Site piraté

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site piraté

    Bonjour à tous,
    je gère le site d'une asso de randonneurs www.randophil56.fr , il apparait que ce site à été piraté car quand on tape l'url du site on arrive sur un autre url qui est celui-ci: https://centerservice.se/ et derrière on tombe sur lido.

    J'admets que je ne suis pas un spécialiste pour rétablir ce problème, j'aurais besoin de conseils et d'une marche à suivre pour essayer de reprendre les choses en main.

    Je vous remercie d'avance pour toute l'aide que vous pouvez m'apporter.
    Fred

  • #2
    Bonjour,

    S'il y a redirection, il faut savoir où elle est déclenchée.
    Tu peux déjà regarder et si besoin faire une copie d'écran de la liste des fichiers présents à la racine du site (au-dessous du dossier tmp), pour vérifier s'il y a des fichiers clairement en trop, ce qui est probable.
    Je te contacte en MP.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Bonjour RobertG, Je n'arrive pas à te répondre en MP, il n'y a pas de bouton répondre !

      Commentaire


      • #4
        voici les fichiers après le TMP, le fichier index.php a été modifié avec l'url pirate, j'ai remis l'index .php correct via le cpanel de o2switch, mais cela n'a rien changé !

        Cliquez sur l'image pour l'afficher en taille normale

Nom : racine.jpg 
Affichages : 139 
Taille : 142,8 Ko 
ID : 2064574

        Commentaire


        • #5
          ci-joint les index.php avant et après la modif par les pirates

          index.php pirate

          Cliquez sur l'image pour l'afficher en taille normale

Nom : index.php.pirate.jpg 
Affichages : 117 
Taille : 39,7 Ko 
ID : 2064576




          index.php correct

          Cliquez sur l'image pour l'afficher en taille normale

Nom : index.php.correct.jpg 
Affichages : 107 
Taille : 106,1 Ko 
ID : 2064577




          Commentaire


          • #6
            Si ça n'a rien changé, est-ce parce que le index.php est automatiquement remplacé, ou malgré le fait qu'il reste correct ?
            Commence par changer ton mot de passe ftp et assure-toi que d'autres comptes ftp n'ont pas été créés depuis l'administration de ton serveur.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

            Commentaire


            • #7
              Bonsoir,
              Chez O2switch, ils ont fait une restauration du site à j -2, et tout est rentré dans l'ordre.
              Ce qui m'inquiète quand même c'est un fichier qui a été modifié chez l’hébergeur, je pensais qu'ils étaient très sécurisé, je vais leurs poser la question.

              Merci @RobertG d'avoir pris le temps voir mon problème et bonne soirée.
              Fred

              Commentaire


              • #8
                Attention : souvent le piratage est beaucoup plus ancien et le fichier responsable peut n'être activé (ici pour modifier le index.php) que longtemps plus tard, ce qui veut dire que la restauration à une date récente ne signifie pas que le responsable n'est pas encore présent et susceptible d'être réactivé un jour ou l'autre.
                Si la faille qui a permis au pirate de passer est dans un fichier du noyau ou dans une extension, ou encore si le pirate a pu trouver à accéder à l'administration du site ou du serveur par ftp, je doute que O2switch y puisse quelque chose.
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Bonjour,

                  Il serait aussi intéressant de connaitre tous les composants tiers installés.

                  Commentaire


                  • #10
                    Bonsoir,
                    je comprends bien ce que vous dites, mais à mon petit niveau je ne vois pas trop ce que je peux faire, si vous avez des astuces pour essayer d'y remédier je suis preneur !

                    les composants: Akeeba backup, ICAgenda, phoca galerie, MaximenuCK, CGscroll, CGMeteo, Jvisit counter, LMMarquee

                    Merci et bonne soirée à vous
                    Fred

                    Commentaire


                    • #11
                      Bonjour,

                      Votre site est à nouveau HS.

                      D'après les dates des fichiers Joomla, vous êtes à jour, la version J5 la plus récente a créé des fichiers au 27/08/2024 à 00h31.

                      Est-ce que vos extensions sont bien à jour, elles aussi ?

                      Pascal
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #12
                        Bonjour

                        Comme premier outil pour détecter les potentiels virus, tu peux utiliser aeSecure - QuickScan (https://www.avonture.be/blog/aesecure-quickscan) qui permet de faire un scan de ton site et de répertorier les "patterns" suspects.

                        L'outil va détecter des "vrais" virus (=aucun doute) et des probabilités de virus (faux-positifs possible).

                        Bonne journée et bon nettoyage.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Bonjour à tous,

                          merci pour vos conseils, je vais essayer aeSecure pour voir, sinon O2switch m'a indiqué plusieurs démarches à faire en plus des mises à jour normales du cms et des plugins que je mets à jour régulièrement.

                          - Utiliser un plugin de sécurité pour votre site web (Comme ithèmesSecurity pour wordpress)
                          - Déplacer votre slug de connexion pour vous connecter à votre tableau de bord (Par exemple : nomdedomaine.fr/wp-admin devient nomdedomaine.fr/connexion) pour éviter les attaques par force brute.
                          - Utiliser l'outil tiger protect de votre cPanel : https://faq.o2switch.fr/hebergement-...ger-protect​

                          Si vous connaissez les mêmes choses pour Joomla avec un tuto pour expliquer comment faire, ce sera avec plaisir.
                          Fred

                          Commentaire


                          • #14
                            Bonjour,

                            Je persiste à penser que le ver est déjà dans le fruit et que ces mesures ne seront efficaces qu'après son éradication.
                            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                            Commentaire


                            • #15
                              Bonjour,
                              le scan de Christophe fait 504 Gateway Time Out sur le site en ligne, j'avais rapatrié le site en local le 27 aout et voici le résultat:

                              D:\wamp64\www\randophil.J5\administrator\component s\com_admin\script.php(174.63K)(Date dernière modif. August 27 2024 02:31:12.)aca529635c9d725e1d1bf0d08ac6d198Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108157 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/meta.min.js.gz',
                              '/media/vendor/codemirror/mode/mirc/mirc.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108162 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/meta.min.js.gz',
                              '/media/vendor/codemirror/mode/mirc/mirc.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/codem

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108215 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/mirc/mirc.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
                              '/media/

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108220 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/mirc/mirc.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
                              '/media/vendo

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108277 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
                              '/media/vendor/codemirror/mode/mllike/mllike.js',
                              '/media/

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108282 du fichier; voici le contexte :

                              '/media/vendor/codemirror/mode/mirc/mirc.min.js',
                              '/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
                              '/media/vendor/codemirror/mode/mllike/mllike.js',
                              '/media/vendo

                              Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 152778 du fichier; voici le contexte :

                              ca',
                              '/media/vendor/codemirror/mode/mllike',
                              '/media/vendor/codemirror/mode/mirc',
                              '/media/vendor/codemirror/mode/mbox',
                              '/media/vendor/codemirror/mode/math​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X