Malware sur mon site internet - quel outil ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

wydo

Malware sur mon site internet - quel outil ?

par wydo »

Bonjour,
je ne sais ou poster ce message....

J'ai un site internet, fait en joomla donc je sais qu'il y a des failles. J'ai recu un message d'un utilisateur me signalant qu'il avait une alerte virus en allant sur le site. De fait, bitdefender light traffic détecte un malware. La question, quel outil puis-je acquérir pour identifier les fichiers infectés ?

Merci beaucoup !

wydo
Avatar de l’utilisateur
angelique
Messages : 31336
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Malware sur mon site internet - quel outil ?

par angelique »

Donne déja le lien de ton site en modifiant dans ta prochaine réponse l'entete http://tonsite.truc par hxxp://tonsite.truc
J'ai recu un message d'un utilisateur me signalant qu'il avait une alerte virus en allant sur le site
Demande à l'utilisateur le détail de la détection de son anti-merdouille et poste le
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
wydo

Re: Malware sur mon site internet - quel outil ?

par wydo »

hxxp://ecoledecorroy.be

et il m'a envoyé des images des messages reçus, mais c'est pas vraiment explicite

je scanne le site avec virustotal, et je vois que 2 av détectent des malwares. J'ai trouvé 2 fichiers php contenant des malwares, je les ai supprimés (je les ai encore sur mon ordinateur s'ils vous intéressent). Il y a encore des alertes. Donc je me dis que je dois acquerir un programme qui me permette de scanner une url qui me dit quels sont les fichiers infectés... ?

Merci de ton aide
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Malware sur mon site internet - quel outil ?

par Malekal_morte »

Le site a été piraté et redirige vers Un exploit sur site WEB
fiddler.png
L'iframe dans l'index de la page qui redirige vers un .js qui va rediriger vers l'exploit kit.
fiddler_site_pirate.png
Faut inspecter les pages pour retirer le code qui génère cette iframe.
Et où repartir d'une sauvegarde saine.
puis tenter de déterminer comment ils ont fait pour modifier la page (style faille sur le site, vol d'identifiants FTP car ton PC a été infecté etc).

Voir : https://www.malekal.com/2015/04/08/fr-e ... wordpress/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
wydo

Re: Malware sur mon site internet - quel outil ?

par wydo »

Bonjour et merci beaucoup pour toutes ces infos !

j'avais un fichier div.php je suppose que c'est celui là qui a inséré le code ? il y a une seule instruction dedans "preg_replace" puis plein de trucs entre parenthèses que je ne comprends pas...

Mon dernier backup date de septembre 2014... j'ai désactivé le site, je vais voir si je trouve l'origine du malware, sinon j'installerai le backup. J'avoue que je ne sais pas trop comment chercher, à ton avis, c'est dans un fichier ou c'est dans la base de données ?

Merci encore...

Pour l'infection, je pencherais pour une infection via faille. J'ai reçu plusieurs fois des mails "vides" et je me suis demandé à quoi cela servait..... sans doute à injecter des fichiers.... non ?
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Malware sur mon site internet - quel outil ?

par Malekal_morte »

Si ce sont les fichiers que tu as envoyé à ѠOOT via http://upload.malekal.com
C'est une PHP Backdoor, ça permet de tout faire sur le site (modifier, créer des fichiers, passer des requêtes SQL etc).

search.php pourrait être à l'origine des redirection.

Faut les supprimer, faut voir si search.php est appelé quelque part.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
wydo

Re: Malware sur mon site internet - quel outil ?

par wydo »

bon, je vais remettre le backup... j'espère que ce n'était pas déjà présent...

je ne connais pas les php backdoor, mais question basique, qui est surement un peu bête : si je change les mots de passe, ils ne savent plus contrôler le site ou bien si ?

j'ai supprimé les 2 fichiers en question, que j'avais envoyé via l'upload effectivement. Il doit encore y en avoir d'autre, puisque les alertes sont toujours là.

J'aimerais tout de même savoir quel outil je pourrais utiliser pour scanner le site ? La j'ai tout copié sur mon disque dur et je fais des recherches via notepad++ de :
view.js
*netbudur*
mais jusque là je trouve rien...

J'ai aussi fait tourner malwarebytes sur les fichiers, il n'a rien trouvé ? J'ai d'ailleurs aussi fait tourner sur les 2 fichiers php que j'ai envoyé hier et il n'a rien trouvé non plus... normal ?

Et j'ai encore une dernière bête question, tu parles de redirection, moi je suis allée plusieurs fois sur le site sans savoir qu'il y avait un malware, je n'ai jamais été redirigée quelque part, ou en tout cas je n'ai rien vu ?

GRAND MERCI pour ton aide!

wydo
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Malware sur mon site internet - quel outil ?

par Malekal_morte »

wydo a écrit :j'ai supprimé les 2 fichiers en question, que j'avais envoyé via l'upload effectivement. Il doit encore y en avoir d'autre, puisque les alertes sont toujours là.
Ca n'a rien à voir avec l'accès à ton site par mot de passe (administration).
Cette page PHP permet de faire tout ce que tu veux sur le serveur (créer des fichiers, modifier, accès SQL etc).
Il faut la supprimer.
A partir de là, ils ont modifié le site pour qu'il redirige les visiteurs vers du contenu malicieux.

Le problème est de savoir comment ils ont pu faire pour la créer.
Donc soit il y a une vulnérabilité sur ton site qui permet de créer cette page.
Soit tes identifiants FTP ont été volés.

Ton site étant en Joomla, la première chose à faire et :
- de s'assurer que Joomla est bien à jour.
- que toutes les extensions installées le sont.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
wydo

Re: Malware sur mon site internet - quel outil ?

par wydo »

J'ai enlevé tous les fichiers, et vidé la base de données.

Malgré tout, je reçois encore une alerte de Bitdefender. J'ai installé cette nuit la version d'évaluation pour voir si j'obtiens plus d'infos sur le malware mais le message est générique : "cette page est identifiée comme étant infectée par des malwares. La page web a bien été bloquée par le filtre Antimalware et votre pc est désormais sûr".

Est ce que l'un d'entre vous pourrait regarder s'il y a encore des menaces actives ? Je ne comprends plus rien....
Virustotal aussi détecte toujours des malwares, mais quand je demande de réanalyser je ne suis pas sûre qu'il le fait, il reste sur l'analyse précédente peut être ?

J'ai contacté le support de one.com, mais ils disent qu'il n'y a plus de malwares. Peut être le malware est un fichier caché sur leur serveur ?

Merci pour votre aide.

ps, j'ai remis la version de septembre 2014, et div.php y était déjà. Donc je vais remettre l'actuelle, que j'avais sauvegardée hier, et je vais essayer de repartir de là.

wydo
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Malware sur mon site internet - quel outil ?

par Malekal_morte »

Si tu ne peux pas désinfecter manuellement le site.
Repars d'un Joomla sain et prends l'habitude de le mettre à jour ainsi que les extensions.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
wydo

Re: Malware sur mon site internet - quel outil ?

par wydo »

non, mais là, y'a plus rien ! plus 1 seul fichier, plus de joomla, la db est vide.. et j'ai tout effacé sur le serveur.
on tombe sur une page html de l'hébergeur qui dit que le site est hébergé par eux.

donc, pourrais tu jeter un oeil pour voir si tu détectes encore un problème, et auquel cas ce serait l'hébergeur qui doit agir ?
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Malware sur mon site internet - quel outil ?

par Malekal_morte »

C'est bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »