Les sites Joomla piratés par DR-MTMRD
Duplicate possible:
Mes sites ont été piratés. Que faire?
Quelques-uns de mes sites joomla ont été piratés. Après avoir pris conscience de cela, j'ai fait les choses suivantes:
- Mots de passe d'hébergement modifiés (mysql, ftp, panneau de configuration)
- Nom d'utilisateur admin joomla renommé en "admin" dans la table des utilisateurs (Hacker a changé le nom d'utilisateur comment?)
- Joomla mis à jour le plus récent Répertoire racine php.ini de l'hôte.
- Accès cgi handicapé
Mais le site est toujours piraté. J'ai vérifié le fichier index.php et owerwrite le fichier index.php original, mais le site est toujours piraté.
Comment est-ce possible?
Commencer à partir de zéro
Si votre base de données et vos fichiers sont récents, copiez-les tous et recommencez. C’est vraiment la meilleure façon de procéder lorsque vous avez été piraté de façon massive.
Pas de bonnes sauvegardes
La plupart du temps, selon mon expérience, il n’existe aucune solution de rechange efficace. Et je suppose que vous non plus. Si vous avez effectué une analyse avec ClamAV et/ou des analyses en ligne avec des sites tels que
- TrendMicro
- démasquer les parasites
- Sucuri - Site génial à mon avis pour faire des scans
et trouvé les fichiers contaminés que vous pouvez supprimer et/ou les remplacer par des fichiers propres. Espérons que tous les coquillages cachés seront capturés ainsi que tous les autres backdoors possibles. Il semble cependant que l'infection soit assez grave. Si difficile à dire, ce sera imperméable. Cela a déjà fonctionné pour moi, alors essayez!
Backdoor Shell
Dans votre cas, il semble qu'il y ait probablement un fichier Shell sur votre serveur que vous avez oublié avec un nom que les analyses ne trouvent pas facilement. Les shells en ligne sont des fichiers dotés de droits de serveur permettant de modifier d'autres fichiers sur ce serveur sur commande. Les coquilles peuvent avoir des noms comme "je t'aime" ou d'autres noms moins provocants. J’en ai trouvé plusieurs par le passé et j’en ai sur la sauvegarde pour les utiliser au cas où j’ai besoin d’aider un autre client.
Comparez installation propre à une installation contaminée
Vous pouvez également faire une comparaison en utilisant Diff ou Meld - version graphique de Diff - et comparer une installation propre à celle infectée. Cela couvrira tous les fichiers standard, mais pas le modèle ni les fichiers d'extension. Vous devrez les faire séparément en utilisant les packages appropriés.
Nettoyage de la base de données
Tout cela n’aidera pas autant la base de données. Si vous avez une copie de la base de données qui est correcte et qui datait d'avant le piratage, je remplacerais la base de données par cette copie. De toute façon, si vous avez une sauvegarde correcte de tous les fichiers et de la base de données, un démarrage en mode minimal serait le meilleur moyen. Sinon, j'utiliserais si possible certains des outils de ligne de commande à venir. N'oubliez pas que vous pouvez télécharger une copie de la base de données et exécuter ces commandes localement également!
Outils de ligne de commande
Une autre option - si vous avez accès à Shell - consiste à effectuer des analyses de base du code obfusqué. Il y a même des scripts PHP que j'utilise pour que cela fonctionne également. Voici quelques trucs utiles pour la recherche et la destruction. La plupart d'entre eux aident à afficher le code obfusqué tel que:
<?php $_8b7b="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_8b7b1f="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6
- Rechercher des occurrences en base64: https://Gist.github.com/731099 De mauvais codes sont souvent masqués à l'aide de Base64 ou ASCII.
- Commandes générales "de recherche de hacks diaboliques" de Shell: https://Gist.github.com/3191187
Script PHP
- Base64 PHP script de recherche https://Gist.github.com/3191185
- Recherchez les méchants de Chun et Whitney: https://Gist.github.com/3191259