, une sauvegarde du mois de juin et une version de Joomla toute propre avec seulement les extensions utilisées. J'ai utilisé WinMerge comme conseillé. En comparant les, je me suis rendue compte que la version de juin était déjà impactée par ce virus mais de façon moindre. J'ai effacé de la dernière version du site ce qui ne se trouvait pas en commun du Joomla tout propre. J'ai utilisé aussi AeSecure Quickscan. Après cela, j'ai vidé complètement la base de donnée chez l'hébergeur, j'ai changé le mot de passe et grâce à Akeeba, j'ai évidemment réinstallé cette nouvelle "dernière version" du site en ligne. J'ai installé AeSecure et je crois avoir protégé le tout, du coup.
                      Précédemment, quand je tentais de nettoyer en surface, après 3 jours, le problème revenait. Là, ça fait plus de 5 jours et ce n'est toujours pas revenu. Je pense que le souci est résolu.

                      Merci pour votre aide !

                      Je croise les doigts en espérant n'avoir rien raté et que ça tienne bon.

                      Je vous souhaite une agréable journée !
                      Le FOUDI est un FOU, tenez vous le pour DIt !!

                      Commentaire


                      • #12
                        Merci pour ce retour et cela fait toujours du bien de savoir qu'une procédure aussi complexe fonctionne et permette de se débarrasser des "indélicats".

                        Pour info, personnellement, j'ai gardé ma copie supposée propre et je viens périodiquement la comparer avec une copie plus récente pour traquer les intrus (au début, le lendemain, la semaine d'après, puis une fois par mois sur plusieurs mois). C'est un peu contraignant, mais, comme nous ne vivons pas dans le monde de bisounours, c'est malheureusement nécessaire.

                        Bonne continuation,

                        Pascal
                        If anything can go wrong, it will...
                        If I can help, I will ..https://conseilgouz.com

                        JoomlaDays, 2 et 3 Octobre. Plus d'infos sur https://www.joomladay.fr

                        Commentaire


                        • #13
                          Envoyé par pmleconte Voir le message
                          Merci pour ce retour et cela fait toujours du bien de savoir qu'une procédure aussi complexe fonctionne et permette de se débarrasser des "indélicats".

                          Pour info, personnellement, j'ai gardé ma copie supposée propre et je viens périodiquement la comparer avec une copie plus récente pour traquer les intrus (au début, le lendemain, la semaine d'après, puis une fois par mois sur plusieurs mois). C'est un peu contraignant, mais, comme nous ne vivons pas dans le monde de bisounours, c'est malheureusement nécessaire.

                          Bonne continuation,

                          Pascal
                          Merci !
                          Je pensais bien le refaire le mois prochain pour être certaine. Merci beaucoup.
                          Belle continuation...
                          Le FOUDI est un FOU, tenez vous le pour DIt !!

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X