Bonjour,

Ces fichiers n'existent pas dans une version standard de Joomla!, et à voir ce qu'ils contiennent, il y a en effet de fortes chances que ce soient des virus.
A moins d'être sûr que ce sont des fichiers liés à une extension que tu as ajoutée (mais pourquoi aurait-elle ajouté un fochier dans le module "mod_stats" standard ?), vire les.
Change ton mot de passe FTP et teste le site avec aeSecure Quickscan, il y a peut-être d'autres fichiers indésirables ailleurs que le scan de ton hébergeur n'a pas repérés.
Vérifie aussi que toutes tes extensions sont bien à jour.

Bonjour felichon

vérifie ton site avec https://www.aesecure.com/blog/aesecure-quickscan.html

Bonjour,

C'est le code de malware encodé en base 64 deux fois pour eviter de se faire repérer par les antivirus.
Perso, mon système à réagi au code, collé ici dans cette discussion.

felichon Si tu veux vraiment voir le code pour infos, il te suffit de copier le code affiché en rouge puis de le coller dans un outil comme https://www.base64decode.org/
comme il est encodé 2 fois, il faut selectionner le résultat et utiliser à nouveau la fonction "decode".
Je me suis permis de supprimer une partie des lignes publiées pour éviter que le forum soit considéré comme piraté (il faut eviter de coller tout le code dans une discussion).



Le trojan trouvé est de type downloader. C'est un type de code malveillant qui a la capacité de télécharger d'autres fichiers malveillants ou une version mise à jour de lui-même.

Il te reste désormais à nettoyer ton site, trouver l'origine du hack. Vérifie les logs notamment à la date de création du fichier stat13c.php par exemple.
On peut retrouver parfois l'injection de code (XSS) dans la liste des pages visitées ou d'une serie de connexion ( plusieurs tentatives de login/mot de passe, y compris en FTP)...

Je te conseille de prendre le temps de sécuriser ton site et de faire ta propre checklist pour ne rien oublier.

Bon courage,

Yann

Bonjour

J'ai supprimé le code php du message initial; il n'y a aucun doute sur le caractère viral des fichiers.

Un script php dans un dossier /media est en principe hyper suspect. "/media" est prévu pour des médias, pas du code. Quelques auteurs oublient parfois les bonnes pratiques mais ... si tu vois un fichier .php dans un dossier /images, /js, /css, /media, ... alerte rouge.

Même chose quand le code du fichier est illisible : excepté quelques auteurs qui cryptent leur code (Phoca p.ex. pour leurs copyrights), un code crypté est hautement suspect.

Sauf erreur, mon outil aeSecure QuickScan devrait repérer ces fichiers-là.

Bonne journée

Merci les gars de votre retour,

je me doutais aussi que c'est pas normal du tout...

J'ai sur le site l'extension "Coala Web Trafic" c'est le seul qui utilise les statistiques, tout le reste du site est d'origine a joomla!, en plus il est pas possible ni de s’inscrire ni de publier de commentaire, du coup je me demande comment ça a pu atterrir sur mon site.

J'ai la dernière version de joomla! tout y est a jour, j'y veille.

En fait c'est un site que j'ai fait pour un amis écrivain spécialisé dans les fortifications des guerres passé, il a écrit pleins de livres et articles.

Vous pouvez y jeter un œil et éventuellement scanner le site pour voir si vous trouvez autre chose ?

De mon coté je vais virer les fichiers incriminé.

J'ai fait également un scann du site en local (copie de sauvegarde) avec AeSecure (version gratuite) il n'a pas réagit.

Je me méfie aussi de l'extension Coala Web trafic car il signale beaucoup trop de robot a mon gout c'est étrange.

Hello,

Je viens de virer les 2 fichiers incriminées, j'ai aussi changé le mot de passe FTP par un très compliqué.

J'ai parcouru le plus de fichiers possible sans rien trouvé, comment être vraiment sur qu'il n'y a pas d'autres choses peu ragoutantes ?

Pas facile, Joomla! a des milliers de fichiers...

Teste ton site avec sitecheck.sucuri.net, puis avec aesecurequickscan, pour voir s'il y a des fichiers reconnus comme anormaux.

Merci, pour sitecheck.sucuri.net c'est ok.

J'arrive pas a trouver en revanche un lien de téléchargement valide pour aesecure quiqscan.

J'ai bien ça, j'ai même créé un compte https://www.aesecure.com/logiciel/telecharger.html mais c'est le programme complet de protection et non de scan sauf erreur de ma part.

Pour quiqscan sur le site officiel j'ai ça https://www.aesecure.com/downloads/a..._quickscan.zip (erreur 404)

Ok, merci du lien.

Je fais un test en ce moment en local, histoire de voir ce que ça donne, pour le moment j'en suis a l'étape 2 du script analyse en cours, ça risque de prendre un petit moment.

Si stable, j’essayerai de voir sur le site en production.

En attendant merci de l'aide.

J’aimerai quand même savoir comment ce petit malin a pu mettre ses 2 fichiers sur le serveur...

... Seule l'analyse approfondie du log des accès te permettra de trouver.

Sur mon github tu trouveras un outil d'analyse de logs, il te sera très utile pour cette recherche (voir aussi mon site www.avonture.be où tous les outils sont répertoriés)

Salut Cavo, bravo pour ton taf.

L'ennuie c'est que j'ai effacé les log, je les ai plus...

Je suis limité sur le serveur en time out, erreur 504 je suis donc passé en mode expert et j'analyse dossier par dossier, il me trouve pas mal d'erreur ou de truc louche, plus de 205 ! (Comme la voiture Peugeot haha)

le hic est-ce des faux positif ?

Voici quelques captures, ça va de JCE à Ackebabacup, Admin tool pourtant des extension irréprochables normalement...

Qu'en penser ?

Je suis allé voir ton site Cavo, purée, c'est toi qui a programmé tout ça ! ?????



Si oui, tu mériterai une médaille, puis une statut en place public + légion d'honneur !

Bravo, t'es un champion, respect

Tes trois images sont safe. Faux positifs.

>des extension irréprochables normalement...
Rien à voir avec la qualité de l'extension; les virus vérolent sans se préoccuper de qui est l'auteur du code ;-)

Merci, oui, quelques-uns de mes outils de ces dernières années. D'autres sont privés ou encore non publiés.