Bonjour
Notre site operami.ch est piraté. Le symptôme: www.operami.ch s'affiche comme une page blanche.
Nous mettons à jour régulièrement les plugins, extensions, etc... J'ai regardé les logs Web mais je n'ai rien trouvé de particulier - si ce n'est des requêtes POST comme si notre site était Wordpress alors que c'est un site développé en Joomla (???).
Comme nous étions en vacances, cela fait déjà presqu'un mois qu'il est inactif et malchance, je me suis fait voler pendant les vacances le PC où il y avait le site Joomla d'origine avec les backups (grrr...).
Le site est tout simple (pas de certificat SSL), il s'agit d'un site de type "plaquette" pour une association qui fait de l'opéra amateur mais nous avons besoin de ce site pour nos sponsors... On est tous des bénévoles donc pas facile d'être réactif non plus.
Si qqun peut nous aider, nous serions très reconnaissants !
Alexis
Site Web piraté - Joomla - et pas de sauvegarde
Sujets apparentés
- [RESOLU] Server unable to read htaccess file, denying access to be safe
25897
24.11.2019 19:11
- Version php 7.0 sur Ovh mais php 5.4.45 sur mon wordpress
23023
10.01.2019 11:14
- Comment récupérer son mot de passe phpmyadmin ?
20040
14.11.2016 10:32
- Changer la version d'une base de donnée en mutualisé
19861
22.12.2016 11:46
- Variable upload_max_filesize plus grande que post_max_size
19798
11.06.2017 16:01
- Résiliation hébergement+domaine
15474
11.09.2018 20:28
- Résiliation hébergement
14671
27.07.2018 10:39
- Transfert hebergement et domaine .fr entre client OVH ?
13891
21.12.2016 15:10
- Ne supporte pas FTP sur TLS
13813
11.12.2018 18:48
- Nouvelle fonctionnalité : SFTP pour tous
13505
06.01.2017 14:50
```text

curl --head -XGET --user-agent firefox http://operami.ch/
HTTP/1.1 200 OK
X-Powered-By: PHP/5.4
```
mais pas sûr que ça soit lié au virus (la page blanche)
php5.4 est PÉRIMÉ depuis longtemps :/
ah oui, vu:
je le connais celui là, son but est de référencer des milliers de page sur certains moteurs pour faire blacklister des sites légitimes
il est particulièrement bien foutu, car il est capable de publier des pages wordpress ou joomla, il intègre 2 fakes de vieux wordpress et joomla
le risque étant de te faire pénaliser aussi par les moteurs
pas besoin de sauvegarde (en urgence), il faut faire un nettoyage complet, ftp et base
tu as toujours l'accès Ftp?
le mot de passe ftp n'a rien à voir avec l'administration de joomla (normalement, sinon c'est un grave défaut de sécurité)
manager Ovh/hébergement/FTP-SSH:
1. tu peux changer le mot de passe pour le connaître
* activer sftp (ça servira): https://gitlab.com/sdeb/web/snippets/1780024
l'idée est de couper au plus vite le site, proprement:
* une page maintenance retournant HTTP/503, le temps de réagir
* quelle est la version de joomla en oeuvre?
* récupérer une sauvegarde ftp de 3 semaines (pour principe)
* manager Ovh/hébergement/base de données: tu peux télécharger une sauvegarde de 30 jours
ton site est infecté depuis bien plus longtemps, à priori
ton site est déclaré piraté chez google
ton site a des milliers de pages parasites référencées et plus aucune concernant le site original, du moins sur les 200 premières pages
après il faut nettoyer, il n'y a pas une recette, je ne peux pas te guider, il faut un certain niveau
après il faudra se pencher sur joomla, qui est à corriger (le virus ne crée pas cette page blanche)
tu peux te connecter à Joomla?
tu peux te connecter au manager Ovh?
bien suis ce que je te conseille, il te faut l'accès ftp
changer le mot de passe demander 10 à 15 mn pour être effectif
je t'avais aussi posé d'autres questions
pour récupérer une sauvegarde ftp: https://docs.ovh.com/fr/hosting/restauration-ftp-filezilla-espace-client/
utilise `-snap5`, non documenté, mais semaine-3
* ce n'est pas la priorité
* je ne te conseille pas de restaurer, ça ne sera pas suffisant
* c'est juste une sauvegarde infectée que tu auras sur ton Pc
non ne plus utiliser joomla il est infecté, ton site est infecté !
il sert des fausses pages aux bot, et toi tu ne vois rien
relis bien
tu devras créer une page index pour remplacer, je te donnerai le code quand tu seras prêt
c'est pour répondre à une tes interrogationsn voir ton sujet
renomme le fichier `index.php` existant
crée un nouveau fichier `index.php`:
```php
header("HTTP/1.0 503 Service Unavailable");
?>
```
ton site est en maintenance apparente
il te reste à agir ou trouver un pro pour ça
Tu peux peut-être récupérer des fragments dans l'archive Web.
https://web.archive.org/web/*/www.operami.ch
la webmachine ne sauve qu'une page, au mieux sauf si site fréquenté
là le site est intact
mais joomla 2.5... que dire...?
il faut le refaire car mettre à jour suppose de refaire le thème :/
il aurait fallu garder l'ancien, toujours intéressant de voir le fonctionnement
j'ai fait un oubli, peux tu corriger:
```php
header("HTTP/1.0 503 Service Unavailable");
?>
```
```text quand tu auras nettoyé, il faudra prendre une décision
* garder l'ancien site en Joomla 2.5 avec php5.4, mais tu te seras ré-infecté facilement
* refaire faire un site plaquette rapidement avec un CMS propre plus facile à mettre à jour
* faire une mise à jour joomla, mais ça revient à refaire un joomla
dans les deux derniers cas (uniquement), il faudra mettre à jour ton hébergement
```text
app.engine=php
app.engine.version=7.2
http.firewall=none
environment=production
container.image=stable
```
https://docs.ovh.com/fr/hosting/configurer-fichier-ovhconfig/ ```
derniers points
* il faudrait d'urgence faire un script pour rediriger toutes les erreurs 404 en 410
cela participera à commencer à déréférencer les pages parasites (une fois nettoyé)
* ouvrir un compte Search Console (mais aussi bing et yandex de mémoire)
* pour aider à déréférencer
* faire analyser le site pour faire enlever *"site piraté"*
* relancer l'indexation quand le site sera nettoyé
tu indiquais un besoin urgent...
je t'ai donné un bricolage valable te temps de prendre une décision, avant d'agir, 1jour ou deux...
10 jours après, ton site est toujours infecté, voir pire
ton robotx.txt référence 2 000 sitemaps de chacun 5 000 liens pourris...
ça frise l'inconséquence de laisser un site infecté et polluer le net alors que c'est de ta responsabilité d'agir
supprime robots.txt et les 2000 fichiers `brightener*.xml.gz` dans la racine de ton site au moins, pour limiter les dégats
> Si je supprime via FTP la totalité de l’arborescence, est ce suffisant ?

oui
mais tu as 10 millions de liens potentiellement indexés par google et cie :(
pour s'en débarrasser, je t'avais suggéré d'urgence de renvoyer les 404 sur des 410 pour commencer la désindexation
si ça te pose souci, je t'enverrais une solution
après 1 mois environ, il faudra demander un réexamen manuel du site par google (c'est long) avec tous les détails circonstanciés du pourquoi /comment pour faire enlever cette inscription:
si tu n'as pas de search console, en ouvrir une et déclarer la propriété de ce site
https://search.google.com/search-console/
> comment ajouter un record TXT dans notre enregistrement DNS
manager Ovh/domaine/zone DNS
ajout entrée, type TXT
sous-domaine: vide
cible: google-site-verification=xxxxxxxxxxxxx
pour le reste je te prépare et t'envoie ça en privé
> je pense qu'il y a du boulot à faire sous la Search Console
voir le support google
> Joomla en version 3.8.6
cette version de joomla date d'un an... !
la version en cours: Joomla 3.9.11
pourquoi partir sur une vielle version, sur un CMS aussi délicat à mettre à jour?
mais si vous préférez vous faire infecter avec des vielles versions, c'est votre choix
> genre "Site en construction".
mauvaise idée
> erreur 501
souci `.ovhconfig` à priori
mais je ne peux répondre sans éléments
> J'imagine qu'il faut dire à OVH
pas concernés, ils ne t'ont pas bloqué le site
> Peux tu me dire quelle est l'étape suivante?
voir un pro, surtout avec Joomla?
partez sur une solution plus simple à maintenir?
malgré les conseils, tu sors une page vide avec un code HTTP200... rien de mieux pour dire à Google qu'il n'y a rien d'intéressant
il faut absolument un fichier `.ovhconfig`, en tête de l'hébergement, au dessus de `www`:
```text
app.engine=php
app.engine.version=7.2
http.firewall=none
environment=production
container.image=stable
```
une extension?
envoyer le code 503 dans le index.php?
renommer le fichier en 503.php et ajouter dans le .htacess?
```text
DirectoryIndex 503.php index.html index.php
```