Tweet
Bonjour,
Je reçois ce matin une alerte de Nuxit concernant une flopée de fichiers zip qui seraient porteurs de virus sur mon serveur Performance et qui ont été mis en quarantaine, impossibles à restaurer puisque provenant de divers dossiers et sites du serveur et regroups.
La plupart sont ceux de LazyDbBackup et d'autres extensions parfaitement licites, créés par moi ou des auteurs de confiance, présents sur le serveur depuis des mois voire des années.
En fait, il semblerait que le script de vérification antivirus de l'hébergeur considère presque tous les fichiers compressés comme virus, mais pas tous puisque ceux du module LdbChecker n'ont pas été mis en quarantaine.
Mais il y a aussi des fichiers comme "more14compressed.js.zip" présents dans une copie de site d'un client récemment migrée de J3 en J5 (et déjà présent dans le site J3), qui, si je comprends ce que j'ai vu en cherchant sur le net, serait d'origine Mootools. Est-ce bien ça ou dois-je considérer ce type de fichiers comme vraiment malicieux ?
Ce qui me surprend, c'est qu'un certain nombre de ces fichiers a été trouvé dans les dossiers tmp des sites (fichiers d'installation d'extensions), pourtant la plupart déjà en J5, donc avec ce dossier qui se vide une fois celle-ci terminée. A moins qu'il s'agisse d'anciennes tentatives d'installation échouées depuis mon site YourSites, mais ce sera difficile à vérifier.
Merci de vos conseils !
Je reçois ce matin une alerte de Nuxit concernant une flopée de fichiers zip qui seraient porteurs de virus sur mon serveur Performance et qui ont été mis en quarantaine, impossibles à restaurer puisque provenant de divers dossiers et sites du serveur et regroups.
La plupart sont ceux de LazyDbBackup et d'autres extensions parfaitement licites, créés par moi ou des auteurs de confiance, présents sur le serveur depuis des mois voire des années.
En fait, il semblerait que le script de vérification antivirus de l'hébergeur considère presque tous les fichiers compressés comme virus, mais pas tous puisque ceux du module LdbChecker n'ont pas été mis en quarantaine.
Mais il y a aussi des fichiers comme "more14compressed.js.zip" présents dans une copie de site d'un client récemment migrée de J3 en J5 (et déjà présent dans le site J3), qui, si je comprends ce que j'ai vu en cherchant sur le net, serait d'origine Mootools. Est-ce bien ça ou dois-je considérer ce type de fichiers comme vraiment malicieux ?
Ce qui me surprend, c'est qu'un certain nombre de ces fichiers a été trouvé dans les dossiers tmp des sites (fichiers d'installation d'extensions), pourtant la plupart déjà en J5, donc avec ce dossier qui se vide une fois celle-ci terminée. A moins qu'il s'agisse d'anciennes tentatives d'installation échouées depuis mon site YourSites, mais ce sera difficile à vérifier.
Merci de vos conseils !
Commentaire