Help help piratage de mon site.

[eltche]

Bonjour bonjour

Eh bien voilà la première fois que ca m'arrive mais je me suis fait hacké le site ....

J'avais installé la nouvelle version de ckform avec la mise à jour sécurité mais ils ont quand même réussi...

Ma version joomla 1.5.14

les composants : Ancymailing - joomfish - allvido realoded - morfeoshow - ckform.

J'ai fait un contrôle dans mon ftp (pour les dates) et j'ai pu constater :

le fichier configuration.php a été touché, je l'ai remplacé par le bon.
différents répertoires ont été touché (d'après les dates) mais aucun fichier à l'intérieur.
voici les rep :
administrator -> components
cache -> refTableSQL
components
plugin

Ils avaient changé le pass admin mais j'ai pu le rechanger et me logguer sans sushi au cms. Donc apparemment tout fonctionne il y a juste la page d'accueil qui donne sur leur contenu.

Quelqu'un à une solution ?

D'avance merciiiiiiiii please help me :-)

[mejean]

Bonjour,

Il vous faut réinstaller un site "neuf", importer le cas échéant, les documents liés (images, doc, pdf...). Vous trouverez des détails sur le forum en faisant une petite recherche.

Ensuite pensez à la mise à jour, la version courante est la 1.5.15.

[eltche]

Bonjour

merci pour votre réponse.

Entre temps j'ai réussi à récupérer la situation. J'utilise deux templates 1 pour le site et 1 pour la page d'accueil. Ils ont réussi à modifier le html du template de la page d'accueil.

Vous pensez que je devrai tout de même tout réinstaller ? Si je le passe en 1.5.15 ca ne suffit pas ?

Meilleures salutations et très belle soirée

[dec]

Perso, je suis Méjean.
Une ré-installation complète et se poser la question du chemin d'accès qu'ont pris les "couillons" pour passer derrière afin de fermer la porte.
Plus, un petit htaccess aux oignons http://forum.joomla.fr/showthread.php?t=89166

[eltche]

merci pour vos réponses, je vais aller voir tout ça. Je ne suis pas un super pro en hacking et sécurité mais c'est une bonne occasion d'apprendre ...

Meilleures salutations et très belle journée

[sebiseb]

La question est de savoir s'ils sont passés par le site (joomla) et/ou une faille d'un composant, ou s'ils sont passés par un défaut de config' des serveurs ?

[eltche]

heuu ok

et comment je peux savoir ca ? il n'y a pas bcp de composants, j'ai installé le stricte minimum.

Je vais aller faire des recherches et voir comment je peux me débrouiller..

mais crotte les hackeurs ! allez pirater le site de l'ubs, hsbc ou autres mais laissez moi en paix !

[dec]

Regarde les logs de ton site et tu trouveras certainement ta "porte".

[dec]

Je parierai assez facilement sur le composant de formulaire, allez savoir pourquoi...
Blinde ton htaccess et ça règle pas mal de problème. Bon ok, ça en rajoute aussi en termes d'appli qui, du coup, ne fonctionnent plus, mais ça se règle également.