Site piraté

**tataye** · 21/09/2024, 05h43

depuis l'outil de MAJ joomla ( il faut purger les MAJ ) il y a possibilité de réinstaller par dessus le noyau
néanmoins cela risque de ne pas suffire.
il existe des outils de protection (admin tools)
le scan de christophe fonctionne bien mais il y a aussi un outil dans le cpanel de o2s (immunify AV), cela te permettra de voir si ce n'est pas un autre dossier qui est infecté.

**balad144** · 21/09/2024, 11h08

Bonjour à tous,

Avant la mise à jour de Joomla.5.1.4, j'ai voulu faire une sauvegarde, Akeeba Backup ne fonctionnait plus avec un message d'erreur qui mentionnait un fichier introuvable (conséquence du piratage certainement) , je l'ai désinstallé et réinstallé et OK.
J'ai refais la mise à jour de Joomla c'est OK pour l'instant.

tataye sur O2switch j'ai passé l'antivirus et immunifyAV, mais rien de spécial.

S'il y a des fichiers .PHP qui sont des intrus, que faire pour les scanner, j'ai essayé avec 2 sites en ligne connus résultats néants, je dois admettre que je suis un peu dépassé, mais bon attendons de voir dans les jours ou semaines qui viennent.

En attendant je vous remercie tous très sincèrement pour votre aide et vos conseils (j'en apprend des choses).

Bon week end à vous
Fred

**cavo789** · 21/09/2024, 11h35

Imagine un virus dans /media/virus.php : à aucun moment un scanner en ligne ne pourra le détecter.

Il faut obligatoirement un scanner qui analyse les fichiers, comme aeSecure QuickScan ou d'autres bien sûr.

Un outil en ligne va lire le code html des pages retourné et ce code peut être propre (par exemple le virus.php peut détecter que l'appel est fait depuis tel site d'analyse et hop ne pas envoyer une page vérolé).

**balad144** · 21/09/2024, 14h05

Bonjour Christophe,

merci pour ces infos. J'ai refais un scan.php du site que j'ai rapatrié en local, et trouve encore des Dangers, le problème c'est que je ne sais pas quoi faire pour éventuellement éradiquer ces trucs, en pièce jointe le doc du scan.

Fichiers joints

scan.php.docx (30,4 Ko, 16 affichage(s))

**cavo789** · 21/09/2024, 15h36

Je ne vois aucun virus dans ce que tu as copié collé dans ton document.

Cela me semble clean.

**pmleconte** · 21/09/2024, 16h00

Bonjour,

Les "dangers" signalés viennent d'extensions connues (Akeeba bakup, JCE, ICAgenda,...) qui utilisent des mots "à risque", telles que cookie, warrior, brute force, cracking ...

La plupart sont des commentaires laissés par les développeurs pour expliquer ce qu'ils font.

Il est peu probable qu'un hackeur fasse ce type de commentaire sur son virus, mais aesecure les montre au cas où.

Pascal

**balad144** · 21/09/2024, 17h28

cavo789 merci d'avoir regardé mon doc et tu me rassure, car en voyant Danger j'ai cru que c'était toujours là, comme je n'y connais rien !

pmleconte merci également pour ces explications, car mes connaissances sont extrêmement limités dans ce domaine.

J'espère que ça va rentrer dans l'ordre et regarder pour sécuriser un peu plus le site.

Encore un Grand Merci à vous de m'avoir aidé dans ces problèmes surtout quand on y connait rien.
Je vous souhaite un bon week-end.
Fred

**cavo789** · 22/09/2024, 07h09

Envoyé par pmleconte Voir le message

Il est peu probable qu'un hackeur fasse ce type de commentaire sur son virus, mais aesecure les montre au cas où.

Salut Pascal

À l'époque où j'ai entraîné mes outils (on ne parlait pas encore d'IA), j'ai soumis quantité de virus dénichés ici et là (il existe des repos sur github.com) et j'avais noté les mots clef qui revenaient souvent.

Aujourd'hui ces mêmes mots clef génèrent en effet trop de bruit : ce matin j'ai publié une nouvelle version de QuickScan sans ces patterns, le scanner rapportera donc nettement moins de faux positifs.

Son usage sera donc plus simple sans toutefois réduire la qualité du scan (ni l'améliorer).

**balad144** · 22/09/2024, 08h48

Bonjour Christophe,
effectivement il y en a moins, j'ai refais un scan avec ton nouveau script que je mets en pièce jointe, si cela peut intéresser.
Bon dimanche
Fred

Fichiers joints

aeSecure Quickscan.docx (53,3 Ko, 20 affichage(s))

**cavo789** · 22/09/2024, 10h17

Hello

Je pourrais encore retirer l'un ou l'autre fausse alerte mais certain comme base64_decode resteront (et nombreuses) car c'est vraiment une des manières utilisées pour décrypter un code avant de l'exécuter et donc peut dénoter la présence d'un virus.

**balad144** · 23/09/2024, 09h01

Bonjour,
j'ai refais ImunifyAV du cpanel de O2switch (que j'avais mal utilisé) et il a trouvé 2 fichiers infectés que voici, est ce que je peux les supprimer sans problème ?

randophil56.fr_/media/plg_system_jsvisit/js/index.html
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="refresh" content="7; url='XXXXXXXX" />
</head>
<body>
</body>
</html>

randophil56.fr_/media/system/html/noxml.html
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="refresh" content="7; url='XXXXXXXX'" />
</head>
<body>
</body>
</html>

Encore merci pour vos réponses et désolé de faire encore appel à vous
Bonne journée
Fred.

**cavo789** · 23/09/2024, 11h38

Oui, en effet. A supprimer.

**balad144** · 23/09/2024, 11h58

Merci encore Christophe, j'espère que j'en ai fini avec ça !
Très bonne journée
Fred

Site piraté

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association