Je test en local
Je croise les doigts :-)
Merci encore

Bonjour
Bon voila un résultat qui n'est pas encourageant :
7.465 fichiers vont être analysés dont 181 déjà identifiés comme virus et 1 contenant des virus (15.929 fichiers ont été ignorés car ils sont repris sur la liste blanche d'aeSecure et 7.608 ignorés comme paramétré dans l'écran des options avancées).

Que dois-je faire avec les dossier marqué attention et ceux noté danger
Voici quelques exemples
​
Cela veut-il dire que j'ai 181 virus ?
Fait il supprimer les fichiers ou juste le badcode ? car dans les exemples donnés par acymailing ils semble qu'il disait de tout supprimer ?
Les maj des extensions peuvent elles résoudre la plupart des problèmes ?
Merci pour vos pistes

​

Bonjour
Bon voila un résultat qui n'est pas encourageant :
7.465 fichiers vont être analysés dont 181 déjà identifiés comme virus et 1 contenant des virus (15.929 fichiers ont été ignorés car ils sont repris sur la liste blanche d'aeSecure et 7.608 ignorés comme paramétré dans l'écran des options avancées).

Que dois-je faire avec les dossier marqué attention et ceux noté danger
Voici quelques exemples
​
Cela veut-il dire que j'ai 181 virus ?
Fait il supprimer les fichiers ou juste le badcode ? car dans les exemples donnés par acymailing ils semble qu'il disait de tout supprimer ?
Les maj des extensions peuvent elles résoudre la plupart des problèmes ?
Merci pour vos pistes



Comment savoir quel fichier est certain d'avoir le virus car il est noté 1 contenant des virus

Bonjour,

Pour moi, ce que tu montres n'est pas du code de virus mais des termes recherchés par le quickscan et trouvé dans des fichiers propres.
Es-tu bien en version 8.7.1 ?

Je suis en version php7
j ai donc pris la version pour php7
mais je peux très bien m installer xamp en version php8 et relancer le test

Je parlais de la version d'Acymailing.

Oui c est bien la dernière version. J étais en version 7
j ai fait la maj hier en version 8
j ai aussi la version 5 encore

Bonsoir

Un outil tel qu'un scanner sur base de patterns, ce que fait QuickScan, génère malheureusement un grand nombre de faux positifs.

Pour réduire ce nombre, j'ai mis sur liste blanche les fichiers natifs de Joomla (si non modifiés).

Reste alors tout le reste, 'es extensions, modules, template,... Et il faut être en mesure de comprendre les résultats. Je comprends que malheureusement ce n'est pas ton cas.

Les images que tu as postées montrent du texte (sous forme de commentaires, non exécutable) et des portions de code qui ne semblent pas malsaines.

À côté des patterns, QuickScan utilise aussi des signatures de virus que j'avais rencontré et identifié. Et là, la phrase "dont 181 déjà identifiés comme virus et 1 contenant des virus" qui dit qu'il y a un fichier qui, dans son intégralité, est un virus que j'ai déjà rencontré lors de mon activité de nettoyage de sites hackés (j'ai cessé cette activité il y a cinq ans) et, dans des fichiers auparavant sains, tu as 181 portion de virus que, là aussi, j'avais rencontré.

Il s'agit donc de fichiers php qui ont été parasités.

Je ne pourrais t'aider davantage.

Peut-être as-tu un backup de ton site d'avant le hacking ?

Parfaitement correct pour ce que l'on voit sur l'image (un virus peut se cacher ailleurs dans ce même fichier).

Il y a deux choses qui me perturbent : le nombre de fichiers déclarés comme virus ne permet pas un accès direct à ces fichiers pour vérifications (ou alors j'ai mal cliqué), et je ne comprends pas comment tu les définis comme virusés avant les scans par lots.

Hello

J'ai écris QuickScan en 2018 aussi il m'a fallu vérifier partie de mon code.

Pour te répondre, voici le début du code source : https://github.com/cavo789/aesecure_...scan.php#L2777

Avant de démarrer le scan par lot, je prends donc connaissance du nombre total de fichier à scanner (c'est le bouton "2. Obtention de la liste des fichiers" qui fait cela).

Je scanne le site à la recherche des fichiers à inclure et, d'emblée, je regarde la signature MD5 du fichier (https://github.com/cavo789/aesecure_...scan.php#L2777). Cela me génère un hash; p.ex. "8cdd4729b3182e19bde1db062128e9f2". Cette opération est rapide.

Je compare ce hash dans plusieurs fichier; est-ce qu'il se trouve dans le fichier

* aesecure_quickscan_CMS.json (qui correspond au CMS et à la version sur le site) auquel cas le fichier est core dans Joomla et donc sain,
* aesecure_quickscan_whitelist.json auquel cas, manuellement, j'ai déjà appris à QuickScan que ce fichier est propre,
* aesecure_quickscan_blacklist.json auquel cas j'ai appris à QuickScan que c'était un virus,
​* aesecure_quickscan_other.json auquel cas, alors que je faisais du nettoyage de site, j'ai appris à mon scanner que ce fichier a été parasité (il s'agit donc d'un fichier légitime mais contenant une charge virale),
...

C'est donc lors de l'obtention de la liste des fichiers que je peux déjà faire ce tri.

La zone est non cliquable parce qu'à ce stade l'action du bouton "2. Obtention de la liste des fichiers" ne remonte qu'un chiffre, pas une liste de fichiers (et j'aurais dû en effet faire autrement pour augmenter le confort de l'utilisateur).

Note: je viens de faire une petite modification au scanner (version 2.0.3) afin de ne plus scanner les fichiers qui ont une taille de zéro byte. Modification à la marge donc. Je tâcherais de voir si je peux trouver du temps pour l'amélioration mentionnée dans le paragraphe ci-dessus.

Suite à une notification de RobertG qui m'alertait sur le fait que, bizarrement, QuickScan détectait des virus sur un site dont la propreté ne pouvait être mise en doute; j'ai contrôlé et effectivement, il y avait un souci. Par erreur, le hash d'un fichier vide (zéro octet) était dans la liste des fichiers considérés comme étant un virus.

==> poupy et herve ; vous avez certainement été victime de ce bug. QuickScan détectait des virus sur votre site et, probablement, tout ou partie était faux.

Dans la foulée, j'ai adapté la programmation comme discuté ce matin : si l'établissement de la liste des fichiers (bouton 2) repère des virus et/ou des fichiers ayant une charge virale, j'en affiche immédiatement le nom complet. Image ci-dessous.

En d'autres mots : sans même lancer un scan (bouton 3); vous obtiendrez via le bouton 2. la liste des fichiers dont, QuickScan sait que soit c'est un virus (exemple /media/virus.php) soit un fichier qui était sain mais ayant été hacké pour y ajouter une portion virale.

Voili voilou; aeSecure QuickScan v2.0.3 disponible sur GitHub (https://github.com/cavo789/aesecure_quickscan). Pour rappel, il s'agit d'une version pour PHP 8.x



Bonne soirée et merci à Robert pour son alerte.

Bravo et merci pour ce script. Je l'ai testé sur un site sous wamp et il a très bien fonctionné. J'ai voulu le tester sur un site en ligne que je pense vérolé mais dans la phase 2, il m'a signalé une erreur. J'ai alors voulu relancer complètement le script : monsite/aesecure_quickscan.php mais il me répond désormais par une page blanche. Que faire? Merci

Je viens d'essayer le script sur un autre site en ligne et j'obtiens la même alerte suivante :
An error has occured :
Internal status: error
HTTP Status: 504 (Gateway Time-out)
XHR ReadyState: 4
Raw server response: Pour trouver une réponse à ce problème, merci de consulter la FAQ d'aeSecure QuickScan

​Et la page des faq ne répond pas. Aïe,aïe, aïe

Bonjour

Page blanche au deuxième appel alors que le premier appel était fonctionnel ? Vraiment étrange. Si tu relances le script maintenant, as-tu toujours une page blanche ?

Pour le second post, aïlle en effet la FAQ a disparue avec la disparition du site Web. Aurais-je un backup sur mon disque dur ? Faudra que je regarde.

Le souci est donc une limitation sur un site Web (en ligne). Le temps d'exécution de php est limité et l'activité de scan est longue donx, à un moment, ton serveur va dire "timeout".

Le mieux étant de scanner offline càd sur un site local.

Dans les deux cas (tes deux posts), si cela te convient, je ne serais pas contre l'idée de jeter un œil sur tes sites (pas besoin d'un accès FTP). Si cela te va, peux-tu m'envoyer les deux URLs vers le script QuickScan par message privé ?