Site abusé deux fois de suite ...

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site abusé deux fois de suite ...

    Bonjour,

    j'ai un assez gros soucis qui m'arrive avec un de mes sites hébergé sur un serveur mutualisé. Il y a une semaine on me fait remarquer que le site est mis HS car il a été abusé via une faille de sécurité. Bon, OK , la persone qui devrait s'en occuper avait pas vraiment suivi les mises à jour ... donc je repart de 0.

    -> installation neuve depuis la dernière version
    -> fichiers et dossiers avec les bonnes options de lecture / écriture
    -> les seules ajouts : Akeeba Backup / Slide Show CK / Simple Image Galery

    Je repars de 0 et remonte tout ça et bam ... je vais jeter un oeil et le site est HS à nouveau "This Account has been suspended."

    Voila ce que j'avais eu la première fois ( en fin de post) ...

    Si vous avez une idée, je suis un peu au bout de ma vie .....


    Code:
    THE FOLLOWING FILES MATCHES ONE OR MORE KNOWN MALWARE SIGNATURES.
    
    Critical! - Directory Access Disabled - Nov 24 01:24:10 *********************************/public_html/components/com_content/views/categories/tmpl/default_items.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P0967]]
    Critical! - Directory Access Disabled - Nov 24 01:24:11 *********************************/public_html/components/com_content/views/form/tmpl/edit.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P0967]]
    Critical! - Directory Access Disabled - Nov 24 01:24:13 *********************************/public_html/components/com_users/views/reset/tmpl/confirm.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P0967]]
    Critical! - Directory Access Disabled - Nov 24 01:24:13 *********************************/public_html/components/com_wrapper/views/wrapper/memcache-fd.php'] - Known exploit = [Fingerprint Match] [PHP Upload Exploit [P1058]]
    Critical! - Directory Access Disabled - Nov 24 01:24:23 *********************************/public_html/libraries/fof/integration/joomla/platform.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P0967]]
    Critical! - Directory Access Disabled - Nov 24 01:25:25 *********************************/public_html/libraries/joomla/exporter.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P1031]]
    Critical! - Directory Access Disabled - Nov 24 01:25:28 *********************************/public_html/libraries/joomla/document/feed/renderer/atom.php'] - Known exploit = [Fingerprint Match] [PHP POST Exploit [P0967]]
    Critical! - Directory Access Disabled - Nov 24 01:25:31 *********************************/public_html/libraries/joomla/http/bin-d1.php'] - Known exploit = [Fingerprint Match] [PHP Exploit [P1028]]
    Critical! - Directory Access Disabled - Nov 24 01:25:31 *********************************/public_html/libraries/joomla/keychain/reverse-68.php'] - Known exploit = [Fingerprint Match] [PHP Exploit [P1028]]
    Critical! - Directory Access Disabled - Nov 24 01:25:33 *********************************/public_html/libraries/joomla/string/pclass.php'] - ClamAV detected virus = [Php.Malware.Agent-5486261-0]
    Critical! - Directory Access Disabled - Nov 24 01:25:35 *********************************/public_html/libraries/simplepie/mod_ariimagespas.php'] - ClamAV detected virus = [Php.Malware.Agent-5486261-0]
    Critical! - File Access Disabled - Nov 24 01:25:38 *********************************/public_html/logs/1.sh'] - Known exploit = [Fingerprint Match] [BASH Crypto Exploit [P1042]]
    Critical! - File Access Disabled - Nov 24 01:25:38 *********************************/public_html/logs/host'] - ClamAV detected virus = [Unix.Malware.Agent-6299699-0]
    Critical! - Directory Access Disabled - Nov 24 01:25:45 *********************************/public_html/media/system/cheap-oakley/2016/04/05/oakley-sale-sunglasses/cgi-d12.php'] - Known exploit = [Fingerprint Match] [PHP Upload Exploit [P1058]]
    Critical! - Directory Access Disabled - Nov 24 01:25:53 *********************************/public_html/modules/mod_random_image/cache-ade.php'] - Known exploit = [Fingerprint Match] [PHP Exploit [P1028]]
    
    
    liste des fichiers obsolètes et potentiellement exploitables
    
    
    Legacy Script - Nov 24 01:23:48 *********************************/public_html/administrator/components/com_akeeba/akeeba.xml'] - Script version check [OLD] [Akeeba Backup v4.4.3 < v5.5.1]
    Legacy Script - Nov 24 01:24:17 *********************************/public_html/libraries/cms/version/version.php'] - Script version check [OLD] [Joomla v3.4.5 < v3.8.2]
    Legacy Script - Nov 24 01:25:53 ****************

  • #2
    Bonsoir,

    Vous avez une version propre du site ?
    Effacer tout et réinstaller le site avec une bonne protection comme aesecure
    UP, le plugin universel à découvrir sur https//up.lomart.fr
    bgMax
    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

    Commentaire


    • #3
      Bonjour

      Certains fichiers n'ont rien à faire là comme p.ex. public_html/logs/1.sh.

      La question que je me pose, si tout est tout propre, tout neuf après ta réinstallation c'est : combien de sites as-tu sur ton FTP ? Si tu en as d'autres, il est probable que l'infection vient d'ailleurs et que ton site est juste contaminé parce que voisin d'un malade.

      Bonne soirée.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Bonsoir et merci pour vos réponses ...

        Pour ce qui est des sites sur ce serveur, il est mutualisé et je ne sais pas ce qui se passe sur les autres sites hébergés en parallèle, difficile a argumenter auprès de mon hébergeur sans être certain de ce que j'avance (surtout qu'en général ils sont assez top).

        Je leur ai envoyé une demande pour ré-ouvrir le FTP que je puisse me connecter pour vérifier les fichiers ...

        Sur la sauvegarde du site infecté il y avait bien des fichiers ajoutés (comment ??) , mais sur la nouvelle version tout a l'air clean



        Commentaire


        • #5
          Je parlais de ton FTP, pas celui du serveur. Est-ce que tu as toi-même plusieurs sites hébergés sur ton seul FTP.

          Si tu as un et un seul site et que tu avais tout nettoyé (tout = ne rien laisser en place); cela me semble impossible que ton site soit à nouveau vérolé en si peu de temps. Il faut donc se poser la question si tu as bien installé que du propre (Joomla propre, des extensions propres (non téléchargées sur des sites exotiques), ...).

          Pense aussi à protéger ton site si tu n'as rien prévu à ce sujet.

          Bonne soirée.
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Bon, au final la deuxième alerte venait du fait que les fichiers du premier hack avaient été déplacés dans un répertoire au dessus du www/ et au contrôle cela avait matché sur ces derniers et vidé le www/

            Mauvaise blague .... mais résolu

            Merci pour votre aide , je vais me tourner et regarder du côté de AEsecure ..

            Bonne soirée

            Commentaire

            Annonce

            Réduire
            Aucune annonce pour le moment.

            Partenaire de l'association

            Réduire

            Hébergeur Web PlanetHoster
            Travaille ...
            X