il est visible sur le panel de l'hébergeur mais invisible via ftp
fichiers javascript infecté par GT:JS.Injected.6.2B867A58
Réduire
X
-
Bonjour
Tu dois forcément regarder au mauvais endroit... Le fichier aurait pû être invisible si son nom débutait par un point (comme pour .htaccess), ce n'est pas le cas donc aucune raison de ne pas le voir.
Bonne chance avec ton gros nettoyage.Christophe (cavo789)
Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
Commentaire
-
Bonjour,
Personnellement, si j'en ai parlé, c'est que je l'ai bien vu par ftp à la racine du site.veroarno aime ceci."Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
- "J'aime" 1
Commentaire
-
Maintenant oui il apparait, hier à plusieurs reprises il n'apparaissait pas, je vais éviter les apéros trop rapprochés
j'ai isolé mes sauvegardes sur diverses clé usb. D'habitude BitDefender me bloque illico toutes les connections suspectes, les redirections de pages, les virus et logiciels malveillants. Même en édiant un fichier php, il était mis en quarantaine de suite. Là, je n'ai aucune alerte depuis que j'ai réinstallé mon site à partir d'une sauvegarde. Le problème est apparu suite à la mise à jour de MariaDB 10.4 par mon hébergeur.
Aucun message critique de google. A se demander si ce n'est pas mon hébergeur qui a un souci...
A la racine du site je vois un répertoire .gnupg et un sous répertoire "private-keys-v1.d" et dans le "style.php" ill y a une séquence avec private-keys-v1.d....
je vais peut-etre devoir regarder comment se comporte le site quelques jours pour me guider....
Commentaire
-
La question est d'abord de supprimer ce fichier, ensuite de savoir comment il a pu être ajouté au site: quelle est la faille ?
Dns les logs, on a de nombreuses attaques diverses entre autres vers des supposés fichiers WP (c'est classique) mais aussi des appels à ce fichier dont je n'ai pas pu exactement comprendre le rôle, mais on y voit une instruction "rename" ou le passage d'un code que bse64decode doit ensuite traiter.
Donc pour moi, il est maléfique ! Et il n'est pas présent dans ta sauvegarde du 8 mars.
Tu devrais d'abord changer le mot de passe d'accès au ftp, ensuite supprimer ce fichier (ou l'inverse) et surveiller de près !"Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
Commentaire
-
Ça ne serait pas ton hébergeur qui a rajoutéce répertoire ?
A priori ce répertoire concerne le logiciel GnuPG qui est un logiciel de sécurité.
Et il est normal que tu ne vois pas le fichier style.php puisqu'il est dans un répertoire "invisible"
Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
Commentaire
-
Le fichier était bien visible pour moi hier et ce matin, et je ne vois pas de quel répertoire tu parles car l'accès ftp que j'ai sur le serveur masque ces dossiers et fichiers "système", contrairement à ce que j'ai sur d'autres serveurs."Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
Commentaire
-
le répertoire gnupg est vide, son sous répertoire aussi, aucune donnée. Peut-être une tentative échouée d'installation de ce logiciel par un tiers car a part ImunifYav le scanner de logiciel malveillant proposé par l'hébergeur, je ne suis abonné a aucun autre service
Commentaire
-
Les hackeurs ne sont pas passés par le FTP mais ils ont profité d'une faille (ou plusieurs) depuis ton site Web. Changer le mot de passe du fto, pourquoi pas, mais tant que tu as un seul virus, cela recommencera...
Un seul virus peut ouvrir une page Web où hackeur pourrait avoir accès à une console (selon la dangerosité du virus).veroarno aime ceci.Christophe (cavo789)
Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
- "J'aime" 1
Commentaire
-
Je suis persuadé que le hacker s'est introduit via le plesk de l'hébergeur. En effet, j'avais remarqué depuis quelques temps, en me connectant au Plesk, ce message "Attention, un autre utilisateur portant le même nom est déjà connecté. Comme j'utilise plusieurs pc pour me connecter à différents endroits, je ne m'inquiétais pas, souvent on se déconnecte d'un endroit et on oublie l'autre. Du coup j'ai changé le mot de passe et je n'ai plus ce message
Commentaire
-
Bonjour,
j'ai repris en local ma sauvegarde saine du 8 mars pour bosser dessus pour gagner du temps au cas où.
Au départ 685 fichiers infectés, aujourd'hui, il m'en reste 121 uniquement des fichiers JS, ce qui n'est pas ma tasse de thé. J'ai supprimé manuellement des fichiers ".php" essentiellement du genre .xxxxx.php (la plupart vide de script) dont 2 fichiers ".style.php", de meme type que celui a la racine. Pour m'aider a la suppression, je me suis aidé de mon site en local. J'ai désinstallé et réinstallé mes extensions Auparavant, j'ai visionné le journal des actions Joomla mais rien vu d'anormal. Je n'ai pas touché à ma bdd
Commentaire
-
Bonjour,
Je suggère de refaire l'intégralité du site depuis le début, sans utiliser de sauvegarde, et chez un nouvel hébergeur.
J'espère que vous avez mis votre site hors ligne. Vous êtes responsable de toute contamination que vos visiteurs ou tiers peuvent contracter à partir de votre site contaminé.
Dernière édition par Helloo à 12/08/2024, 19h20veroarno aime ceci.
- "J'aime" 1
Commentaire
Annonce
Réduire
Aucune annonce pour le moment.
Commentaire