[réglé] Site hacké

Informations concernant la sécurité, Support et assistance pour améliorer les performances de son site Joomla! 1.5.x

Moderators: Aidan38, sarki

Forum rules
Règles du forum
Locked
liblib
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Sun Dec 28, 2008 9:53 pm

[réglé] Site hacké

Post by liblib » Sun Dec 28, 2008 10:22 pm

Bonjour à tous,

Je suis l'administrateur d'un site web qui n'avait besoin que de rares mises à jour. J'avoue c'est ma faute, je n'ai pas tenu les versions de Joomla très à jour. C'est pour cela que la version installée sur mon site est la version 1.5.2 (le patch n'est même plus disponible pour migrer vers 1.5.7).

Bref, aujourd'hui, j'arrive sur mon site:

HACKED BY ANTICODE

Avec petites vidéo avec le drapeau turque, petite musique soulante etc.

Génial. On m'avait changé mon mot de passe joomla. J'ai réussi à le récupérer par une petite manœuvre vue sur un site...

Ils n'ont apparemment rien touché, tout est intact. Le problème c'est cette satanée page (HACKED BY ... et toutes les videos) que je n'arrive pas à changer. Apparement c'est une page php. Mais je n'arrive pas à la supprimer et je ne sais ou ils ont pu l'insérer. Ils n'avaient pas accès à mon ftp...

J'en déduis donc qu'ils ont du faire quelque chose dans la base de donnée?

Aidez moi, je vous en prie, ca fait des heures que je planche sur le problème... Un casse-tête. Si vous avez besoin de voir la page, je peux vous donner l'adresse de mon site.

Merci d'avance pour votre aide, meilleures salutations!

Liblib
Last edited by liblib on Mon Dec 29, 2008 1:44 pm, edited 1 time in total.

User avatar
sebiseb
Joomla! Guru
Joomla! Guru
Posts: 700
Joined: Fri Aug 19, 2005 1:04 pm
Location: IdF - Centre
Contact:

Re: Site hacké

Post by sebiseb » Mon Dec 29, 2008 11:34 am

Peu probable que la vidéo soit un lien dans la base - Les hackeurs préférant ne rien laissé sur un site externe.
Sauvegarde ta base de données, et réinstalles ton site dans la version que tu avais -> Fait une mise à jour, et réinjecte ta bdd - Enfin, c'est ce que je ferais !
Sébastien Pillias - french forum moderator

Vous êtes sur un forum d'entre aide : aidez les autres, les autres vous aideront !
Aidez-les à vous aidez en utilisant le fichier jtspost_fr.php : http://forum.joomla.org/viewtopic.php?t=272866 !

liblib
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Sun Dec 28, 2008 9:53 pm

Re: Site hacké

Post by liblib » Mon Dec 29, 2008 12:10 pm

Salut,

Merci de ta réponse. Je vais déja essayer de faire ca en local. Effectivement tous les éléments de la page proviennent de liens extérieurs.

Le code source de cette fameuse page:




<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">


<head>
<META http-equiv=content-type content=text/html;charset=iso-8859-9>
<meta name="title" content="&#3628;&#3628;&#3628;.&#1082;&#945;&#1091;&#1109;&#1108;&#1103;i&#8467;i&#1091;iz.&#3663;&#1071;&#65262;">
<meta http-equiv="Pragma" content="cache">
<meta name="ROBOTS" content="INDEX,FOLLOW">
<meta name="robots" content="all">
<meta http-equiv="Content-Language" content="tr">
<meta name="description" content="&#3628;&#3628;&#3628;.&#1082;&#945;&#1091;&#1109;&#1108;&#1103;i&#8467;i&#1091;iz.&#3663;&#1071;&#65262;">


<meta name="author" content="AntiCode">
<meta name="publisher" content="www.bybestekar.com">
<meta name="copyright" content="AntiCode-www.bybestekar.com">
<meta name="rating" content="!">
<meta http-equiv="Reply-to" content="anticode@w.cn">
<meta name="creation_Date" content="08.11.2008">

<meta name="revisit-after" content="1 days..">

<meta name="doc-rights" content="Public">
<meta name="doc-class" content="Completed">
<meta name="MSSmartTagsPreventParsing" content="true">
<title>Her &#350;ey Vatan &#304;&#231;in </title>





Et les éléments style video et images sont du genre:

<embed src="http://isimsizturk.org/1.mp3" loop="1" autostart="true" hidden "true" width="116" height="36"></p>



Donc je vais essayer de faire ce que vous m'avez dit, mais j'ai juste peur que cette page apparaisse justement à cause d'une injection dans la base de données...

Je vous tiens au courrant.

Salut.

User avatar
sebiseb
Joomla! Guru
Joomla! Guru
Posts: 700
Joined: Fri Aug 19, 2005 1:04 pm
Location: IdF - Centre
Contact:

Re: Site hacké

Post by sebiseb » Mon Dec 29, 2008 12:58 pm

Non, en général il déface donc il change uniquement les fichiers, et ils ont du mettre des fichiers dans des sous-répertoires pour arriver à leurs fins - Mais en général ils ne font rien à la base de données. En fait, ils exploitent une faille de joomla pas du serveur de bdd, mais bon..
Sébastien Pillias - french forum moderator

Vous êtes sur un forum d'entre aide : aidez les autres, les autres vous aideront !
Aidez-les à vous aidez en utilisant le fichier jtspost_fr.php : http://forum.joomla.org/viewtopic.php?t=272866 !

liblib
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Sun Dec 28, 2008 9:53 pm

Re: Site hacké

Post by liblib » Mon Dec 29, 2008 1:26 pm

Ah d'accord, je comprend! Merci pour tes lumières en tout cas. J'ai testé en local, le problème avait l'air d'etre résolu. Je suis entrain de fini l'installation sur mon serveur web (la version 1.5.8).

Je mettrai résolu si je ne rencontre plus le problème.

Merci beaucoup en tous cas sebiseb!

Bonne journée!

User avatar
sebiseb
Joomla! Guru
Joomla! Guru
Posts: 700
Joined: Fri Aug 19, 2005 1:04 pm
Location: IdF - Centre
Contact:

Re: Site hacké

Post by sebiseb » Mon Dec 29, 2008 1:35 pm

Tu peux nous mettre un lien de ton site que l'on voit à quoi il ressemble, puis éditer ton premier message et préciser en préambule du titre [RÉGLÉ] pour le fermer ;)
Sébastien Pillias - french forum moderator

Vous êtes sur un forum d'entre aide : aidez les autres, les autres vous aideront !
Aidez-les à vous aidez en utilisant le fichier jtspost_fr.php : http://forum.joomla.org/viewtopic.php?t=272866 !

liblib
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Sun Dec 28, 2008 9:53 pm

Re: Site hacké

Post by liblib » Mon Dec 29, 2008 1:37 pm

Eh ben non...

C'est revenu...

Je ne comprend pas pourquoi. Dès que j'ai importé ma base de données, cette satanée page est réapparue.

Vous pouvez aller voir par vous même:

www.bayesuisse.ch

liblib
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Sun Dec 28, 2008 9:53 pm

Re: Site hacké

Post by liblib » Mon Dec 29, 2008 1:41 pm

J'ai trouvé!!!!!

La page se trouvait dans ma template... Ce qui explique tout. Dès que j'ai remis la template sur mon site (ce que je n'avais pas fait en local), la page est réapparu. Maintenant que j'ai viré le template, tout à l'air d'aller!

Je suis soulagé!

Merci pour ton aide!

Salutations!


Locked

Return to “1.5 - Sécurité et performances”