J'ai une 404 quand je tente de voir le fichier https://www.cfdtbrinks.fr/templates/...rontediting.js

Bonjour,

En regardant sur votre site, je ne vois pas d'erreur dans les JS et sucuri site check non plus : https://sitecheck.sucuri.net/results....cfdtbrinks.fr

J'ai trouvé une discussion Bitdefender : https://community.bitdefender.com/en...ted-4-be42da35

Il s'agirait d'un "false positive". Depuis quand avez-vous ce message ?

Si vous avez des doutes, il faut rapatrier une sauvegarde et effectuer une recherche de virus.

Personnellement, je rapatrie la sauvegarde et j'utilise, en local, aesecure de Christophe pour traquer les indésirables : https://github.com/cavo789/aesecure_quickscan

Pascal

Bonjour,
oui j'ai aussi trouvé la discussion sur le false positif, et j'ai le même pb sur un autre de mes sites.
Du coup en ftp sur mon 1er site j'ai renommer les fichiers .js soit disant infectés en .js.old et je ne trouve pus d'erreurs.
Pour le 2ème site, je vais faire pareil.
j'avais récupéré les sauvegardes des 2 sites auparavant mais pas encore testés car je ne savais pas comment pocéder. Il faut réinstaller mon site en local d'abord ?

Bonjour,

Vous avez eu une faille de sécurité et un hacker a modifié plusieurs fichiers.

Les antivirus les plus performants seront particulièrement attentifs aux fonctions malveillantes insérées dans des fichiers JavaScript (et non java). Il est important de préciser que "JavaScript" et "Java" sont deux langages de programmation distincts, ils sont principalement utilisés pour des applications très différentes. Dans votre cas, il s'agit du fichier javascript main.js du template helix ultimate
le chemin : ../templates/shaper_helixultimate/js/main.js

Quand on visualise ce fichier main.js en mode code source, on peut voir l'écriture malveillante ajouté en fin de ce fichier de ce que l'on considère comme type virus JS/Agent.RRO
Le mieux, c'est de télécharger le template Helix Ultimate avec son framework : https://www.joomshaper.com/helix
et d'écraser les fichiers corrompus, en particulier ce fichier js qui se charge et infecte les visiteurs à chaque page.

A la lecture de la discussion, vous avez également des extensions infectées donc n'hésitez pas à réinstaller les extensions impactées, d'utiliser et mettre à jour avec les dernières versions.
La faille peut provenir par exemple d'un formulaire que ce soit pour s'identifier, de contact, consentement cookies ou autres. Vérifier, utiliser le programme de Christophe (cavo789).
N'oubliez pas de mettre à jour Joomla 5, la dernière version est justement une version de sécurité.

N'utilisez pas des extensions obsolètes ! Par exemple, advanced cookies n'est plus mis à jour depuis mars 2021, le code est complétement obsolète.
Il faut opter pour des solutions comme https://www.joomlack.fr/extensions-joomla/cookies-ck réalisé par Cédric.
Ma préférence va vers nt3 cookie consent qui en plus d'être à jour et gratuit, dispose d'une gestion de consentement avancé et d'un système de reconnaissance des cookies utilisés.

Enfin n'oubliez pas de consulter les journaux d'activité (depuis l'administration de votre hébergement) et avant de toucher aux fichiers ou mettre à jour, n'hésitez pas à voir par ftp,
les dates de modifications (notamment du fichier main.js) afin de savoir à quel moment il a pu agir. En consultant les journaux, on peut retracer une partie de son action et même de comprendre son action.
Car au delà du nettoyage, vous devez aussi éviter qu'il puisse revenir donc de trouver la ou les failles de sécurité.

Pour donner des explications sur le script que mon antivirus a détecté.

Le virus JS/Agent est un cheval de Troie écrit en JavaScript. Il fait partie d'une très grande famille de chevaux de Troie appelés Trojan:JS/Agent Ce type de virus peut effectuer un certain nombre d'actions malveillantes au choix d'un acteur malveillant sur votre appareil. Cela peut inclure des fonctions de collecte de données ou l'installation d'autres scripts malveillants. L'analyse est difficile car il y a une série de variables et de fonctions obfusquées pour empêcher une lecture facile du code. Toutefois, on peut lire une initialisation d'un HttpClient qui envoi une requête à une url donc un script qui va recevoir les informations recueillis. Il génère un jeton unique afin d'identifier la "victime" et transmet les informations de son environnement ( navigateur utilisé, écran, fenêtre...)
L'envoi de donnée génère un script en retour qui sera affiché/exécuté dans la fenêtre donc une partie du code malveillant provient de l'url du serveur destinataire.

On aura compris que chaque chargement de page est susceptible d'infecter des visiteurs car il se comporte véritablement en cheval de Troie en transmettant des infos au serveur du hacker et en redirigeant vers la réponse obtenu si les conditions sont réunies.

Les antivirus moins performants ne détectent pas ou émettent des suggestions. Cependant, il n'y a aucun doute sur le fait que le site soit hacké et des fichiers modifiés ! Pour obtenir ces infos, j'ai demandé à une AI comme chatGPT pour "déobfusquer" le code ajouté à main.js et cela m'a permis d'obtenir un code lisible qui ne sera pas publié dans la discussion pour des raisons évidentes mais on comprends désormais la méthode, l'objectif et le danger réel. Si votre site est toujours en ligne, c'est donc pour capter de nouvelles proies.

Je vous invite à procéder à un nettoyage complet en reprenant les indications précédentes (mise à jour, choix des extensions...)​

Bonjour Daneel,
merci pour toutes ces infos. J'apprends au fur et à mesure...A l'instant, je viens de supprimer un nouveau propriétaire sur a google search console qui a passé le test de validité.
Dans un premier temps donc je dois réinstaller le template par le menu "system" "extension" ?
Pour info j'ai bien un formulaire de contact sur mon site mais je reçois beaucoup de spams alors que tout est bien paramétré pour moi. Cela fait des mois que j'ai un souci : j'utilise roundcube et depuis le panel impossible de répondre aux utilisateurs qui m'envoient une demande via le formulaire de contact, sauf pour les adresses type GMAIL...c'est à n'y rien comprendre.
je vais essayer de verifier toutes les anomalies a recenser et de suivre vos indications.
un grand merci deja pour votre aide, je vous tiens au courant

oui en utilisant l'installateur de joomla (système > installation > extensions ),
Les paramètres sont conservés. Cependant, il ne faut pas oublier de faire des sauvegardes (simple mesure de précaution)

Bonsoir Daneel,
j'ai suivi vos indications à la lettre et pour le moment tout est rentré dans l'ordre.
j'ai aussi installé nt3 cookie consent que je trouve super.
Merci beaucoup

Après une période tranquille, je fais une analyse avec lo logiciel intégré de l'hébergeur ce matin et je me retrouve avec mes fichiers infectés .
j'ai utilisé également aesecure_quickan qui me confirme et https://sitecheck.sucuri.net/. J'ai donc réinstallé mon site à partir de 3 backups différents mais idem, fichiers infectés. Je les avait sur un DD externe.
Je ne me rappelle pas si c'était le même virus que notre discussion précédente ?
J'avais trouvé des séquence dans des fichiers php avec des mots comme "base64"
Dépité, je recommence la procédure en réinstallant mon site avec une de ces 3 sauvegardes, je mets à jour vers la dernière version de JOOMLA!, je réinstalle par dessus toutes les extensions à jour et la toujours des fichiers infectés détectés par le logiciel de mon hébergeur.....mais par contre le site https://sitecheck.sucuri.net/ lui ne me trouve plus aucun fichier infecté.
Quoi penser....

Bonjour,

Cela confirme la notion de cheval de Troie dont parle daneel : il est présent quelque part sur le serveur ou est réinjecté par une faille quelque part.

Les fois précédentes, chaque clic sur une page du site mettait en route mon antivirus qui bloquait direct la connection. Maintenant, plus aucune alerte...le journal des actions dans Joomla ne donne aucune action suspecte, au niveau utilisateurs non plus, je suis l'unique super utilisateur et le site fonctionne correctement

un exemple d'un fichier php.
l'hébergeur me détecte 657 fichiers infectés, j'ai désinstallé pas mal d'extensions, je suis descendu à 400 fichiers infectés

C'est quoi ce fichier style.php à la racine du site ? Ce n'est pas du "Joomla!".

c'est la question que je me pose depuis tout a l'heure, ce n'est pas un fichier propre à joomla effectivement mais dans le doute je n'y ai pas touché