Mon site a été piraté.
Après enquête, j’ai découvert qu’il s’agissait d’un piratage index.html
a été placé dans mon dossier Joomla (au même niveau que index.php
et configuration.php
).
Je me demande comment les pirates ont placé le index.html
sur mon dossier Joomla? Cela semble être une pénétration assez profonde, être capable de déposer les fichiers à volonté dans le dossier racine de mon serveur web!
Peuvent-ils le faire sans avoir accès à mon mot de passe cpanel et mon mot de passe FTP?
Oui, en plus de connaître votre mot de passe FTP et de simplement télécharger des fichiers sur votre serveur, vous pouvez placer des fichiers sur le serveur avec une attaque par inclusion de fichiers distants .
Vous devez toujours garder votre installation et toutes vos extensions à jour afin de réduire le risque de telles attaques.
Voici un exemple de bogue qui permettait l'inclusion de fichiers distants: http://www.rapid7.com/db/vulnerabilities/joomla-20140903-core-remote-file-inclusion
Vous pouvez en lire plus à ce sujet ici: http://securityxploded.com/remote-file-inclusion.php
Un de ces scénarios " Mon site Web a été piraté".
La première chose que j’espère sincèrement, c’est la dernière version de Joomla.
Une des raisons possibles pour pouvoir télécharger un fichier dans le répertoire racine est une extension de téléchargement vulnérable, que je peux vous assurer, existe malheureusement.
Une autre possibilité est d'avoir accès à votre backend. Si un pirate informatique accède à votre backend d’administrateur, il peut télécharger un script de téléchargement PHP), ce qui lui permet de télécharger une tonne de scripts malveillants.
Assurez-vous que tous vos mots de passe pour le backend administrateur, FTP, cPanel sont forts et de préférence différents, et que toutes les extensions que vous utilisez sont toujours à jour.
J'ai écrit une réponse sur Stack Overflow il y a quelque temps avec quelques astuces:
J'espère que cela t'aides
C'est un moyen assez courant pour les pirates informatiques de démontrer qu'ils ont accès à votre site Web.
Bien sûr, il est possible que quelqu'un ait accès aux informations d'identification de votre compte (hébergement, Joomla, FTP). Mais il se peut aussi que votre site Web présente des vulnérabilités. Cela est généralement dû à des logiciels obsolètes qui peuvent être exploités, ce qui permet à des utilisateurs malveillants de faire toutes sortes de choses sur votre site Web.
J'ai récemment dû nettoyer et sécuriser un site Web sur lequel le scanner de logiciels malveillants de la société d'hébergement y retrouvait constamment des fichiers infectés. Lorsque j'ai commencé mon enquête, j'ai découvert que parallèlement au site réel de Joomla, presque actualisé, il y avait des dizaines d'autres anciennes installations de Joomla non entretenues.
C’était l’un de ces comptes d’hébergement qui permettaient à de nombreux sites Web de coexister, mais le propriétaire ne s’intéressait pas à tous ses autres sites et ne leur laissait aucune maintenance ni mise à niveau.
Ces sites/fichiers obsolètes constituaient le point d’entrée pour les pirates et, avec l’accès au répertoire racine, il était possible d’affecter tout ce qu’il contenait, même le site Joomla mis à jour.
Donc, une bonne règle générale est de tout garder à jour et propre.
Maintenant, si vous effectuez une recherche sur Google, vous trouverez de nombreuses informations sur le traitement d’un site piraté de Joomla et sur la façon de le sécuriser.
Essayez de suivre toutes ces instructions et lorsque vous avez terminé, n'oubliez pas de mettre à jour toutes les informations d'identification de vos comptes.
Si vous ne vous sentez pas en sécurité ou incapable de le faire vous-même, je vous conseillerais de faire appel à un professionnel pour vous aider.