Bonsoir

Ce fichier est bel et bien un virus qui tente de télécharger, sur différents endroits, du code PHP vérolé.

Si ce fichier se trouve sur votre site; votre site est donc mal en point.

Si ce contenu était transmis à votre site par une grosse requête GET avec les données en paramètres, à priori, c'est donc juste une tentative d'attaque.

>Je n'y connais pas grand chose en joomla et rien en sécurité.

Il serait alors grand temps de commencer à potasser le sujet ;-) Il y a de multiples sujets sur internet parlant de cela.

Bonne soirée.

Bonjour,
Oui c'est dans les requêtes GET que c'est envoyé. Mais je ne sais pas comment savoir si elles ont abouti. L'adresse IP en a fait 4 identiques puis plus rien. J'imagine que le mail à la fin c'est un envoi au pirate si jamais l’attaque automatique a réussit ?
Les problèmes de sécurité m'intéresse mais ça prend du temps et ça évolue vite. Je pense que mon site contient peu d'informations critiques, mais il y a quand même quelques adresses mails pour les mailing list. ça m'embêterais d'être un vecteur de fuite.

Le pirate s'en moque du contenu du site; vraiment. Je te suggère de lire un article que j'ai écris pour CINNK magazine où justement j'aborde ce sujet-là : https://cinnk.com/magazine/mai-2016/...on-site-joomla


Bonne journée.

Bonjour,
finalement il y avait un dizaine de fichier ajoutés sur mon site un peu partout (à priori pas de modification des fichiers originaux, ce qui a facilité leurs suppression).
C'est impressionnant le mal qu'ils se donnent pour cacher le code php, il faut une bonne dizaines de commandes pour remonter au code original.

Bonjour

Oui, lorsque c'est juste ça (ajout et non altération), le monde est du coup plus facile.

Pour ma curiosité : comment avez-vous fait pour identifier les fichiers ajoutés ? Une comparaison de dossiers/fichiers entre une copie saine et la copie vérolée du site ?

Je suis intervenu sur un site il y a deux jours : 700 virus dont 650 fichiers altérés.
Pour le pirate, le nombre de fichiers importe peu; c'est juste une routine qui va aller polluer xxx (X étant juste une variable) fichiers. J'ai déjà vu des fichiers vérolés deux fois càd deux types de virus différents dans le même fichier.

Pour le cryptage; oui, en effet, un code crypté encore et encore et parfois différentes techniques de cryptage. Là aussi, le cryptage se fait en boucle, c'est une variable; le pirate s'en moque. Sauf que, de cryptage en cryptage, le code devient plus gros et donc plus identifiable. Et il faut pouvoir le décrypter pour l'exécuter ==> plus de cryptage plus long sera le temps d'exécution et cela pourrait mettre la puce à l'oreille du gestionnaire du site.

(Si votre problème est réglé, merci de passer le post en Réglé)

Bonne journée.

Oui comparaison avec une sauvegarde (pas tout à fait à jour ce qui à demandé plus de temps) et un scan avec un outils trouvé en ligne (qui à confirmé les fichier trouvés avec la première méthode).

Ok, bonne journée

Edit: en fait je n'arrive pas à mettre Solved Tread.

Juste un complétment : un outil en ligne est hyper limité. Que scanne-t-il ? Strictement le code HTML de la page que tu lui as soumis. Si tu as un virus, disons /images/virus.php, seul un scanner "fichiers" (à l'opposé d'en ligne) pourra le détecter.

Bonjour,
en ligne mais j'ai scanné une copie local du site web. donc bien les fichiers php, js etc...