Site Web piraté - Joomla - et pas de sauvegarde
... / Site Web piraté - Joomla ...
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Question

Site Web piraté - Joomla - et pas de sauvegarde

Par
Community Deleted user
Créé le 2019-08-05 16:44:02 (edited on 2024-09-04 11:22:01) dans Hébergement Web-old

Bonjour

Notre site operami.ch est piraté. Le symptôme: www.operami.ch s'affiche comme une page blanche.

Nous mettons à jour régulièrement les plugins, extensions, etc... J'ai regardé les logs Web mais je n'ai rien trouvé de particulier - si ce n'est des requêtes POST comme si notre site était Wordpress alors que c'est un site développé en Joomla (???).
Comme nous étions en vacances, cela fait déjà presqu'un mois qu'il est inactif et malchance, je me suis fait voler pendant les vacances le PC où il y avait le site Joomla d'origine avec les backups (grrr...).

Le site est tout simple (pas de certificat SSL), il s'agit d'un site de type "plaquette" pour une association qui fait de l'opéra amateur mais nous avons besoin de ce site pour nos sponsors... On est tous des bénévoles donc pas facile d'être réactif non plus.

Si qqun peut nous aider, nous serions très reconnaissants !

Alexis


16 réponses ( Latest reply on 2019-08-18 19:48:43 Par
kyodev
)

```text
curl --head -XGET --user-agent firefox http://operami.ch/
HTTP/1.1 200 OK
X-Powered-By: PHP/5.4
```
mais pas sûr que ça soit lié au virus (la page blanche)
php5.4 est PÉRIMÉ depuis longtemps :/

ah oui, vu:


je le connais celui là, son but est de référencer des milliers de page sur certains moteurs pour faire blacklister des sites légitimes
il est particulièrement bien foutu, car il est capable de publier des pages wordpress ou joomla, il intègre 2 fakes de vieux wordpress et joomla
le risque étant de te faire pénaliser aussi par les moteurs

pas besoin de sauvegarde (en urgence), il faut faire un nettoyage complet, ftp et base

tu as toujours l'accès Ftp?

le mot de passe ftp n'a rien à voir avec l'administration de joomla (normalement, sinon c'est un grave défaut de sécurité)

manager Ovh/hébergement/FTP-SSH:

1. tu peux changer le mot de passe pour le connaître
* activer sftp (ça servira): https://gitlab.com/sdeb/web/snippets/1780024

l'idée est de couper au plus vite le site, proprement:

* une page maintenance retournant HTTP/503, le temps de réagir
* quelle est la version de joomla en oeuvre?
* récupérer une sauvegarde ftp de 3 semaines (pour principe)
* manager Ovh/hébergement/base de données: tu peux télécharger une sauvegarde de 30 jours

ton site est infecté depuis bien plus longtemps, à priori
ton site est déclaré piraté chez google
ton site a des milliers de pages parasites référencées et plus aucune concernant le site original, du moins sur les 200 premières pages

après il faut nettoyer, il n'y a pas une recette, je ne peux pas te guider, il faut un certain niveau
après il faudra se pencher sur joomla, qui est à corriger (le virus ne crée pas cette page blanche)

tu peux te connecter à Joomla?
tu peux te connecter au manager Ovh?

bien suis ce que je te conseille, il te faut l'accès ftp
changer le mot de passe demander 10 à 15 mn pour être effectif

je t'avais aussi posé d'autres questions

pour récupérer une sauvegarde ftp: https://docs.ovh.com/fr/hosting/restauration-ftp-filezilla-espace-client/

utilise `-snap5`, non documenté, mais semaine-3

* ce n'est pas la priorité
* je ne te conseille pas de restaurer, ça ne sera pas suffisant
* c'est juste une sauvegarde infectée que tu auras sur ton Pc

non ne plus utiliser joomla il est infecté, ton site est infecté !
il sert des fausses pages aux bot, et toi tu ne vois rien

relis bien
tu devras créer une page index pour remplacer, je te donnerai le code quand tu seras prêt

c'est pour répondre à une tes interrogationsn voir ton sujet

renomme le fichier `index.php` existant

crée un nouveau fichier `index.php`:
```php
header("HTTP/1.0 503 Service Unavailable");
?>
```
ton site est en maintenance apparente
il te reste à agir ou trouver un pro pour ça


le site Joomla d'origine avec les backups


Tu peux peut-être récupérer des fragments dans l'archive Web.
https://web.archive.org/web/*/www.operami.ch

la webmachine ne sauve qu'une page, au mieux sauf si site fréquenté
là le site est intact
mais joomla 2.5... que dire...?
il faut le refaire car mettre à jour suppose de refaire le thème :/

il aurait fallu garder l'ancien, toujours intéressant de voir le fonctionnement

j'ai fait un oubli, peux tu corriger:
```php
header("HTTP/1.0 503 Service Unavailable");
?>
```

```text quand tu auras nettoyé, il faudra prendre une décision

* garder l'ancien site en Joomla 2.5 avec php5.4, mais tu te seras ré-infecté facilement
* refaire faire un site plaquette rapidement avec un CMS propre plus facile à mettre à jour
* faire une mise à jour joomla, mais ça revient à refaire un joomla

dans les deux derniers cas (uniquement), il faudra mettre à jour ton hébergement
```text
app.engine=php
app.engine.version=7.2
http.firewall=none
environment=production
container.image=stable
```
https://docs.ovh.com/fr/hosting/configurer-fichier-ovhconfig/ ```

derniers points

* il faudrait d'urgence faire un script pour rediriger toutes les erreurs 404 en 410
cela participera à commencer à déréférencer les pages parasites (une fois nettoyé)
* ouvrir un compte Search Console (mais aussi bing et yandex de mémoire)
* pour aider à déréférencer
* faire analyser le site pour faire enlever *"site piraté"*
* relancer l'indexation quand le site sera nettoyé

tu indiquais un besoin urgent...
je t'ai donné un bricolage valable te temps de prendre une décision, avant d'agir, 1jour ou deux...

10 jours après, ton site est toujours infecté, voir pire
ton robotx.txt référence 2 000 sitemaps de chacun 5 000 liens pourris...

ça frise l'inconséquence de laisser un site infecté et polluer le net alors que c'est de ta responsabilité d'agir

supprime robots.txt et les 2000 fichiers `brightener*.xml.gz` dans la racine de ton site au moins, pour limiter les dégats

> Si je supprime via FTP la totalité de l’arborescence, est ce suffisant ?

oui

mais tu as 10 millions de liens potentiellement indexés par google et cie :(
pour s'en débarrasser, je t'avais suggéré d'urgence de renvoyer les 404 sur des 410 pour commencer la désindexation
si ça te pose souci, je t'enverrais une solution

après 1 mois environ, il faudra demander un réexamen manuel du site par google (c'est long) avec tous les détails circonstanciés du pourquoi /comment pour faire enlever cette inscription:



si tu n'as pas de search console, en ouvrir une et déclarer la propriété de ce site
https://search.google.com/search-console/

> comment ajouter un record TXT dans notre enregistrement DNS

manager Ovh/domaine/zone DNS
ajout entrée, type TXT
sous-domaine: vide
cible: google-site-verification=xxxxxxxxxxxxx

pour le reste je te prépare et t'envoie ça en privé

> je pense qu'il y a du boulot à faire sous la Search Console

voir le support google

> Joomla en version 3.8.6

cette version de joomla date d'un an... !
la version en cours: Joomla 3.9.11
pourquoi partir sur une vielle version, sur un CMS aussi délicat à mettre à jour?
mais si vous préférez vous faire infecter avec des vielles versions, c'est votre choix

> genre "Site en construction".

mauvaise idée

> erreur 501

souci `.ovhconfig` à priori

mais je ne peux répondre sans éléments

> J'imagine qu'il faut dire à OVH

pas concernés, ils ne t'ont pas bloqué le site

> Peux tu me dire quelle est l'étape suivante?

voir un pro, surtout avec Joomla?

partez sur une solution plus simple à maintenir?

malgré les conseils, tu sors une page vide avec un code HTTP200... rien de mieux pour dire à Google qu'il n'y a rien d'intéressant

il faut absolument un fichier `.ovhconfig`, en tête de l'hébergement, au dessus de `www`:
```text
app.engine=php
app.engine.version=7.2
http.firewall=none
environment=production
container.image=stable
```

une extension?
envoyer le code 503 dans le index.php?
renommer le fichier en 503.php et ajouter dans le .htacess?
```text
DirectoryIndex 503.php index.html index.php
```