fichier index.html présent dans tous les dossiers

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • fichier index.html présent dans tous les dossiers

    Bonjour,
    Je suis entrain de nettoyer un site joomla qui a été piratés plusieurs fois ces dernières années.
    Dans les dossiers type plugins, components ainsi que dans leurs sous dossiers, il y a systématiquement un fichier index.html comportant le code <!DOCTYPE html><title></title>
    Je me pose la question, car par comparaison ces fichiers index ne sont pas présents dans le dernier joomla natif ainsi que d'autres joomla en ligne. Est-ce normal ?

  • #2
    C'est un moyen indirect pour éviter un listing du contenu des dossiers. A conserver donc.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Il y a quelques années, c'était effectivement un moyen d'éviter le listing du contenu d'un dossier, mais c'est une technique devenue obsolète parce qu'il vaut mieux faire cela via le fichier .htacces, ou encore mieux au niveau du serveur. C'est pourquoi les versions récentes de Joomla! ne contiennent plus ces fichiers.
      Maintenant, s'ils sont là, laissez-les. Il y en a plusieurs centaines (milliers ?), donc impossible de les enlever tous à la main.
      Ce dont il faut se méfier par contre, suite à in piratage, c'est la présence de fichiers index.php dans des dossiers qui ne devraient pas en contenir. Ceux-là peuvent contenir des codes dangereux et doivent être supprimés.
      foebb aime ceci.
      Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
      Administrateur certifié Joomla! 3
      https://www.betterweb.fr

      Commentaire


      • #4
        Merci de ces précisions jfque. J'ai fais une recherche dans le site, il y a 28 index.php au total, on enlève celui de la racine...ça fait 27 index.php répartis dans différents sous dossier de plugin ou composants. Ils y en a 18 qui sont vide de contenu. Que dois-je faire? Et d'autre part, comment savoir quels fichiers ne pas supprimer..sur quels critères ?

        Commentaire


        • #5
          Autant que je puisse en juger, en me basant sur un site fonctionnement, les seuls fichiers index.php légitimes sont :
          * celui à la racine du site
          * celui dans le dossier "administrator"
          * ceux dans les dossiers des différents templates (du site et de l'administrations)

          S'il y en a ailleurs, il faut vérifier ce qu'il y a dedans. A priori, un index.php vide est suspect : il attend d'être "rempli" par quelque chose.
          S'il y en a ailleurs dans des dossiers Joomla!, il faut comparer avec une installation "propre" pour voir s'ils y sont aussi présents.
          Si c'est dans un composant tiers, le mieux serait de désinstaller le composant (en sauvegardant au préalable la base de données pour ne pas perdre de données), puis d'installer une version "propre" de ce composant.

          De manière générale, si le site a été piraté à plusieurs reprises et qu'aucun nettoyage sérieux n'a été effectué, le mieux est de "reconstruire" le site en repartant d'une nouvelle installation de Joomla!, réinstaller toutes les extensions, le template (s'il a été modifié, on récupérera ces modifications sur l'ancien site). Après vérification en profondeur du dossier "images" (pas de fichiers .php, pas d'images avec des noms curieux, ...) de l'ancien site, on le placera dans le nouveau en écrasant celui-ci, et enfin on remplacera la nouvelle base de données par l'ancienne pour récupérer tout le contenu.

          Une fois qu'on a vérifié que ce nouveau site fonctionne, on sauvegarde l'ancien (au cas où!), on efface tous les fichiers du serveur et on installe le "nouveau" site.
          foebb aime ceci.
          Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
          Administrateur certifié Joomla! 3
          https://www.betterweb.fr

          Commentaire


          • #6
            Bonjour

            Lors du JoomlaDay 2016, j'avais fait une présentation que tu pourras trouver ici : https://slides.aesecure.com/slides/h...ex.html#/intro

            J'y explique les fichiers qui sont "normaux" et ceux sur lesquels il faut porter ton attention.

            Tu trouveras dans cette présentation de multiples conseils, outils et astuces pour apprendre à analyser ton site de manière autonome.

            Bonne journée.
            foebb aime ceci.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Bonjour, toujours en lien avec mon site piraté, j'ai dans le dossier cache 3 dossiers dont 1 plutôt bizarre :

              - plg_jch_optimize
              - mod_bt_contentslider

              et un dossier nommé z avec dedans :
              - ssl qui contient :
              - site.fr
              - www.site.fr

              Chacun contient 1 dossier : js / ch / css / img

              Comme j'ai un dossier jch créé, je ne pige pas ce qu'est ce z
              d'autant que certains fichiers du dossier ch par exemple, contiennent :

              <?php $checksum = array (
              'hash' => '0000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000001@9bT_',
              'algo' => 'none',
              'integrity' => '',
              );

              ou

              <?php $checksum = array (
              'hash' => '2SJqp',
              'algo' => 'none',
              'integrity' => '',
              );

              J'ai supprimé ces dossiers mais ils se recréent. Bref, cela provient t'il du plugin de cache ou est-ce encore malicieux ?

              Commentaire


              • #8
                Un cache se régénère automatiquement tant que le code de l'extension qui le gère est activé.
                Ces dossiers dans "z" sont en effet très certainement malicieux, mais surtout, le fait que ça se régénère dit là encore qu'il existe quelque part un fichier pirate qui les recrée à la volée.
                A ta place, je ferais appel à Christophe pour un bon nettoyage.
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  J'ai fait des scans depuis 5 sites bien connus, tout est ok pourtant...

                  Commentaire


                  • #10
                    A moins que vous n'ayez une extension qui gère son cache de façon tout à fait non-conventionnelle, la façon correcte dont J! traite le cache est de placer le contenu dans un sous-dossier qui porte le nom de l'extension ou du module qui a généré du cache.
                    Un est que vous pourriez faire est de désactiver le cache Joomla! (dans la configuration générale et éventuellement le plugin "système - page cache" s'il est activé), effacer via FTP tout ce qui se trouve dans le dossier "cache" (videz aussi celui dans le dossier "administrator"), et naviguez à nouveau dans le site.
                    Si ce dossier "z" réapparaît, c'est que "quelque chose" en dehors de J! le crée et, a priori, cela n'est pas normal.
                    Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                    Administrateur certifié Joomla! 3
                    https://www.betterweb.fr

                    Commentaire


                    • #11
                      Bonjour.

                      Envoyé par foebb Voir le message
                      J'ai fait des scans depuis 5 sites bien connus, tout est ok pourtant...
                      J'ai dernièrement scanné le site de quelqu'un avec sécuri et deux autres site de scan. Tout était ok et pourtant, dans le répertoire d'administration, trois formulaires avaient été déposés, deux russes et un chinois, qui n'avaient rien n'a foutre là et de plus on pouvait y accéder sans devoir se connecter à quelqu'administration que ce soit.

                      Bien sûr, ces formulaires étaient utilisés, probablement par des robots, pour polluer de nombreuses boîtes mail. L'hébergeur avait pu alerté le proprio du site suite à ces envois de mails bien plus nombreux qu'à l'habitude…
                      Cordialement.
                      __
                      Eddy !!!
                      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                      Commentaire


                      • #12
                        Ok jfque merci de m'avoir mis sur la piste, je crois bien que c'est le plugin in System - GZIP ! L'ayant désactivé, supprimé z du serveur, navigué..il ne réapparait pas..réactivation et navigation, il se recréé. De plus je retrouve le cache prefix dans certains de ces fichiers php..
                        Je crois que c'est le plugin gzip master..
                        Dernière édition par foebb à 20/07/2018, 13h13 Raison: précision

                        Commentaire


                        • #13
                          C'est parfait. Il faudrait voir d'où provient ce plugin (et le supprimer !), qui ne fait pas partie du noyau Joomla!, qui a priori ne sert à rien puisqu'il y a une fonction GZIP intégrée à J! (en PHP).
                          A ce propos, il vaut mieux activer cette version au niveau du serveur, via le .htaccess ou, encore mieux, directement sur le serveur.
                          Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                          Administrateur certifié Joomla! 3
                          https://www.betterweb.fr

                          Commentaire


                          • #14
                            Ce plugin était issu de https://twitter.com/tbela99 soit tbela.net. Je ne peux en savoir plus car ce n'est pas moi qui l'avait installé il y a 2 ans....
                            merci et bonne journée!

                            Commentaire


                            • #15
                              Bonsoir

                              Pour information : un site comme SiteCheck n'est pas un scanner de fichiers; c'est "juste" un scanner de code HTML. Il va regarder dans le code HTML de la page que vous lui soumettez s'il trouve du code vérolé. Certains sites (comme SiteCheck) vont aussi faire des accès à des fichiers tiers (comme des fichiers .js bien connus dans Joomla) pour voir si ces fichiers contiennent du code vérolé.

                              Ces sites ne sont pas des scanners de ... sites. Si vous avez un fichier /images/virus.php et que vous demandez l'analyse de votresite/index.php, jamais virus.php ne sera détecté. Ni aucun autre virus se planquant dans les dossiers de votre site.

                              Pour un scan sérieux, il faut scanner tous les fichiers du site et là, il faut un script de scan et pas une interface en ligne. Seul un scanner sous forme de script; lancé sur une copie locale de votre site p.ex., sera à même de détecter les virus et les supprimer.

                              Bonne soirée.
                              lomart et aiment ceci.
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X