Site Web infecté

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site Web infecté

    Bonjour à tous,
    J'ai un problème avec une injection quelque part dans le site avec JS:agent-ELQ[trj]. Cela n'arrive pas tout le temps, mais ouvre de fenetre de publicité sur des sites douteux. Je ne trouve pas mais dans certain forum anglophone le problème se trouverais dans un fichier index du templates (même avec les traductions je ne comprend pas tout). Je ne trouve pas le problème et quand je cherche ça concernerait joomla 3.
    Vous serait il possible de m'aider la dessus?
    Je mets toujours le site à jour immédiatement dès que je vois une mise à jour.
    Cliquez sur l'image pour l'afficher en taille normale

Nom : trj.png 
Affichages : 87 
Taille : 20,0 Ko 
ID : 2066672
    Lien du site : https://www.leo-lagrange-natation-nantes.com/
    Version joomla : 4.4.9
    Merci pour votre aide
    Fichiers joints

  • #2
    Bonjour,

    Etudie https://sitecheck.sucuri.net/results...ion-nantes.com
    A la fin de cette page par exemple, tu as un script considéré comme malicieux /lassociation/les-equipes-dirigeantes-et-encadrement
    Il faut trouver par quelle porte d'entrée ce script a pu être injecté, si c'est bien dans des index.php ou pas.

    Si ce n'est que dans des fichiers index.php du noyau, l'écrasement par un transfert par ftp de tous les fichiers devrait permettre d'y voir plus clair.
    Si tu as une sauvegarde, essaie de la restaurer en local, sinon, contacte Phil Taylor https://fix.mysites.guru/
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Bonjour Robert,
      Merci pour le retour, j'avais été sur virustotal qui ne m'avait rien détecté, j,'ai une base pour chercher
      Merci beaucoup.

      Commentaire


      • #4
        Bonjour,

        Christophe vient de mettre en ligne une version de aesecure_quickscan avec les hashes Joomla 4.4.9 : https://github.com/cavo789/aesecure_quickscan

        C'est un bon outil pour trouver les virus sur les installations Joomla.

        Pascal
        woluweb aime ceci.
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Christophe a juste appuyé sur un petit bouton "Accepter". Accepter le travail fait par Pascal pmleconte ;-) Pas trop dur du coup
          woluweb aime ceci.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Bonsoir à tous,

            je n'y arrive pas, j'ai fait beaucoup d'analyses dont aesecure_quickscan et beaucoup de résultat dans cette analyse, mais rien de probant.

            J'ai désactivé le module article_latest et la page s'affiche, partout ou il y un article avast bloque (blog, article direct dans le menu) et des pubs peuvent apparaitres. J'ai changé de Template (cassiopeia) pour voir et c'est pareil. j'ai visualiser de très très nombreux fichiers et je ne vois rien
            J'ai supprimé le dossier component/com_content ainsi que com_content de mon template que j'ai remplacé par les fichiers dossiers sources mais ça n'a rien changé, je coince.
            Merci pour vos idées.
            Bonne soirée
            Dernière édition par Tee shot à 16/12/2024, 19h14

            Commentaire


            • #7
              Bonjour,

              As-tu vérifié le contenu des articles concernés, dans l'administration, si seules les pages contenant un article sont concernées ?

              Si après écrasement du site par ftp avec la même version de Joomla! et de préférence réinstallation des extensions le problème n'est pas réglé, c'est qu'il y a des fichiers autres en cause, et envisage alors de faire appel à Phil Taylor.

              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

              Commentaire


              • #8
                tu as effectivement un script chargé qui pose souci
                tu le trouve dans les détails de sucuri
                si tu fais une recherche dans l'inspecteur de ton navigateur tu trouveras ce script ( par exemple en cherchant : function _0x3023
                reste à savoir ce qui te charge cela
                cela peut être un fichier qui n'a rien à faire là ( voir l'outil de christophe )
                ou un index.php de modifié ( celui à la racine ou dans ton template )
                je vois dans tes mentions légales que tu es chez o2switch : tu peux lancer leur outil de détection de virus ImmunifyAV
                aidons nous les uns les autres ...

                https://www.web54.fr

                Commentaire


                • #9
                  bonsoir, ton template est à jour? verifies en allant sur le site Joomlart pour voir ce qu ils proposent comme derniere version

                  Commentaire


                  • #10
                    The resource from “https://www.leo-lagrange-natation-na.../system.css” was blocked due to MIME type (“text/html”) mismatch (X-Content-Type-Options: nosniff).

                    donc au lieu de css il veut charger du html..

                    Commentaire


                    • #11
                      Bonjour à tous,
                      Merci tataye​, j'avais déjà fait la recherche avec notepad++ et pas de trace, j'ai regardé tous les fichiers index.php (et c'était long!), j'ai lancé l'outil O2Swich il n'a rien trouvé, c'est une des première chose que j'ai fais.
                      Merci lefabdu51​mon template est bien à jour, je fais toujours toutes les mises à jour, j'ai même écrasé tous les fichiers du Template en les remplaçant par ceux de joomlart. je vérifie ce que tu m'a dit pour le CSS et je vous tiens au courant.
                      Si je ne trouve pas, je vais passer le site en joomla 5 pour voir si ça peut régler le problème (de toute manière je dois le faire).

                      [edit] je viens de regarder, je n'ai aucun fichier system.css sur tout le site.

                      Merci et bonne journée.
                      Dernière édition par Tee shot à 19/12/2024, 12h13

                      Commentaire


                      • #12
                        Bonjour,

                        Si ton site est infecté, le passer en J5 ne sera pas plus efficace qu'écraser avec la même version de J4, si c'est un script ajouté en tant que fichier et pas inséré dans un des fichiers de Joomla! ou d'une extension.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                        Commentaire


                        • #13
                          Merci RobertG
                          Si je fait une instalation propre tout pareil et que je restore la BDD, ça peut marcher?

                          pour le fishier system.css, la commande est faite dans les fichiers.

                          templates\t3_bs3_blank\tpls\blocks\head.php
                          templates\t3_blank\tpls\blocks\head.ph
                          et
                          \templates\ja_fit\tpls\blocks\head.php
                          ca ne mène nul part.
                          Je vais quand même leur poser la question.
                          Merci

                          Commentaire


                          • #14
                            Pas sûr que ton idée suffise, il faudra de toute façon installer les extensions.

                            Commence par écraser Joomla! par sa version installée, sans le dossier installation, puis réinstalle les extensions et vide les caches : si tu as toujours des anomalies, fais appel à Phil car il y aura toujours quelque part un script malicieux.
                            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                            Commentaire


                            • #15
                              Merci RobertG c'est déjà fait pour joomla, j'ai fait la même chose avec les fichiers joomlart également.
                              J'ai fait se site gratuitement pour l'association, je vais voir avec eux s'ils peuvent payer les 88 livres demandés sur le site de Phil.
                              C'est la première fois que je n'arrive pas à résoudre ce genre de problème, je vieillis surement.
                              Bonne journée.

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X