Question Question suite à piratage

Bonjour
dernièrement le site d'un ami c'est fait piraté.
Je suis entrain de m'en occuper mais je ne suis pas spécialiste Joomla
Il avait à la racine des fichiers php qui redirigeaient vers des sites frauduleux.
Il me reste à la racine un fichier au quel j'ai un doute.
Ma question est donc est ce qu'il y a un fichier fmc.php à la racine de Joomla ?
Jean Claude

Bonjour,

Je confirme. Pour savoir si c'est un fichier pirate, vous pouvez le télécharger sur votre ordinateur et l'ouvrir avec un éditeur de texte comme notepad par exemple.
Les fichiers pirates PHP sont normalement inoffensif pour un ordinateur (il n'y a pas PHP ou de serveur web d'installé).

Habituellement les fichiers pirates "saute aux yeux" visuellement, c'est des "gros bloc" de code. Ce sont très souvent les mêmes fonctions PHP qui sont utilisés : eval, base64_decode, gzdecode etc...

L'idée est de maquer le code en quelque sorte. Les pirates utilisent souvent une ou plusieurs de ces fonctions en chaines. Visuellement le code peut ressembler à ça eval(base64_decode(#grosseChaineDeCarractère)).

Il y a juste ceci dans ce fichier

Effectivement c'est pirate, ça utilise une technique du "preg_replace", le "e modifer" qui permet d'exécuter du code sans forcément faire appel à une fonction comme eval() souvent bloqué par sécurité par les hébergeurs. D'ailleurs, "str_rot13('riny')" = eval.

Ce petit bout de code permet au pirate d'exécuter plus ou moins ce qu'il veut, via une requête POST qu'il fait sur le fichier.

Un article explique cela assez bien ici : www.madirish.net/402
Cf. celui-ci également : ejth.dk/2011/eval-is-evil-hiding-it-is-even-more-evil/98

Super merci à vous

Jean Claude