Site piraté.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site piraté.

    Bonjour

    Ma version joomla : 3.7.2.
    Mon hébergeur: OVH (mutualisé)


    Je sais, le sujet du message est banal, mais je n'ai pas trouvé mieux pour expliquer mon problème.

    Ce matin OVH a bloqué mon site car il semblerait qu'un script installé dans mon hébergement tente de hacker les serveurs mutualisés d'OVH.

    Voici les infos qu'ils m'ont données :

    Problème rencontré : Un script malveillant a été détecté sur votre hébergement

    Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php7.0/lib/php-extensions:/images/x86.r3/lib php-fpm: pool <xxxxxx>
    Exécutable utilisé : /bin/bash

    J'ai beau chercher, je n'arrive pas à trouver quel fichier indésirable provoque cela.
    Est-ce que ce genre de hack vous dit quelque chose. Auriez-vous des idées pour découvrir où se situe le hack ?

    En attendant j'ai réinstallé la dernière version de Joomla (3.7.2).

    Merci par avance de vos conseils.

  • #2
    Re : Site piraté.

    Bonjour,
    le mieux serait de remonter une sauvegarde saine ... ensuite d'analyser ton FTP et tes logs ...
    Tu peux scanner le site avec un outils comme aesecure quickscan ... tu auras deja une première impression
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire


    • #3
      Re : Site piraté.

      Bonjour,

      Consulter le site du bon Cavo789 pour avoir la méthode à suivre : https://www.aesecure.com/fr/blog/site-hacke.html

      Il a des outils pour rechercher les fichiers douteux
      UP, le plugin universel à découvrir sur https//up.lomart.fr
      bgMax
      , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

      Commentaire


      • #4
        Re : Site piraté.

        Bonjour manu93fr et lomart

        En relisant un sujet précédent, j'avais découvert l'outil QuickScan ainsi que le site https://www.aesecure.com/

        J'ai bien installé les fichiers de QuickScan à la racine du site mais lorsque j'ai lancé le fichier j'avais une erreur 404.
        Je recommence en vérifiant mon fichier .htaccess et vous tiens au courant

        Commentaire


        • #5
          Re : Site piraté.

          Résultat de l'étape 2 (obtention de la liste des fichiers):

          An error has occured :
          Internal status: error
          HTTP Status: 0 (error)
          XHR ReadyState: 0
          Raw server response:

          Pour trouver une réponse à ce problème, merci de consulter la FAQ d'aeSecure QuickScan


          là, je ne vois pas trop

          Commentaire


          • #6
            Re : Site piraté.

            Bonjour

            Cette erreur est documentée dans la FAQ de QuickScan : tu as un timeout, il faut scanner par "lot" de fichiers. En haut à gauche tu as un bouton "hamburger"; clique dessus et tu comprendras.

            Note : QuickScan n'est pas exhaustif; le but, c'est de tester le site, trouver quelques virus et donc de répondre à la question "est-ce que mon site est hacké ou pas".

            Il permettra donc de trouver quelques virus mais pas tous.

            Dans ton cas, le mieux est de repartir d'un backup sain de ton site; c'est expliqué dans l'article que Lomart t'a renseigné ci-dessus.

            Si tu n'as pas de backup sain, tu peux nettoyer ton site toi-même (c'est expliqué dans mon article), refaire ton site complètement ou demander à quelqu'un de le faire pour toi. Dans ce dernier cas, tu peux trouver sur ce forum-ci une section "Demande de services" où tu peux poster une demande de prestation et demander à avoir des remises de prix.

            Bonne soirée et bon nettoyage.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Site piraté.

              Toute la question est : "qu'est ce qu'un backup sain ?" si on ne sait pas de quand datent les fichiers hackés et où ils se trouvent
              Je sais réinstaller un site propre, mais si une faille de sécurité existe dans Joomla ou dans un des composants, cela ne servira à rien tant que l'on a pas identifié le problème.

              Commentaire


              • #8
                Re : Site piraté.

                Un backup sain est un backup ... au moment où ton site était exempt de virus.

                Te voilà bien renseigné :-D

                Oui, tu as raison. Compliqué de le savoir : un virus peut avoir été déposé des semaines / mois avant et être activé ensuite. C'est pas fréquent mais oui, cela peut arriver.

                Donc : un backup sain est un backup que tu as pris (et testé) avant de constater que ton site était vérolé. C'est une définition un peu vague mais plutôt réaliste.

                Si tu as constaté des dysfonctionnements il y a xxx jours, prends ton backup de xxx + 5 jours p.ex. C'est quand même une option à envisager avant de commencer à chercher; toi-même et quasi-manuellement, les virus qui sont sur ton site. Sans outil précis et exhaustif, il est (très) compliqué de trouver toutes les bestioles.

                Je sais réinstaller un site propre, mais si une faille de sécurité existe dans Joomla ou dans un des composants, cela ne servira à rien tant que l'on a pas identifié le problème.
                Si tu es très vigilant sur le suivi des mises-à-jour de Joomla, si tu n'attends pas un mois avant d'installer un patch de sécurité mais juste quelques heures, on peut raisonnablement penser que le virus n'est pas arrivé sur le site à cause de Joomla mais plutôt à cause d'une extension, d'un module, ...

                En remontant ton backup présumé sain, première chose à faire : tu mets tout à jour. Tout : joomla, templates, composants, modules, plugins, ... et tu vires tout qui n'est pas utilisé (une fois encore, j'explique cela dans mon document "Votre site a été hacké, que faire?").

                Note, enfin, "identifier le problème" n'est pas nécessaire car cela va prendre énormément de temps d'isoler "par où" ils sont passé. Il faudrait analyser les logs de ton serveur et selon que ton site soit fort visité, ce seront des (dizaines/centaines) milliers de lignes à analyser d'autant plus qu'il faudra peut-être remonter loin dans les logs.

                L'objectif est de tout mettre à jour (après avoir réinstallé le site donc; totalement => pas laisser en place les vieux fichiers) et d'observer des consignes de sécurité; comme installer un parefeu, changer les mots de passe, supprimer les comptes admins non utilisés, etc.

                Bonne soirée;
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Site piraté.

                  Si tu n'as pas de Sauvegarde saine ... ou si tu n'en as pas "tout court" .... Ovh remonte une semaine en arrière il me semble ... c'est toujours ça de gagner.
                  Va voir les guides OVH sur le sujet : sauvegarde FTP et base de donnée
                  Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                  Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                  Commentaire


                  • #10
                    Re : Site piraté.

                    Il est quand même intéressant de connaitre la nature du fichier "vérolé" car cela renseigne sur la méthode d'attaque. Les "vers" peuvent se trouver dans différents fichiers ou formulaires. Par exemple, il y a quelques années le site avait été hacké à cause d'un fichier jpeg : l'affichage de cette image déclenchait l'attaque. Après recherche j'avais découvert que le fichier était très ancien (bien avant que je m'occupe du site web) et il suffisait que quelqu'un se connecte sur la page où se trouvait l'image pour que l'attaque se déclenche.

                    J'ai toujours mis à jour le site avec les dernières versions de Joomla (je n'attends jamais ). Alors mes pistes sont :
                    - un composant tiers (dont la gestion des formulaires, de calendriers, de sondages,...)
                    - un fichier multimédia (images, son, vidéo, pdf,...) dont certains me sont envoyées par des services ou sociétés extérieures à celle dont je gère le site internet.

                    Toute la question est de savoir quel(s) est/sont les fichiers en cause.

                    Normalement je veille à la sécurité du site : gestion des utilisateurs du backend (il y en a que 2), gestions des accès FTP (il y en a que 3 que je contrôle),...

                    Le seul indice que j'ai de l'attaque c'est le fait qu'OVH a bloqué le site ce matin. Sans cela, je ne saurai pas ce qui se passe. Alors, pour reproduire ce problème, il faudrait tester toutes les pages du site une par une et attendre que l'attaque se déclenche

                    Commentaire


                    • #11
                      Re : Site piraté.

                      Envoyé par manu93fr Voir le message
                      Si tu n'as pas de Sauvegarde saine ... ou si tu n'en as pas "tout court" .... Ovh remonte une semaine en arrière il me semble ... c'est toujours ça de gagner.
                      Va voir les guides OVH sur le sujet : sauvegarde FTP et base de donnée
                      J'ai bien sûr des sauvegardes. Mais je ne sais pas si elles sont saines ou pas tant que je ne connais pas le vecteur de l'attaque. Elle a pu se déclencher via une fichier dormant.

                      Commentaire


                      • #12
                        Re : Site piraté.

                        Bonsoir,

                        Pour savoir, il est possible de remettre le site piraté en ligne dans un sous-domaine pour faire une analyse par sucuri.net (par exemple)
                        C'est juste une suggestion
                        UP, le plugin universel à découvrir sur https//up.lomart.fr
                        bgMax
                        , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                        Commentaire


                        • #13
                          Re : Site piraté.

                          Envoyé par lomart Voir le message
                          C'est juste une suggestion
                          Ben, vu le ticket d'entrée je vais continuer à chercher fichier par fichier.
                          Merci quand même

                          Commentaire


                          • #14
                            Re : Site piraté.

                            Envoyé par poudou99 Voir le message
                            Ben, vu le ticket d'entrée je vais continuer à chercher fichier par fichier.
                            Merci quand même
                            plus de 4000 fichiers ... ça risque d'être long non ?

                            trouver par ou est passer la bestiole n'est pas a la porté de tous ... le mieux c'est de remonter une sauvegarde, et de surveiller les logs serveur ... en tout cas, c'est ce que je ferai
                            Je commencerai aussi par réinstaller le noyau de Joomla et vérifier si les extensions sont a jour ou sont suspectes ... changer TOUS les mots de passe ... verifier ma machine .. etc
                            Toutes les piste sont ici
                            Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                            Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                            Commentaire


                            • #15
                              Re : Site piraté.

                              Envoyé par poudou99 Voir le message
                              Bonjour

                              Ma version joomla : 3.7.2.
                              Mon hébergeur: OVH (mutualisé)


                              Je sais, le sujet du message est banal, mais je n'ai pas trouvé mieux pour expliquer mon problème.

                              Ce matin OVH a bloqué mon site car il semblerait qu'un script installé dans mon hébergement tente de hacker les serveurs mutualisés d'OVH.

                              Voici les infos qu'ils m'ont données :

                              Problème rencontré : Un script malveillant a été détecté sur votre hébergement

                              Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php7.0/lib/php-extensions:/images/x86.r3/lib php-fpm: pool <xxxxxx>
                              Exécutable utilisé : /bin/bash

                              J'ai beau chercher, je n'arrive pas à trouver quel fichier indésirable provoque cela.
                              Est-ce que ce genre de hack vous dit quelque chose. Auriez-vous des idées pour découvrir où se situe le hack ?

                              En attendant j'ai réinstallé la dernière version de Joomla (3.7.2).

                              Merci par avance de vos conseils.
                              Bonjour,

                              J'ai exactement la même erreur ce matin, chez OVH également mais avec un site WordPress (on ne lynche pas ).
                              Vu le chemin de la commande n'est-ce pas possible que cela provienne plutôt d'une attaque sur le serveur ?

                              Je ne vois rien d'anormal dans les logs, ou les fichiers de mon FTP... Rien d'anormal sur mon site si je le remets en ligne.

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X