Titre: Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 14:38:20
Bonjour,
Mon site internet créé sur Joomla a été piraté mais je ne trouve pas ou est le code malveillant.
Mon site est http://www.quermaurelle.com
Lorsque l'on accède directement au site par l'url tout fonctionne bien, mais lorsque l'on passe par les moteurs de recherche il y a une redirection.
Est ce que quelqu'un pourrait m'aider ou me donner le nom d'une entreprise qui pourrait le faire.
Merci de vos réponses. |
Titre: Re:Site joomla piraté
Posté par: JLV25 le le 09-01-2012 a 14:46:10
Bonjour,
J'ai déjà effectué ce genre de "dépannage". Avez-vous vérifié votre fichier .htaccess ?
Cdlt, |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 14:48:01
La première chose à faire est de contacter ton hébergeur pour leur demander de vérifier les logs afin de savoir qu'est c'qui a été modifié.
Ensuite si rien n'a été modifié sur le site, c'est peu être l'hébergeur même qui est en cause. Voir s'il n'y a pas un fichier htaccess modifié. |
Titre: Re:Site joomla piraté
Posté par: JLV25 le le 09-01-2012 a 15:06:18
Le site étant chez 1and1, il vaut mieux vérifier les logs soi-même que d'attendre qu'ils répondent, le délai peut être plus ou moins long.
A chaque fois que j'ai vu ce genre de cas c'était le fichier .htaccess ou un script tiers en l'absence de .htaccess, et l'origine c'est plus souvent un accès ftp mal protégé
Le premier conseil que je donnerais (avant de s'attaquer au problème) serait de changer le mot de passe du ftp, de ne le communiquer à personne et surtout de ne pas l'enregistrer dans l'ordinateur surtout si c'est un accès ftp par Filezilla (daube qui code en clair dans un fichier xml les accès ftp)... |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 15:57:02
Merci de vos réponses rapides.
J'ai vérifié je n'ai pas de fichier .htacces (j'ai juste un fichier htacces.txt à la racine du site) donc cela voudrait dire que cela vient d'un script ailleurs ?
Sinon je ne sais pas comment vérifier les logs chez 1and1 (je n'utilise jamais cet hébergeur généralement) |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 16:03:17
Appel les directement. J'ai déjà travaillé avec eux, et certains de leurs techniciens sont des gens réactifs.
Bien qu'à 16h, tout le monde ne pense qu'à rentrer chez soit :) |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 16:10:07
Petite rectification
J'ai effectivement des fichier .htaccess dans des sous-repertoires :
-/administrator/components/com_aicontactsafe/includes
- /component/com_aicontactsafe/includes
- plugins/editors
- media/aicontactsafe
Il n'y a que dans un seul qu'il y a du code :
Options +Indexes
Satisfy any
Order Deny,Allow
Allow from 212.227.112.228
Deny from all
RemoveType .html .gif
AuthType Basic
AuthName "Access to /logs"
AuthUserFile /kunden/homepages/41/d317793079/htpasswd
Require user u57558805
|
Titre: Re:Site joomla piraté
Posté par: JLV25 le le 09-01-2012 a 16:22:20
aucune raison pour qu'il y ai des .htaccess dans ces sous répertoires Joomla (?)
Il faudrait éditer le fichier .htaccess à la racine pour voir ce qu'il contient.... |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 16:37:24
Sur Joomla, à cause de l'installation de quelques extensions, on peut se retrouver avec quelques htaccess dans certains répertoires.
Le fichier htaccess que tu montres ne contient rien de spécial.
Si je n'me goure pas, le Allow from 212.227.112.228, c'est l'adresse du serveur de 1&1.
Guillaume, je partirais plutôt sur une autre option :)
Après avoir testé moi même ton site, je n'ai aucune redirection.
J'en viens donc au faite que toi, ou plutôt ton pc, a choppé une saloperie. Genre un rootkit.gen
Essaye plutôt de voir du coté des anti-virus :) |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 16:49:15
Le site fonctionne bien c'est juste en passant par Google que l'on arrive pas à la bonne url:
Voila ou on arrive :
Sinon j'ai appelé 1and1 et eux me dise de vérifier s'il n'y a pas de spy ou malware (j'ai fait la vérife je n'ai rien trouvé) j'ai modifié le mots de passe (1and1 admin)
Donc maintenant je pense que cela vient d'un script caché quelque part mais ou alors la je ne trouve pas. |
Titre: Re:Site joomla piraté
Posté par: JLV25 le le 09-01-2012 a 16:52:06
Bon cela fera deux avis ;D
WebVitrine je veux bien mais je n'ai jamais vu un composant ou un module coller un fichier .htaccess dans plugins/editors ... en fait je n'ai même jamais vu un composant coller de fichier .htaccess dans les répertoires, mais j'avoue que je n'ai les ai pas tous testés.
"Après avoir testé moi même ton site, je n'ai aucune redirection." ... tapes "quermorelle" dans google et tu verras l'erreur de redirection ... et ça c'est un problème sur le serveur, même si c'est peut-être le PC qui a été infecté à l'origine...
Pour avancer il faudrait déjà voir le contenu du fichier .htaccess à la racine du site ...
|
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 17:02:30
J'ai viré les .htaccess que je trouvé et il y a du changement.
Maintenant sur google quand je clique sue le résultat de recherche ca fonctionne bien j'arrive sur mon site si je fais "précédent" et que je re-clique sur le lien la je retombe sur le site "http://happynewyear.345.pl/" .
Je ne pense pas que cela vienne de mon pc (je vais quand même une analyse ça ne peut pas faire de mal) car même la personne de chez 1and1 est arrivée sur le site "http://happynewyear.345.pl/" en passant par google |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 17:02:53
Oui exacte, je n'avais vérifié que la page d'accueil (qui elle, fonctionne bien.)
Pour les htaccess, si si, il y a des extensions qui en écrivent. Extensions qui sont développées par des amateurs et non des professionnels.
Le fichier htaccess dans la racine n'est pas actif tant qu'il reste en .txt
Il sert uniquement lorsque tu actives les redirections ou lorsque tu héberges ton site sur des serveurs autres qu'apache...
Normalement, chez 1&1, tu peux leur demander une restauration à 48H.
Juste par curiosité, quelle version de Joomla utilises tu et quels sont les extensions que tu as installé ? Il se peut qu'une extension ouvre une faille de sécurité. Au quel cas, changer les pass des comptes ne changera rien. La faille sera toujours présente. |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 17:14:06
j'utilise la version suivante : Joomla! 1.5.19
Voici les extension :
1 aiContactSafe
2 artforms
3 Banners
4 Joom!Fish
5 Newsfeeds
6 Ozio Gallery 2
7 Polls
8 SVMap
9 Weblinks
|
Titre: Re:Site joomla piraté
Posté par: JLV25 le le 09-01-2012 a 17:18:52
il faudrait en passant faire la mise à jour de sécurité 1.5.25
Chez moi en tout cas il y a toujours une erreur via Google.
J'insiste (après j'arrête), il faudrait déjà voir ce qu'il y a dans le fichier .htaccess (sauf évidemment si il est .txt oû là il n'est pas actif).... |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 17:23:56
Toutes ces extensions sont sur joomla.org, donc en théorie, elles sont déjà testés.
Joomla 1.5... humm il serait temps de passer à la version 1.7 qui est connu pour être plus sécurisée.
Le htaccess à la racine est en .txt
Y a juste un truc qui me gène un peu, c'est cette commande Options +Indexes dans le htaccess dont tu nous a parlé.
Cette commande normalement sert à créer un fichier index qui comporte peut être une autre commande de redirection. (j'ai un doute quand même, la fin de journée commence à être dur) |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 17:33:24
| la il n'y a plus de .htaccess |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 17:43:41
Regarde dans ton FTP les dates des dernières modifications.
S'il y a une modifs de fichiers ou une injection, tu devrais avoir des dates de modif récentes. |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 17:53:29
Regarde si ton fichier config.php ou configuration.php n'a pas été modifié.
Regarde aussi en dehors de ton répertoire www sur ton FTP, il peut aussi y avoir un fichier.htaccess.
Dans tous les cas, même si tu résous ce problème, je te conseil de mettre à jour ton site le plus rapidement possible. S'il y a une faille de sécu sur ton site, tu peux être sûr que ça va recommencer.
|
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 09-01-2012 a 19:00:20
Je viens de faire la MAJ mais rien n'a changé.
Par contre pour visualiser sur le ftp les fichiers modifiés à des dates suspecte je ne peux plus le voir car j'ai réinjecté sur le serveur tout le site (la sauvegarde que j'avais faite) donc aujourd'hui tout les fichiers sont à la date du 01/01/2012.
Je vais continuer à scruter fichier par fichier pour trouver le script qui me met le bordel (en sachant que je n'ai pas la moindre idée du type dans lequel il a été inséré javascript, php, ou meme directement dans la BDD)
Aller je prépare du café ... |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 09-01-2012 a 19:06:54
La mise à jour ne fait que corriger une faille de sécurité. Elle ne corrige pas les dégats qu'il y a eut.
Le plus simple déjà serait d'aller voir sur 1&1 , coté manager, et de récupérer les logs FTP. Ça te donnerai une piste pour savoir ce qu'il a modifié ou injecté (si les logs sont complètes.) |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 10-01-2012 a 01:42:36
Merci de cet info Webvitrine
J'ai téléchargé les fichiers logs mais je n'ai aucune idée pour déchifrer ces fichiers.
Que faut il que je repère ? Je ne pense pas que ce soit ni les GET ni les POST |
Titre: Re:Site joomla piraté
Posté par: giulian le le 10-01-2012 a 08:57:23
| Avez vous essayer de telecharger le contenu de votre site sur vôtre pc et d analyser le contenu avec un antivirus et un anti malware ? |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 10-01-2012 a 09:19:16
Essaye de repérer dans ton fichier les connexions qui ne sont pas pas les tiennes.
Je n'penses pas que tu te serves tous les jours de ton ftp, donc tu devrais voir assez facilement les connexions.
Ensuite, une fois que tu as repérer la connexion, la suite des logs devrait t'indiquer les fichiers qui ont été modifiés. |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 10-01-2012 a 13:37:59
Je viens de regarder le fichier logs il n'y a aucune connexion ftp autres que les miennes donc ca ne doit pas venir de la.
Je pense donc que cela vient d'une des faille de sécurité d'un module de joomla maintenant reste a trouver lequel.
Par contre je pense qu'une chose me mettrait sur la voie. Est ce que quelqu'un aurait connaissance d'un script qui pourrais faire une redirection d'un site vers un autre mais uniquement lorsque l'on passe par un moteur de recherche et qui n'a aucune action lorsque l'on accède directement au site par son url ? |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 10-01-2012 a 13:48:43
J'y ai pensé aussi au début, c'est pour cela que je t'avais parlé du virus rootkit.gen.
Il redirige les résultats de recherche.
Dans la mesure où se genre de piratage demande quand même des connaissances plus poussées que celle d'un webmaster/développeur, je te conseil de voir sur le forum officiel de Joomla.
Mais attend toi à être "mal reçu" surtout lorsqu'ils apprendront que ton site est toujours en version 1.5. Certains membres n'hésiteront pas à te le reprocher.
Sinon, à ta place, et ça n'engage que moi, je repartirais sur un nouveau site et j'en profiterais pour le passer en 1.7. Surtout que tu as déjà le tri de carte (plan de site) sous les yeux, les textes et images. En 2 jours, c'est résolu ! Ça t'éviteras peu être de perdre du temps à résoudre ton problème. Problème qui si ça se trouve, ne sera résolu que dans une semaine... |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 10-01-2012 a 13:57:44
Je pense que c'est ce que je vais faire mais c'est vrai que j'aurais bien aimé savoir ce qui c'est passé au cas ou ca recommence un jour.
Est ce que si j'installe la dernière version je peux garder l'ancienne BDD ? ou est ce que je doit me refaire tout les textes et contenus ? |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 10-01-2012 a 14:01:59
Non, supprime ta BDD.
Surtout après avoir été piraté.
Fait en sorte que ton environnement de travail soit vraiment saint pour ta nouvelle version de site !
Dans le doute, tu peux même appeler 1&1 en leur expliquant que tu as été piraté et en leur demandant de remettre à neuf ton espace d'hébergement.
Et surtout, évite de mettre des modules que ne te sont pas réellement utile.
| ou est ce que je doit me refaire tout les textes et contenus ? |
|
Conserve ça dans un bloc note. Et fais des copier coller |
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 10-01-2012 a 14:05:29
Et profite en pour activer la réécriture d'url sur Joomla :)
C'est quand même un avantage pour le référencement. |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 11-01-2012 a 02:26:14
Bon beh voila ça y est tout refonctionne !!!
Je n'ai toujours pas trouvé le problème donc j'ai réinstallé le site sur une autre version (plus récente) de Joomla
Je vous remercie tous de votre aide.
WebVitrine pour la l'URL rewinting je verrais plus tard car je n'ai pas trouvé d'extension gratuite pour joomla.
sur ce Bonne nuit et a bientôt sur d'autres sujets |
Titre: Re:Site joomla piraté
Posté par: gm-crea le le 11-01-2012 a 02:34:17
a oui et pour info je pense savoir d'ou vient la faille de sécurité.
|
Titre: Re:Site joomla piraté
Posté par: WebVitrine le le 11-01-2012 a 07:55:41
C'est un peu chaotique quand même ta façon de faire :)
Réécraser des fichiers comme ça, sans te soucier de la BDD.
J'espère pour toi qu'il n'y aura pas plus de problème que ça :)
Pour la réécriture, c'est pas une extension.
C'est des options à activer dans le menu site -> configuration de Joomla. |
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|