Problème d'accès au site avec Bitdefender

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Problème d'accès au site avec Bitdefender

    Bonjour à tous,
    Depuis une mise à jour Joomla faite fin juin, Bitdefender Internet Security refuse l'accès au site, le traitant de dangereux avec le message :
    Une page Web infectée a été détectée
    Hier à 11:54 AM Fonctionnalité : Prévention menaces en ligne
    Nous avons bloqué cette page dangereuse pour votre protection : https://choeurcantabile.org/
    Des pages dangereuses tentent d'installer des logiciels pouvant endommager l'appareil, de collecter des informations ou d'agir sans votre consentement.

    ​.
    Plusieurs visiteurs nous ont remonté le même problème.
    Savez vous pourquoi ?
    Dernière édition par Mamannie83 à 01/08/2023, 12h57

  • #2
    Bonjour,

    Je confirme, BitDefender signale cette menace (avant même l'ouverture de l'adresse, ici juste sur le lien dans la page), mais sitecheck.sucuri.net ne relève rien. Il faudrait contacter BitDefender pour en savoir plus.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Hello juste un hors sujet c'est quoi le menu mobile que tu utilises ?

      Commentaire


      • #4
        Envoyé par Mamannie83 Voir le message
        Bonjour à tous,
        Depuis une mise à jour Joomla faite fin juin, Bitdefender Internet Security refuse l'accès au site, le traitant de dangereux avec le message :
        Plusieurs visiteurs nous ont remonté le même problème.
        Savez vous pourquoi ?
        En effet, bitdefender bloque votre site à partir d'élément indiquant une tentative malveillante.

        Sa base est ensuite utilisé par d'autres sites qui bloquent à leur tour.

        A ce jour, il y a 3 relevés... :
        https://www.virustotal.com/gui/url/96473358e23bdc15ff2d9aff95500b55edd8e92ead378356a4 afde91c27383da?nocache=1

        Il faut commencer par vérifier si votre site n'est pas hacké en vérifiant notamment la date des fichiers, editer les fichiers pour avoir confirmation.
        Quand j'effectue cette prestation dans un cadre pro, je vérifie en effectuant un téléchargement de l'archive dans un environnement virtualisé et sécurisé puis je passe
        au scan perso pour relever différentes empreintes de hack ou des formes reconnaissables avec des outils équivalents à quickscan
        https://github.com/cavo789/aesecure_quickscan
        ( aesecure n'existe plus mais le quickscan fonctionne encore bien malgré qu'il ne soit plus mis à jour, on retrouve une présentation sur https://slides-hacked.avonture.be/#/intro )
        Ensuite j'analyse notamment les failles connues à ce jour et je corrige si besoin. J'effectue également une analyse de la base de données.
        On se sert aussi des logs et rapports si cela a été mis en place.

        Ensuite je sécurise en bloquant notamment les différents type d'attaque. Il faut savoir que votre hébergeur ne fait pas l'activation par défaut de son firewall.
        Il faut pour cela l'activer depuis le manager et rien n'est garantie. Heureusement, les alternatives existent comme RSFirewall par exemple ou directement dans le htaccess.
        Vous pouvez aussi voir d'autres hébergeurs qui proposent de meilleurs sécurisation de leur environnement.
        Il faut voir également pour mettre en place une politique de sécurité en utilisant notamment le plugin "http header" qui est natif sous Joomla 4.

        Un conseil : Protégez vos formulaires ainsi que celui d'authentification en backend car il est facile de taper administrator pour voir que le site est sous joomla 4 !
        Le hacker peut attaquer en soumettant toutes les techniques pour s'introduire sur votre site. En ajoutant par exemple un htpasswd à l'administration, cela permet d'ajouter un mot de passe supplémentaire
        mais élimine déjà une partie des tentatives (il existe aussi des plugins pour ajouter un code à l'url, ce qui est certainement plus simple ).

        Enfin, en ayant vérifié et sécurisé votre site, vous pouvez demander à bitdefender et aux autres de vous supprimer de leur liste.
        Si vous n'avez rien trouvé, vous pouvez également indiquer un faux positif depuis leur formulaire :

        Dans la plupart des cas, les sites vont relever le blocage et vous soumettre à une période de surveillance.
        Si d'autres formes de hack ou d'autres techniques devait survenir durant cette surveillance, vous serez alors blacklisté avec obligation de fournir la preuve que vous avez fait le nécessaire.

        Visiteur
        pour info, en examinant le code source de la page dans le navigateur avec le bouton droit, on peut voir que c'est du helix ultimate et le menu mobile est intégré au template à la position offcanvas paramétrable.
        Dernière édition par daneel à 05/08/2023, 19h49
        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #5
          Les 5 erreurs à corriger sans attendre :

          - Choisir entre le nom de domaine avec ou sans www
          Du fait que le site est accessible dans les deux cas, cela rend plus difficile l'indexation.
          redirigez le site sur l'une des deux solutions via le htaccess.

          - une erreur au chargement de chaque page

          Il s'agit de lien vers un fichier avec des espaces à corriger.
          Pour info, évitez les accents, espaces et caractères spéciaux dans les noms de fichiers.
          De préférence, écrire les noms de fichiers en minuscule et remplacer les espaces par l'underscore (le tiret bas de la touche "6" du clavier).
          Vérifier dans la console du navigateur ( touche F11 )

          - ajouter un captcha au formulaire d'authentification front ( le hcaptcha utilisé sur le formulaire de contact est très bien)

          - le fichier robots.txt bloque certains répertoires. Malheureusement, certaines extensions utilisent ces repertoires pour stocker des fichiers css. C'est le cas par exemple du plugin système jce avec le fichier content.css chargé à chaque page du site.

          - Bien qu'il n'y a pas de cookie polémique, il est important de définir une politique de confidentialité car elle va au delà notamment pour la gestion des comptes de l'espace choriste.
          A noter également l'utilisation de google font que l'on pourrait remplacer par un téléchargement local et eviter de transmettre l'ip à google.
          Il manque des infos dans les mentions légales.

          Les problèmes évoqués précédemment sont aussi à gérer cependant il est facile de corriger ces petits défauts.​
          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

          Commentaire


          • #6
            Hello

            Pour info, je n'ai plus mis à jour aeSecure QuickScan du fait du manque de retour, je ne sais strictement pas s'il est utilisé.

            La mise-à-jour consistait à mettre en liste blanche les fichiers de chaque versions de Joomla afin d'accélérer le scan.

            En l'absence d'une mise-à-jour, QuickScan fonctionne de la même façon mais un peu plus lentement puisqu'il ne va pas reconnaître la version de Joomla et donc scanner les fichiers du CMS.

            Toujours fonctionnel donc.
            woluweb aime ceci.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Merci Christophe pour le retour.

              Pour info, le site a été supprimé du blacklistage de bit defender.

              Cependant il faut corriger le fichier "Proposition En tete.png" par "proposition_en_tete.png"
              et le lien qui se trouve dans le header pour ne pas à se retrouver avec l'erreur 404 sur toutes les pages.
              https://choeurcantabile.org/images/headers/Proposition%20En%20tete.png

              Evitez également le preload (l'icône qui apparaît temporairement au chargement de la page).
              D'après les analyses, il encode en base64 l'image et cela peut être considéré comme quelque chose à cacher (donc de malveillant).

              Cela ne vous empêche pas de veiller à passer au scanner votre site et de faire régulièrement des sauvegardes.
              Par exemple soit avec le logiciel gratuit de Christophe ou une extension comme RSfirewall (extension commerciale que l'on peut retrouver sur extensions.joomla.org ) permet de scanner et de voir des modifications ou des ajouts de fichiers, il bloque aussi
              les attaques vu que votre hébergeur ne le fait pas (un site est attaqué chaque jour sous différents angles par des scripts ). Enfin, cette extension génère des rapports réguliers....

              Pour info, les fautes d'écriture de nom de fichiers peuvent également avoir un impact sur vos sauvegardes en bloquant la restauration.
              Sur ovh, rien n'est indiqué que l'opération est conforme. Un ami a perdu 3 ans de sites car la sauvegarde effectué par eux ne fonctionnait pas et se bloquait à 50%
              sans avertissement. Le mieux étant de faire une sauvegarde avec akeeba puis de la restaurer dans un espace de dev par exemple localement sur votre pc (en utilisant xampp ou laragon comme serveur local).

              Enfin n'oubliez pas d'agir sur les serveurs qui vous blackliste encore, pour certains il suffit simplement d'attendre 24 à 48h.
              Chercher leur nom sur internet suivi de "blacklist removal" pour trouver la page (en anglais).

              exemple crdf pour déclarer un faux positif : https://threatcenter.crdf.fr/false_positive.html


              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #8
                Bonjour,
                Tous ces points ont été vérifiés et corrigés si besoin.
                Le site est toujours blacklisté par Avast.
                VirusTotal donne
                ​​
                Comment être déblacklisté de Cyradar ?
                J'ai déclaré un faux positif sur Avast. On verra.
                ​​​​​​​Merci de votre aide

                Commentaire


                • #9
                  Envoyé par Mamannie83 Voir le message
                  Bonjour,
                  Comment être déblacklisté de Cyradar ?
                  Tu peux retrouver la liste des mails des différents prestataires :


                  Donc contacter cyradar par mail (en anglais ... en utilisant deepl : https://www.deepl.com/fr/translator ou chatgpt au besoin) puis attendre.

                  Depuis la page d'accueil, quand on affiche la console du navigateur (touche F12 du clavier), on obtient désormais 2 fichiers avec erreurs.



                  Comme expliqué précédemment, les liens vers des fichiers avec des espaces sont mal gérés par les navigateurs et si les fichiers sont supprimés ou corrigés, les liens sont toujours les mêmes d'où les erreurs 404 dans le site.

                  Merci de corriger ces petites erreurs avant de soumettre l'url comme faux positif.


                  Dernière édition par daneel à 21/09/2023, 21h16
                  Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                  Commentaire


                  • #10
                    Il n'y a pas de blancs dans les noms de fichiers mais des souligné (touche du 8). Je ne comprends pas la 1ère erreur
                    Le fichier Partitions_10 avait disparu. Retransféré dans Médias, l'erreur a disparu.

                    Commentaire


                    • #11
                      Envoyé par Mamannie83 Voir le message
                      Il n'y a pas de blancs dans les noms de fichiers mais des souligné (touche du 8). Je ne comprends pas la 1ère erreur
                      Le fichier Partitions_10 avait disparu. Retransféré dans Médias, l'erreur a disparu.
                      tout simplement, vous avez corrigé les fichiers mais pas les liens ou la sélection d'image.

                      Editer le paramètre définissant l'image de fond de la première section car le nom est encore : "Proposition En tete.png"
                      Je pense que c'est un paramètre du template helix.

                      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X