Malware ou pas ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Malware ou pas ?

    Salut,

    J'ai reçu ce message de mon hébergeur Nuxit, est-ce que le fichier incriminé est légitime ou pas ?

    En fouillant a la racine du site, j'ai vue qu'il ont fait le scan avec "Clamscan" qui contien le rapport suivant :

    Je ne sais même pas quel extension utilise ce module stat ? Statistique ?

    Voici le message mail de nuxit associé :

    Cher(e) Client(e),

    Pour information, notre anti-virus a détecté un ou plusieurs fichiers potentiellement malveillants sur votre hébergement :

    Liste des fichiers suspects :
    - /www/media/system/js/stat13c.php: {HEX}php.malware.charnested.545.UNOFFICIAL
    - /www/modules/mod_stats/stat13c.php: {HEX}php.malware.charnested.545.UNOFFICIAL

    Ces fichiers ne sont pas bloqués automatiquement par notre antivirus pour éviter le risque de faux-positifs, nous vous invitons donc à vérifier leur contenu.
    J'ai ouvert le fichier www/media/system/js/stat13c.php: avec notepad++ et voici son contenu, il est légitime ce fichier ?

    [modo]Code supprimé; virus confirmé[/modo]


    L'autre fichier incriminé www/modules/mod_stats/stat13c.php contiens ceci, c'est légitime ça ?

    [modo]Code supprimé; virus confirmé[/modo]


    Merci de me dire quoi faire, virer ses fichiers si inutile ou suspect ?

    C'est quoi ce long code en chiffre, étrange !!! Et comment as-t'il atterrit sur mon serveur, je suis sous la dernière version de Joomla!
    Dernière édition par cavo789 à 22/07/2019, 12h13

  • #2
    Bonjour,

    Ces fichiers n'existent pas dans une version standard de Joomla!, et à voir ce qu'ils contiennent, il y a en effet de fortes chances que ce soient des virus.
    A moins d'être sûr que ce sont des fichiers liés à une extension que tu as ajoutée (mais pourquoi aurait-elle ajouté un fochier dans le module "mod_stats" standard ?), vire les.
    Change ton mot de passe FTP et teste le site avec aeSecure Quickscan, il y a peut-être d'autres fichiers indésirables ailleurs que le scan de ton hébergeur n'a pas repérés.
    Vérifie aussi que toutes tes extensions sont bien à jour.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Bonjour felichon

      vérifie ton site avec https://www.aesecure.com/blog/aesecure-quickscan.html
      Cordialement, Bruno28

      Joomla! 5.0.2 - php 8.2 - www.moneglisesurle.net - www.bp2i.fr

      Adhérez à l'AFUJ : https://www.joomla.fr/association/adherer

      Commentaire


      • #4
        Bonjour,

        C'est le code de malware encodé en base 64 deux fois pour eviter de se faire repérer par les antivirus.
        Perso, mon système à réagi au code, collé ici dans cette discussion.

        felichon Si tu veux vraiment voir le code pour infos, il te suffit de copier le code affiché en rouge puis de le coller dans un outil comme https://www.base64decode.org/
        comme il est encodé 2 fois, il faut selectionner le résultat et utiliser à nouveau la fonction "decode".
        Je me suis permis de supprimer une partie des lignes publiées pour éviter que le forum soit considéré comme piraté (il faut eviter de coller tout le code dans une discussion).





        Le trojan trouvé est de type downloader. C'est un type de code malveillant qui a la capacité de télécharger d'autres fichiers malveillants ou une version mise à jour de lui-même.

        Il te reste désormais à nettoyer ton site, trouver l'origine du hack. Vérifie les logs notamment à la date de création du fichier stat13c.php par exemple.
        On peut retrouver parfois l'injection de code (XSS) dans la liste des pages visitées ou d'une serie de connexion ( plusieurs tentatives de login/mot de passe, y compris en FTP)...

        Je te conseille de prendre le temps de sécuriser ton site et de faire ta propre checklist pour ne rien oublier.

        Bon courage,

        Yann
        Dernière édition par daneel à 22/07/2019, 11h44
        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #5
          Bonjour

          J'ai supprimé le code php du message initial; il n'y a aucun doute sur le caractère viral des fichiers.

          Un script php dans un dossier /media est en principe hyper suspect. "/media" est prévu pour des médias, pas du code. Quelques auteurs oublient parfois les bonnes pratiques mais ... si tu vois un fichier .php dans un dossier /images, /js, /css, /media, ... alerte rouge.

          Même chose quand le code du fichier est illisible : excepté quelques auteurs qui cryptent leur code (Phoca p.ex. pour leurs copyrights), un code crypté est hautement suspect.

          Sauf erreur, mon outil aeSecure QuickScan devrait repérer ces fichiers-là.

          Bonne journée
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Merci les gars de votre retour,

            je me doutais aussi que c'est pas normal du tout...

            J'ai sur le site l'extension "Coala Web Trafic" c'est le seul qui utilise les statistiques, tout le reste du site est d'origine a joomla!, en plus il est pas possible ni de s’inscrire ni de publier de commentaire, du coup je me demande comment ça a pu atterrir sur mon site.

            J'ai la dernière version de joomla! tout y est a jour, j'y veille.

            En fait c'est un site que j'ai fait pour un amis écrivain spécialisé dans les fortifications des guerres passé, il a écrit pleins de livres et articles.

            Vous pouvez y jeter un œil et éventuellement scanner le site pour voir si vous trouvez autre chose ?

            De mon coté je vais virer les fichiers incriminé.

            J'ai fait également un scann du site en local (copie de sauvegarde) avec AeSecure (version gratuite) il n'a pas réagit.

            Je me méfie aussi de l'extension Coala Web trafic car il signale beaucoup trop de robot a mon gout c'est étrange.

            Le site généraliste de la Ligne Maginot, du Mur de l'Atlantique et de la fortification au 20e siècle de Jean-Bernard Wahl.

            Commentaire


            • #7
              Hello,

              Je viens de virer les 2 fichiers incriminées, j'ai aussi changé le mot de passe FTP par un très compliqué.

              J'ai parcouru le plus de fichiers possible sans rien trouvé, comment être vraiment sur qu'il n'y a pas d'autres choses peu ragoutantes ?

              Pas facile, Joomla! a des milliers de fichiers...

              Commentaire


              • #8
                Teste ton site avec sitecheck.sucuri.net, puis avec aesecurequickscan, pour voir s'il y a des fichiers reconnus comme anormaux.
                Dernière édition par RobertG à 22/07/2019, 14h32
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Merci, pour sitecheck.sucuri.net c'est ok.

                  J'arrive pas a trouver en revanche un lien de téléchargement valide pour aesecure quiqscan.

                  J'ai bien ça, j'ai même créé un compte https://www.aesecure.com/logiciel/telecharger.html mais c'est le programme complet de protection et non de scan sauf erreur de ma part.

                  Pour quiqscan sur le site officiel j'ai ça https://www.aesecure.com/downloads/a..._quickscan.zip (erreur 404)

                  Commentaire


                  • #10
                    cavo789 aime ceci.
                    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                    Commentaire


                    • #11
                      Ok, merci du lien.

                      Je fais un test en ce moment en local, histoire de voir ce que ça donne, pour le moment j'en suis a l'étape 2 du script analyse en cours, ça risque de prendre un petit moment.

                      Si stable, j’essayerai de voir sur le site en production.

                      En attendant merci de l'aide.

                      J’aimerai quand même savoir comment ce petit malin a pu mettre ses 2 fichiers sur le serveur...

                      Commentaire


                      • #12
                        ... Seule l'analyse approfondie du log des accès te permettra de trouver.

                        Sur mon github tu trouveras un outil d'analyse de logs, il te sera très utile pour cette recherche (voir aussi mon site www.avonture.be où tous les outils sont répertoriés)
                        felichon aime ceci.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Salut Cavo, bravo pour ton taf.

                          L'ennuie c'est que j'ai effacé les log, je les ai plus...

                          Je suis limité sur le serveur en time out, erreur 504 je suis donc passé en mode expert et j'analyse dossier par dossier, il me trouve pas mal d'erreur ou de truc louche, plus de 205 ! (Comme la voiture Peugeot haha)

                          le hic est-ce des faux positif ?

                          Voici quelques captures, ça va de JCE à Ackebabacup, Admin tool pourtant des extension irréprochables normalement...

                          Qu'en penser ?

                          Cliquez sur l'image pour l'afficher en taille normale  Nom : capture_001_22072019_192307.jpg* Affichages : 0* Taille : 37,4 Ko* ID : 2003551

                          Cliquez sur l'image pour l'afficher en taille normale  Nom : capture_003_22072019_192437.jpg* Affichages : 0* Taille : 44,1 Ko* ID : 2003553
                          Fichiers joints

                          Commentaire


                          • #14
                            Je suis allé voir ton site Cavo, purée, c'est toi qui a programmé tout ça ! ?????



                            Si oui, tu mériterai une médaille, puis une statut en place public + légion d'honneur !

                            Bravo, t'es un champion, respect
                            Dernière édition par felichon à 22/07/2019, 18h48

                            Commentaire


                            • #15
                              Tes trois images sont safe. Faux positifs.

                              >des extension irréprochables normalement...
                              Rien à voir avec la qualité de l'extension; les virus vérolent sans se préoccuper de qui est l'auteur du code ;-)

                              Merci, oui, quelques-uns de mes outils de ces dernières années. D'autres sont privés ou encore non publiés.
                              Dernière édition par cavo789 à 22/07/2019, 21h14
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X