URL phishing

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • URL phishing

    Bonjour,

    je lis mes messages d'erreur sur la search console de google, et il me déclare un url que je ne possède pas.
    J'essaye de l'ouvrir dans mon navigateur et de suite j'ai un message d'alerte de mon antivirus parlant de phishing.
    Je ne trouve pas où est cette adresse pour la supprimer http://www.andeo.be/got.php

    De plus cette url est en http, alors que normalement tout le site est redirigé vers le https
    Quelqu'un aurait une idée

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Sans titre-2.jpg 
Affichages : 106 
Taille : 78,0 Ko 
ID : 2005835
    Fichiers joints
    Quelques liens de mon univers professionnel
    www.andeo.be
    www.cleanwash.be
    www.stop-humidite.pro

  • #2
    Got.php serait à la racine de ton site tu ne vois pas le fichier ?
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Hello cavo789
      désolé pour ma réponse tardive, je n'ai pas vu ton message.
      Quand tu dis à la racine, tu parles via ftp ?
      Quelques liens de mon univers professionnel
      www.andeo.be
      www.cleanwash.be
      www.stop-humidite.pro

      Commentaire


      • #4
        Bonjour,

        Sur la racine d'un site Joomla, il doit y avoir :
        .htaccess
        configuration.php
        index.php
        robots.txt
        php.ini (éventuellement)

        Le reste est supposé suspect, donc à vérifier avec un bon antivirus.

        Généralement, les virus essaient de s'installer sur la racine, mais peuvent être un peu partout.

        Donc, oui, il faut regarder par FTP.

        Pascal
        Dernière édition par pmleconte à 06/09/2019, 11h27
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Bonjour Pascal,

          voici ce que j'ai sur la racine en pièce jointe.
          Je ne vois pas de got.php à la racine
          Tu parles d'antivirus, sur le ftp ?
          Quelques liens de mon univers professionnel
          www.andeo.be
          www.cleanwash.be
          www.stop-humidite.pro

          Commentaire


          • #6
            Je ne vois pas la pièce jointe.

            En général, je rapatrie la sauvegarde du site sur un PC en local et je fais mes recherches de virus à ce niveau : antivirus normal (même windows defender en trouve), puis avec quickscan (https://www.aesecure.com/blog/aesecure-quickscan.html).

            Après, en cas de gros doute, je recharge une version clean Joomla identique à celle en ligne. J'y remets les extensions que j'ai chargé à partir du site officiel qui me les a fournies et je fais une comparaison à la main ou presque (WinMerge https://winmerge.org/) pour voir les différences.

            Il existe aussi d'autres solutions telles que myjoomla https://myjoomla.guru/ qui propose une recherche gratuite.

            Pascal
            Jeff71 aime ceci.
            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              J'ai oublié la pièce jointe.
              Là je fais dossier par dossier via ftp pour trouver le got.php , puré ça va me prendre la journée.
              Fichiers joints
              Quelques liens de mon univers professionnel
              www.andeo.be
              www.cleanwash.be
              www.stop-humidite.pro

              Commentaire


              • #8
                Bonjour,

                Deux choses :
                1. Sucuri ne trouve rien d'anormal,
                2. L'ouverture de "got.php", en passant outre le blocage par BitDefender, affiche une page où on n'a que "Error".
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Merci RobertG pour ton retour.
                  Est-ce que je peux comprendre que je ne dois pas m'embêter avec ceci et ne rien faire ?
                  C'est surtout que google m'annonce une page bloquée et voudrai pas que ça me fasse des pénalités sur google
                  Quelques liens de mon univers professionnel
                  www.andeo.be
                  www.cleanwash.be
                  www.stop-humidite.pro

                  Commentaire


                  • #10
                    Bonjour

                    As-tu trouvé ce fichier got.php à la racine de ton site ? Si oui : ce fichier n'a rien à faire là ==> il y a plus qu'une présomption d'un site ayant été hacké.

                    Dire "je ne dois pas m'en soucier" c'est comme si tu rentres chez toi et que tu as été cambriolé et les mecs sont parti. Faut-il s'en soucier ? Ben ... oui.

                    Parce que même s'ils n'ont rien volé, ils ont réussi à rentrer => il y a un souci au niveau de la sécurité.

                    En outre, chez toi, ils sont rentrés mais ils ont déposé ce fameux got.php à la racine (et quoi d'autres ailleurs ?)

                    Du coup, analyser le site, le nettoyer et le sécuriser doivent être des actions à ajouter en haut de ta liste des tâches à faire.

                    Bonne journée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Petite remarque : sucuri https://sitecheck.sucuri.net fait un 1er niveau de contrôle, mais, ne détecte pas les fichiers php intrus, ni les php plein de virus (expérience vécue récemment).

                      J'ai bien précisé "en cas de doute".

                      Au passage, je n'aime pas trop sur votre site les liens cachés (couleur identique au fond et partant sur http au lieu d'https) qui, en général, ne sont pas très bons pour le référencement.:

                      Cliquez sur l'image pour l'afficher en taille normale

Nom : DevTools - www.andeo.be 06092019 143016.jpg 
Affichages : 63 
Taille : 34,7 Ko 
ID : 2006128

                      Pascal
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #12
                        Envoyé par reivilo78 Voir le message
                        J'ai oublié la pièce jointe.
                        Là je fais dossier par dossier via ftp pour trouver le got.php , puré ça va me prendre la journée.
                        Pour sauvegarder un site, rien de mieux qu'akeeba backup https://www.akeebabackup.com/product...ba-backup.html avec son outil kickstart pour assurer la restauration en local.

                        remarque: pour restaurer les fichiers uniquement à partir d'une sauvegarde akeeba, vous auriez pu aussi utiliser Akeeba extract wizard. En fait, plus maintenant, wizard a été retiré : https://www.akeebabackup.com/news/17...continued.html

                        Après, avec le gestionnaire de fichiers windows, on trouve rapidement un fichier.

                        Pascal
                        Dernière édition par pmleconte à 06/09/2019, 13h56
                        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                        Commentaire


                        • #13
                          Envoyé par cavo789 Voir le message
                          Bonjour

                          As-tu trouvé ce fichier got.php à la racine de ton site ? Si oui : ce fichier n'a rien à faire là ==> il y a plus qu'une présomption d'un site ayant été hacké.

                          Dire "je ne dois pas m'en soucier" c'est comme si tu rentres chez toi et que tu as été cambriolé et les mecs sont parti. Faut-il s'en soucier ? Ben ... oui.

                          Parce que même s'ils n'ont rien volé, ils ont réussi à rentrer => il y a un souci au niveau de la sécurité.

                          En outre, chez toi, ils sont rentrés mais ils ont déposé ce fameux got.php à la racine (et quoi d'autres ailleurs ?)

                          Du coup, analyser le site, le nettoyer et le sécuriser doivent être des actions à ajouter en haut de ta liste des tâches à faire.

                          Bonne journée.
                          Non pas trouvé à la racine.
                          Là je regarde dossier par dossier, mais trop long.
                          Existe t-il un système payant qui va me faire gagner du temps ?
                          Quelques liens de mon univers professionnel
                          www.andeo.be
                          www.cleanwash.be
                          www.stop-humidite.pro

                          Commentaire


                          • #14
                            Il y a environ 2.500 répertoires pour une installation Joomla.

                            Par FTP, on peut chercher un fichier en utilisant la paire de jumelles (icone à droite)


                            Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture plein écran 06092019 150050.jpg 
Affichages : 55 
Taille : 5,8 Ko 
ID : 2006132

                            Pascal

                            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                            Commentaire


                            • #15
                              Le fichier .htaccess n'aurait-il pas été piraté pour y ajouter une redirection de "got.php" vers autre chose ?

                              Comme Akeeba Extract Wizard n'est plus disponible, lorsqu'on a besoin de faire une telle vérification, il faut faire une sauvegarde en "zip" au lieu de "jpa", elle sera plus facile à extraire en local.
                              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X