Piratage de votre site Joomla : Comment réparer ?
Cela peut arriver au meilleur….
Un jour, votre site Joomla s’est fait hacké et ce, malgré toutes les précautions que vous aillez pu prendre 
Il existe plusieurs types de piratage de votre serveur, la plus fréquente, l’utilisation d’une faille de sécurité dans Joomla (très rarement possible) ou d’un composants (le plus fréquent).
Les conséquences : Le pirate modifie votre première page juste pour dire à ses copains : J’ai réussi ! ou pire, va insérer discrètement un petit programme qui va lui permettre par exemple : d’attaquer d’autres serveurs, d’envoyer des mails en masse (spam ou fishing), y insérer un virus, de modifier à nouveau votre site, … bref, de contrôler votre hébergement et donc votre site….
Si cela se produit (par exemple vous recevez un mail d’alerte de votre hébergeur), comment réparer :
Première méthode : la plus facile : En cas d’injection de programme :
Connectez-vous par FTP et cherchez les fichiers modifiés grâce à la date de modification.
Si vous avez un fichier avec une date différente des autres… c’est suspect…. surtout si c’est un fichier .Php
Si vous connaissez bien Joomla, le nom du fichier peut vous alerter : c’est ainsi que j’ai corrigé le hack du site d’un de mes clients : le fichier s’appellait : jomla2.php !!!
Comme ce n’est pas un fichier officiel, je l’ai repéré.
Dès que vous l’avez repéré… regardez la date à laquelle le fichier a été ajouté…. et cherchez si il n’y en a pas d’autres… cela arrive souvent.
Deuxième méthode : Analyse des fichiers logs apache :
La, c’est du travail de fourmi surtout si vous avez beaucoup de trafic.
Vous devez analyser toute anomalie dans le fichier… par exemple l’appel à un fichier jomla2.php :
Exemple tiré d’un cas réel :
196.221.51.246 - - [19/Aug/2008:20:00:33 +0200] “POST /jomla2.php HTTP/1.1″ 200 146176 “http://www.nomdedomaine.com/jomla2.php” “Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
Honnêtement, j’ai mis des heures pour repérer cette ligne….
Cela demande beaucoup de patience…
Conclusion : si votre site a été hacké, pas de panique… armez-vous de patience et essayer de comprendre comment le pirate a fait : Joomla non mis à jour ? composant ? module ? mambots ? autres programmes sur l’hébergement non mis à jour (par exemple un forum)
Ensuite corrigez la faille et surtout effacez tout programme inséré par le pirate…. surveillez par la suite l’activité de votre site.
Réparer ce type de problème prend beaucoup de temps, alors, un dernier conseil : faites les mises à jour de Joomla et des extensions !!!
Intéressant ça
Une manière de procéder pour la vérifiaction des fichiers, ce serait de faire un listing de tous les fichiers (nom, path, taille, date de création/modification) directement après l’installation et de le sauvegarder chez soi, à l’abris.
Lors de l’apparition du problème, il suffirait alors de recommencer la même opération et de comparer les 2 listings.
Il serait alors facile (et rapide) de repérer les éventuels changements/ajouts.
Mais comment repérer l’origine de la faille si il s’agit de la faiblesse d’un composant ?