Message de Hacking mais rien ne semble avoir changé

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Message de Hacking mais rien ne semble avoir changé

    Bonjour à tous,

    L'un de nos 4 sites web subit des tentatives de hacking depuis ce matin.
    Ce site comme tous les autres est protégé avec Admin Tools. Avec Admin Tools, j'utilise tous les outils de sécurité proposés.
    J'utilise un mot de passe administrateur pour accéder aux URLs, j'ai une URL d'administration customisée, le mot de passe est changé régulièrement.

    Voici le message que m'envoie Admin Tools:
    Hello,
    We would like to notify you that one or more critical files have been modified on your site. The list of files modified on your site is as follows:
    • configuration.php
    • index.php
    • administrator/index.php
    • templates/beez3/index.php
    • templates/beez3/error.php
    • templates/beez3/component.php
    • templates/gk_creativity/index.php
    • templates/gk_creativity/error.php
    • templates/gk_creativity/component.php
    • templates/protostar/index.php
    • templates/protostar/error.php
    • templates/protostar/component.php
    • templates/system/index.php
    • templates/system/error.php
    • templates/system/component.php
    Tous ces fichiers sont en 444 (Read Read Read).
    J'ai comparé leurs contenus avec une ancienne sauvegarde réalisée avec Akeeba Backup. Rien n'a changé.

    le site fonctionne correctement (c'est un site de landing pages).

    Ce que je ne comprends pas c'est que les fichiers sont uniquement en lecture et que je reçois ces messages. De plus, ils n'ont pas changé.

    Est-ce que quelqu'un pourrait m'éclairer car je suis un peu perdu.

    Merci par avance pour votre aide.

    Sincèrement,
    Amar Guillen
    Dernière édition par guillenphoto à 13/08/2021, 00h20

  • #2
    Bonjour

    Juste pour apporter un éclairage technique et non une réponse à ton message.

    Dans l'hypothèse où tu aurais réellement un virus (=un script php sur ton serveur), ce virus peut parfaitement changer la permission vers 777, faire "son petit truc" et réinitialiser la date de la dernière modif à une date antérieure. C'est étrange mais réel; voir les exemples sur https://www.mkssoftware.com/docs/man1/touch.1.asp

    Je dis cela pour ceci : le fichier que le fichier soit en lecture seule et que la date de dernière modif n'est pas récente n'est pas synonyme de "Cool, mon fichier n'a pas été modifié". Non, le fichier a pu l'être si tu as un script tel que "virus.php" qui modifie le chmod avant et après et qui remet la date pour tenter de ne pas laisser de trace.

    Du coup, ma question est : es-tu sûr que ces fichiers n'ont pas été altéré ? La meilleure façon de faire serait de récupérer p.ex. le fichier /administrator/index.php de ton site et de le comparer avec le fichier source; depuis un zip de la même version de Joomla.

    Bonne journée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Bonjour Cavo,

      merci pour votre réponse rapide.
      J'avais aussi contacté le support de AdminTools.
      Apparemment, l'erreur vient du fait que l'hébergeur a effectué une mise à jour sur mon serveur. Cela arriver parfois.
      Admintools conserve toutes les informations d'origine des fichiers dans la base de données. Comme les informations ont changé, je reçois ces messages.
      Ils m'ont donné la procédure à suivre pour éviter cette erreur.
      Tout a l'air de fonctionner maintenant.

      C'est un peu compliqué à comprendre pour moi mais bon c'est ainsi.

      Merci pour votre aide.

      Commentaire


      • #4
        Si le probleme est réglé merci de l'indiquer :

        Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
        Confucius

        Commentaire

        Annonce

        Réduire
        Aucune annonce pour le moment.

        Partenaire de l'association

        Réduire

        Hébergeur Web PlanetHoster
        Travaille ...
        X