Bonjour,

S'il y a redirection, il faut savoir où elle est déclenchée.
Tu peux déjà regarder et si besoin faire une copie d'écran de la liste des fichiers présents à la racine du site (au-dessous du dossier tmp), pour vérifier s'il y a des fichiers clairement en trop, ce qui est probable.
Je te contacte en MP.

Bonjour RobertG, Je n'arrive pas à te répondre en MP, il n'y a pas de bouton répondre !

voici les fichiers après le TMP, le fichier index.php a été modifié avec l'url pirate, j'ai remis l'index .php correct via le cpanel de o2switch, mais cela n'a rien changé !

ci-joint les index.php avant et après la modif par les pirates

index.php pirate






index.php correct

Si ça n'a rien changé, est-ce parce que le index.php est automatiquement remplacé, ou malgré le fait qu'il reste correct ?
Commence par changer ton mot de passe ftp et assure-toi que d'autres comptes ftp n'ont pas été créés depuis l'administration de ton serveur.

Bonsoir,
Chez O2switch, ils ont fait une restauration du site à j -2, et tout est rentré dans l'ordre.
Ce qui m'inquiète quand même c'est un fichier qui a été modifié chez l’hébergeur, je pensais qu'ils étaient très sécurisé, je vais leurs poser la question.

Merci @RobertG d'avoir pris le temps voir mon problème et bonne soirée.
Fred

Attention : souvent le piratage est beaucoup plus ancien et le fichier responsable peut n'être activé (ici pour modifier le index.php) que longtemps plus tard, ce qui veut dire que la restauration à une date récente ne signifie pas que le responsable n'est pas encore présent et susceptible d'être réactivé un jour ou l'autre.
Si la faille qui a permis au pirate de passer est dans un fichier du noyau ou dans une extension, ou encore si le pirate a pu trouver à accéder à l'administration du site ou du serveur par ftp, je doute que O2switch y puisse quelque chose.

Bonjour,

Il serait aussi intéressant de connaitre tous les composants tiers installés.

Bonsoir,
je comprends bien ce que vous dites, mais à mon petit niveau je ne vois pas trop ce que je peux faire, si vous avez des astuces pour essayer d'y remédier je suis preneur !

les composants: Akeeba backup, ICAgenda, phoca galerie, MaximenuCK, CGscroll, CGMeteo, Jvisit counter, LMMarquee

Merci et bonne soirée à vous
Fred

Bonjour,

Votre site est à nouveau HS.

D'après les dates des fichiers Joomla, vous êtes à jour, la version J5 la plus récente a créé des fichiers au 27/08/2024 à 00h31.

Est-ce que vos extensions sont bien à jour, elles aussi ?

Pascal

Bonjour

Comme premier outil pour détecter les potentiels virus, tu peux utiliser aeSecure - QuickScan (https://www.avonture.be/blog/aesecure-quickscan) qui permet de faire un scan de ton site et de répertorier les "patterns" suspects.

L'outil va détecter des "vrais" virus (=aucun doute) et des probabilités de virus (faux-positifs possible).

Bonne journée et bon nettoyage.

Bonjour à tous,

merci pour vos conseils, je vais essayer aeSecure pour voir, sinon O2switch m'a indiqué plusieurs démarches à faire en plus des mises à jour normales du cms et des plugins que je mets à jour régulièrement.

- Utiliser un plugin de sécurité pour votre site web (Comme ithèmesSecurity pour wordpress)
- Déplacer votre slug de connexion pour vous connecter à votre tableau de bord (Par exemple : nomdedomaine.fr/wp-admin devient nomdedomaine.fr/connexion) pour éviter les attaques par force brute.
- Utiliser l'outil tiger protect de votre cPanel : https://faq.o2switch.fr/hebergement-...ger-protect​

Si vous connaissez les mêmes choses pour Joomla avec un tuto pour expliquer comment faire, ce sera avec plaisir.
Fred

Bonjour,

Je persiste à penser que le ver est déjà dans le fruit et que ces mesures ne seront efficaces qu'après son éradication.

Bonjour,
le scan de Christophe fait 504 Gateway Time Out sur le site en ligne, j'avais rapatrié le site en local le 27 aout et voici le résultat:

D:\wamp64\www\randophil.J5\administrator\component s\com_admin\script.php(174.63K)(Date dernière modif. August 27 2024 02:31:12.)aca529635c9d725e1d1bf0d08ac6d198Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108157 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/meta.min.js.gz',
'/media/vendor/codemirror/mode/mirc/mirc.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108162 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/meta.min.js.gz',
'/media/vendor/codemirror/mode/mirc/mirc.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/codem

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108215 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/mirc/mirc.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
'/media/

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108220 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/mirc/mirc.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
'/media/vendo

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108277 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
'/media/vendor/codemirror/mode/mllike/mllike.js',
'/media/

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 108282 du fichier; voici le contexte :

'/media/vendor/codemirror/mode/mirc/mirc.min.js',
'/media/vendor/codemirror/mode/mirc/mirc.min.js.gz',
'/media/vendor/codemirror/mode/mllike/mllike.js',
'/media/vendo

Danger Forte probabilité qu'il s'agisse d'un fichier ayant été virusé ou étant un virusSignature : mircTrouvé en position 152778 du fichier; voici le contexte :

ca',
'/media/vendor/codemirror/mode/mllike',
'/media/vendor/codemirror/mode/mirc',
'/media/vendor/codemirror/mode/mbox',
'/media/vendor/codemirror/mode/math​