fichiers javascript infecté par GT:JS.Injected.6.2B867A58

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • fichiers javascript infecté par GT:JS.Injected.6.2B867A58

    Bonjour,
    j'ai découvert un virus mais je ne trouves pas la source et je ne sais pas si dangereux ou non J'ai l'impression qu'il affecte tous mes fichiers java. Est ce qu'il vaut mieux tout réinstaller ?
    Fichiers joints

  • #2
    J'ai une 404 quand je tente de voir le fichier https://www.cfdtbrinks.fr/templates/...rontediting.js
    veroarno aime ceci.

    Commentaire


    • #3
      Bonjour,

      En regardant sur votre site, je ne vois pas d'erreur dans les JS et sucuri site check non plus : https://sitecheck.sucuri.net/results....cfdtbrinks.fr

      J'ai trouvé une discussion Bitdefender : https://community.bitdefender.com/en...ted-4-be42da35

      Il s'agirait d'un "false positive". Depuis quand avez-vous ce message ?

      Si vous avez des doutes, il faut rapatrier une sauvegarde et effectuer une recherche de virus.

      Personnellement, je rapatrie la sauvegarde et j'utilise, en local, aesecure de Christophe pour traquer les indésirables : https://github.com/cavo789/aesecure_quickscan

      Pascal
      veroarno aime ceci.
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Bonjour,
        oui j'ai aussi trouvé la discussion sur le false positif, et j'ai le même pb sur un autre de mes sites.
        Du coup en ftp sur mon 1er site j'ai renommer les fichiers .js soit disant infectés en .js.old et je ne trouve pus d'erreurs.
        Pour le 2ème site, je vais faire pareil.
        j'avais récupéré les sauvegardes des 2 sites auparavant mais pas encore testés car je ne savais pas comment pocéder. Il faut réinstaller mon site en local d'abord ?

        Commentaire


        • #5
          Bonjour,

          Vous avez eu une faille de sécurité et un hacker a modifié plusieurs fichiers.

          Les antivirus les plus performants seront particulièrement attentifs aux fonctions malveillantes insérées dans des fichiers JavaScript (et non java). Il est important de préciser que "JavaScript" et "Java" sont deux langages de programmation distincts, ils sont principalement utilisés pour des applications très différentes. Dans votre cas, il s'agit du fichier javascript main.js du template helix ultimate
          le chemin : ../templates/shaper_helixultimate/js/main.js

          Quand on visualise ce fichier main.js en mode code source, on peut voir l'écriture malveillante ajouté en fin de ce fichier de ce que l'on considère comme type virus JS/Agent.RRO
          Le mieux, c'est de télécharger le template Helix Ultimate avec son framework : https://www.joomshaper.com/helix
          et d'écraser les fichiers corrompus, en particulier ce fichier js qui se charge et infecte les visiteurs à chaque page.

          A la lecture de la discussion, vous avez également des extensions infectées donc n'hésitez pas à réinstaller les extensions impactées, d'utiliser et mettre à jour avec les dernières versions.
          La faille peut provenir par exemple d'un formulaire que ce soit pour s'identifier, de contact, consentement cookies ou autres. Vérifier, utiliser le programme de Christophe (cavo789).
          N'oubliez pas de mettre à jour Joomla 5, la dernière version est justement une version de sécurité.

          N'utilisez pas des extensions obsolètes ! Par exemple, advanced cookies n'est plus mis à jour depuis mars 2021, le code est complétement obsolète.
          Il faut opter pour des solutions comme https://www.joomlack.fr/extensions-joomla/cookies-ck réalisé par Cédric.
          Ma préférence va vers nt3 cookie consent qui en plus d'être à jour et gratuit, dispose d'une gestion de consentement avancé et d'un système de reconnaissance des cookies utilisés.

          Enfin n'oubliez pas de consulter les journaux d'activité (depuis l'administration de votre hébergement) et avant de toucher aux fichiers ou mettre à jour, n'hésitez pas à voir par ftp,
          les dates de modifications (notamment du fichier main.js) afin de savoir à quel moment il a pu agir. En consultant les journaux, on peut retracer une partie de son action et même de comprendre son action.
          Car au delà du nettoyage, vous devez aussi éviter qu'il puisse revenir donc de trouver la ou les failles de sécurité.
          Dernière édition par daneel à 12/07/2024, 02h22
          veroarno aime ceci.
          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

          Commentaire


          • #6
            Pour donner des explications sur le script que mon antivirus a détecté.

            Le virus JS/Agent est un cheval de Troie écrit en JavaScript. Il fait partie d'une très grande famille de chevaux de Troie appelés Trojan:JS/Agent Ce type de virus peut effectuer un certain nombre d'actions malveillantes au choix d'un acteur malveillant sur votre appareil. Cela peut inclure des fonctions de collecte de données ou l'installation d'autres scripts malveillants. L'analyse est difficile car il y a une série de variables et de fonctions obfusquées pour empêcher une lecture facile du code. Toutefois, on peut lire une initialisation d'un HttpClient qui envoi une requête à une url donc un script qui va recevoir les informations recueillis. Il génère un jeton unique afin d'identifier la "victime" et transmet les informations de son environnement ( navigateur utilisé, écran, fenêtre...)
            L'envoi de donnée génère un script en retour qui sera affiché/exécuté dans la fenêtre donc une partie du code malveillant provient de l'url du serveur destinataire.

            On aura compris que chaque chargement de page est susceptible d'infecter des visiteurs car il se comporte véritablement en cheval de Troie en transmettant des infos au serveur du hacker et en redirigeant vers la réponse obtenu si les conditions sont réunies.

            Les antivirus moins performants ne détectent pas ou émettent des suggestions. Cependant, il n'y a aucun doute sur le fait que le site soit hacké et des fichiers modifiés ! Pour obtenir ces infos, j'ai demandé à une AI comme chatGPT pour "déobfusquer" le code ajouté à main.js et cela m'a permis d'obtenir un code lisible qui ne sera pas publié dans la discussion pour des raisons évidentes mais on comprends désormais la méthode, l'objectif et le danger réel. Si votre site est toujours en ligne, c'est donc pour capter de nouvelles proies.

            Je vous invite à procéder à un nettoyage complet en reprenant les indications précédentes (mise à jour, choix des extensions...)​
            Dernière édition par daneel à 12/07/2024, 03h35
            veroarno aime ceci.
            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

            Commentaire


            • #7
              Bonjour Daneel,
              merci pour toutes ces infos. J'apprends au fur et à mesure...A l'instant, je viens de supprimer un nouveau propriétaire sur a google search console qui a passé le test de validité.
              Dans un premier temps donc je dois réinstaller le template par le menu "system" "extension" ?
              Pour info j'ai bien un formulaire de contact sur mon site mais je reçois beaucoup de spams alors que tout est bien paramétré pour moi. Cela fait des mois que j'ai un souci : j'utilise roundcube et depuis le panel impossible de répondre aux utilisateurs qui m'envoient une demande via le formulaire de contact, sauf pour les adresses type GMAIL...c'est à n'y rien comprendre.
              je vais essayer de verifier toutes les anomalies a recenser et de suivre vos indications.
              un grand merci deja pour votre aide, je vous tiens au courant

              Commentaire


              • #8
                Envoyé par veroarno Voir le message
                Dans un premier temps donc je dois réinstaller le template par le menu "system" "extension" ?
                oui en utilisant l'installateur de joomla (système > installation > extensions ),
                Les paramètres sont conservés. Cependant, il ne faut pas oublier de faire des sauvegardes (simple mesure de précaution)





                Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X