Probleme site

(reprise du message précédent)

Je suis en train de refaire le site de A à z, pour ne plus avoir ce problème.


J'ai récupéré un imp.écran de affichage 'pirate'. Il doit apparaitre avec le dossier Js dans le dossier files. Je le supprime mais reviens au bout de quelques jours. Pour le moment je ne trouve pas l'endroit où la commande est faite.

l'image.. .

image avec le une partie de code. .

Bonjour,

Note bien la date de création du fichier. Epluche tout ce qui ressemble à une log sur ton serveur aux environs de cette date de création.

Amicalement,

Souvent les hackers installent un shell qui leur permet de parcourir et de modifier tout les fichiers sur le serveur (donc si tu as plusieurs sites sur le même serveur attention). Parfois c'est fait en ajoutant des morceaux de code dans des fichiers existants parfois via de nouveau fichier.

Je suppose qu'il doit exister dans drupal des plugins qui vérifient que les fichiers du core sont sains.

Autrement une solution c'est d'utiliser la console pour chercher les fichiers :
- qui ont été modifiés récemment (ne marche pas toujours car certains changent les dates)
- rechercher dans les scripts php les fonctions base64 ou eval

Si tu arrives a trouver la date de modification d'un fichier, tu peux ensuite retrouver dans les log l'ip et voir les différentes action qu'il effectue sur ton site.

Aussi il faut vérifier qu'il n'y a pas d'utilisateur de plugin ou de thème venus s'ajouter dans drupal. Et changer tout les mots de passe des utilisateurs.

Autrement refaire une installation propre puis y remettre ton thème et en effet une bonne solution a condition que le soucis ne soit pas présent dans un plugin.

Le plus simple est de payer, comme ça le problème sera résolu

J'avoue que le message est cocasse

Drupal a connu deux très grandes failles dans le core (0day) l'année passée (la seconde étant une version alternative de la première), ils ont averti quelques jours avant de les révéler, mais tous les sites qui n'ont pas été corrigé dans les quelques heures après l'annonce risquent d'être infectés. Si tu n'as pas mis à jour à ce moment là ton site est infecté (au bout de quelques jours, les sites sont infectés par de multiples sources, par des scripts automatiques).

Si tu dois rétablir le site c'est une horreur. Tu as meilleurs temps de recommencer à partir de ton code local non infecté. Ta base de donnée est probablement vérolée de partout.

#auCasOù (ou comment y passer des heures plutôt que des jours)
Tu peux commencer par aspirer ton site avec un HTTrack ou curl/wget32, ça te permettra de mettre de côté un maximum de contenu (à ne réafficher sur un navigateur que JS désactivé voire WiFi désactivé - la parano a parfois du bon).
À moins que dans ta base de données, il y ait une table avec le contenu au format HTML qiu puisse être c/c ? Faudra encore vérifier l'absence d'éléments script et noscript…

Après la réinstallation, il faut que ce soit parfaitement à jour sinon ça recommencera… Et que les plugins n'aient pas de faille : s'ils sont connus, ça devrait être le cas (tu ne serais pas le seul infecté)
Modifié par Felipe (10 Jan 2019 - 14:34)

Merci de toutes vos réponses !

Le site est chez OVH, sur un serveur mutualisé. Je me demande si cela vient pas de là la faille initiale. Quoiqu'il en soit je refait le site en entier pour m'assurer de repartir avec quelque chose de propre.

Je n'ai jamais fait de recherche de log ou autres, je ne sais pas trop comment faire. Je ne me sens pas à l'aise avec des choses que je ne maitrise pas le développement php et autres..

J'avais regardé si un theme ou autre ne se serait pas invité. Pas trouvé ou pas vu.

Il me semble que j'avais fait la mise à jour à temps pour Drupal. D'ailleurs c'est le seul site qui est infecté. Mon premier aussi. . Je me demande si le Thème 'Gratis' ou un des nombreux module inutiles ou surcharge de thème et module n'a pas créé cette faille.

Pour le contenu, je ferai du copier coller de texte, pour les images aussi. Il y a pas quelques lignes quand même mais bon, pas le choix pour que ce soit propre.

Chez ovh tu as possibilité de récupérer des versions antérieures des fichiers de ton site
https://docs.ovh.com/fr/hosting/restauration-ftp-filezilla-espace-client/

Pour les bases tu as uniquement des sauvegardes manuelles il me semble. Sauf si tu as un sql privé.
En tous cas c'est aussi l’occasion de réfléchir à faire des sauvegardes régulière de ton site.

Pour les logs tu peux y accéder depuis le manager :
https://docs.ovh.com/fr/hosting/mutualise-consulter-les-statistiques-et-les-logs-de-mon-site/
mais sans savoir exactement où chercher, c'est compliqué.
Modifié par Depassage (11 Jan 2019 - 11:15)