Page 1 of 1

[réglé] Site hacké

Posted: Sun Dec 28, 2008 10:22 pm
by liblib
Bonjour à tous,

Je suis l'administrateur d'un site web qui n'avait besoin que de rares mises à jour. J'avoue c'est ma faute, je n'ai pas tenu les versions de Joomla très à jour. C'est pour cela que la version installée sur mon site est la version 1.5.2 (le patch n'est même plus disponible pour migrer vers 1.5.7).

Bref, aujourd'hui, j'arrive sur mon site:

HACKED BY ANTICODE

Avec petites vidéo avec le drapeau turque, petite musique soulante etc.

Génial. On m'avait changé mon mot de passe joomla. J'ai réussi à le récupérer par une petite manœuvre vue sur un site...

Ils n'ont apparemment rien touché, tout est intact. Le problème c'est cette satanée page (HACKED BY ... et toutes les videos) que je n'arrive pas à changer. Apparement c'est une page php. Mais je n'arrive pas à la supprimer et je ne sais ou ils ont pu l'insérer. Ils n'avaient pas accès à mon ftp...

J'en déduis donc qu'ils ont du faire quelque chose dans la base de donnée?

Aidez moi, je vous en prie, ca fait des heures que je planche sur le problème... Un casse-tête. Si vous avez besoin de voir la page, je peux vous donner l'adresse de mon site.

Merci d'avance pour votre aide, meilleures salutations!

Liblib

Re: Site hacké

Posted: Mon Dec 29, 2008 11:34 am
by sebiseb
Peu probable que la vidéo soit un lien dans la base - Les hackeurs préférant ne rien laissé sur un site externe.
Sauvegarde ta base de données, et réinstalles ton site dans la version que tu avais -> Fait une mise à jour, et réinjecte ta bdd - Enfin, c'est ce que je ferais !

Re: Site hacké

Posted: Mon Dec 29, 2008 12:10 pm
by liblib
Salut,

Merci de ta réponse. Je vais déja essayer de faire ca en local. Effectivement tous les éléments de la page proviennent de liens extérieurs.

Le code source de cette fameuse page:




<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">


<head>
<META http-equiv=content-type content=text/html;charset=iso-8859-9>
<meta name="title" content="&#3628;&#3628;&#3628;.&#1082;&#945;&#1091;&#1109;&#1108;&#1103;i&#8467;i&#1091;iz.&#3663;&#1071;&#65262;">
<meta http-equiv="Pragma" content="cache">
<meta name="ROBOTS" content="INDEX,FOLLOW">
<meta name="robots" content="all">
<meta http-equiv="Content-Language" content="tr">
<meta name="description" content="&#3628;&#3628;&#3628;.&#1082;&#945;&#1091;&#1109;&#1108;&#1103;i&#8467;i&#1091;iz.&#3663;&#1071;&#65262;">


<meta name="author" content="AntiCode">
<meta name="publisher" content="www.bybestekar.com">
<meta name="copyright" content="AntiCode-www.bybestekar.com">
<meta name="rating" content="!">
<meta http-equiv="Reply-to" content="anticode@w.cn">
<meta name="creation_Date" content="08.11.2008">

<meta name="revisit-after" content="1 days..">

<meta name="doc-rights" content="Public">
<meta name="doc-class" content="Completed">
<meta name="MSSmartTagsPreventParsing" content="true">
<title>Her &#350;ey Vatan &#304;&#231;in </title>





Et les éléments style video et images sont du genre:

<embed src="http://isimsizturk.org/1.mp3" loop="1" autostart="true" hidden "true" width="116" height="36"></p>



Donc je vais essayer de faire ce que vous m'avez dit, mais j'ai juste peur que cette page apparaisse justement à cause d'une injection dans la base de données...

Je vous tiens au courrant.

Salut.

Re: Site hacké

Posted: Mon Dec 29, 2008 12:58 pm
by sebiseb
Non, en général il déface donc il change uniquement les fichiers, et ils ont du mettre des fichiers dans des sous-répertoires pour arriver à leurs fins - Mais en général ils ne font rien à la base de données. En fait, ils exploitent une faille de joomla pas du serveur de bdd, mais bon..

Re: Site hacké

Posted: Mon Dec 29, 2008 1:26 pm
by liblib
Ah d'accord, je comprend! Merci pour tes lumières en tout cas. J'ai testé en local, le problème avait l'air d'etre résolu. Je suis entrain de fini l'installation sur mon serveur web (la version 1.5.8).

Je mettrai résolu si je ne rencontre plus le problème.

Merci beaucoup en tous cas sebiseb!

Bonne journée!

Re: Site hacké

Posted: Mon Dec 29, 2008 1:35 pm
by sebiseb
Tu peux nous mettre un lien de ton site que l'on voit à quoi il ressemble, puis éditer ton premier message et préciser en préambule du titre [RÉGLÉ] pour le fermer ;)

Re: Site hacké

Posted: Mon Dec 29, 2008 1:37 pm
by liblib
Eh ben non...

C'est revenu...

Je ne comprend pas pourquoi. Dès que j'ai importé ma base de données, cette satanée page est réapparue.

Vous pouvez aller voir par vous même:

www.bayesuisse.ch

Re: Site hacké

Posted: Mon Dec 29, 2008 1:41 pm
by liblib
J'ai trouvé!!!!!

La page se trouvait dans ma template... Ce qui explique tout. Dès que j'ai remis la template sur mon site (ce que je n'avais pas fait en local), la page est réapparu. Maintenant que j'ai viré le template, tout à l'air d'aller!

Je suis soulagé!

Merci pour ton aide!

Salutations!