Help, site désactivé par OVH ... New

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Help, site désactivé par OVH ... New

    Bonjour à tous
    J'ouvre une nouvelle discussion sur le sujet car la dernière date de plus d'un an.
    Mon site (qui marchait très bien quoique sur version 1.5) a été fermé par OVH suite à "une opération
    irrégulière au niveau de votre site".
    Je ne sais absolument pas comment régler le pbm avec les guides d'OVH et je ne voudrait pas que ca me coute une fortune si je leur demande une opération d'infogérance (vu les réponses fumeuses et incompréhensibles du suppport d'OVH en général !!) .
    Voici le mail qu'ils m'ont envoyé :

    Bonjour,
    Notre système de surveillance (Okillerd) a détecté une opération
    irrégulière au niveau de votre site.
    Les détails de cette opération sont les suivants :
    lacuisinedemaman.fr
    Problème rencontré : Script flooding mailout
    Commande apparente : php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=0 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 -- 01bbt0.php
    Exécutable utilisé : N-A
    Horodatage: Sun Oct 20 21:41:29 CEST 2013
    Ceci n'est pas autorisé sur nos installations,
    car c'est une tentative potentielle de piratage.
    Si ce n'est pas vous qui avez lancé ce script, cela signifie
    qu'il y a une faille sur votre site et qu'un hacker s'en
    est servi pour réaliser cette opération.
    Nous avons désactivé l'accès web temporairement pour éviter tout
    risque de nouveau piratage.
    Vous pouvez vous connecter via ftp, pour modifier les scripts qui
    peuvent poser problème. Pensez également à mettre à jour les
    logiciels que vous utilisez comme phpnuke, phpbb, etc.
    Comment faire ?
    Consultez ces guides :
    - http://guides.ovh.com/AlerteHackMutu
    - http://guides.ovh.com/SecuriteSite
    Une fois le problème résolu, vous pouvez rouvrir votre site
    en remettant les bons droits sur le répertoire racine (chmod 705 .).
    NOUVEAU : Vous pouvez à présent activer le firewall applicatif
    "mod_security" dans votre manager pour mieux protéger votre site
    contre les piratages. Pour plus d'informations, consultez ce lien :
    http://www.ovh.com/fr/hebergement_mu...d_security.xml
    Contactez notre support si vous ne parvenez pas à rouvrir l'accès
    web par vous-même. Notez que les équipes du support ne peuvent pas
    rechercher l'origine du problème pour vous, mis à part dans le
    cadre d'une opération payante d'infogérance.

    Cordialement,


    Je n'ai plus accès au panneau d'administration de mon site mais seulement aux fichiers via filezilla.
    Qui pourrait me sortir de ce pétrin ??
    Merci d'avance à tous
    Cordialement

  • #2
    Re : Help, site désactivé par OVH ... New

    Bonjour,

    Il y a manifestement eu une intrusion et installation d'un script
    Problème rencontré : Script flooding mailout
    Commande apparente : php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=0 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 -- 01bbt0.php
    Il faut rechercher un script appelé 01bbt0.php et le supprimer.
    qui marchait très bien quoique sur version 1.5
    Cette version de Joomla! n'étant plus maintenue depuis plus d'un an, il est urgent de penser à la migrer vers 2.5.

    Le patch Correctif de vulnérabilité http://aide.joomla.fr/telechargement...ise-a-jour-1-5 est-il installé ?
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : Help, site désactivé par OVH ... New

      Envoyé par jisse03 Voir le message
      Bonjour,

      Il y a manifestement eu une intrusion et installation d'un script
      Problème rencontré : Script flooding mailout

      Il faut rechercher un script appelé 01bbt0.php et le supprimer.

      Cette version de Joomla! n'étant plus maintenue depuis plus d'un an, il est urgent de penser à la migrer vers 2.5.

      Le patch Correctif de vulnérabilité http://aide.joomla.fr/telechargement...ise-a-jour-1-5 est-il installé ?
      OK, merci pour la réponse
      Aurais-tu une idée dans quel fichier ce script peut se trouver afin que je le supprime ?

      Commentaire


      • #4
        Re : Help, site désactivé par OVH ... New

        En fonction de la vulnérabilté des versions antiques de Joomla et autres extensions, il peut être n'importe où. Utiliser un outil de type Grep http://www.wingrep.com/ ou Notepad++ http://notepad-plus-plus.org/fr/ pour le rechercher en prenant une copie local de ton site.
        Pas de demande de support par MP.
        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

        Commentaire


        • #5
          Re : Help, site désactivé par OVH ... New

          Envoyé par jisse03 Voir le message
          En fonction de la vulnérabilté des versions antiques de Joomla et autres extensions, il peut être n'importe où. Utiliser un outil de type Grep http://www.wingrep.com/ ou Notepad++ http://notepad-plus-plus.org/fr/ pour le rechercher en prenant une copie local de ton site.
          J'ai téléchargé wingrep mais je suis toujours dans la galère
          Il faut apparemment que j'ouvre tous les dossiers un par un pour faire une recherche de ce script. Je ne pense pas pouvoir venir à bout
          Il n'y a pas d'autre solution ?

          Commentaire


          • #6
            Re : Help, site désactivé par OVH ... New

            Logiquement, comme tout bon grep, wingrep doit être récursif (il doit y avoir une case à cocher pour utiliser aussi les sous répertoires et leurs contenus.

            Pour tout logiciel, il existe une documentation qu'il convient de lire soigneusement pour l'utiliser complètement.
            Pas de demande de support par MP.
            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

            Commentaire


            • #7
              Re : Help, site désactivé par OVH ... New

              Envoyé par jisse03 Voir le message
              Logiquement, comme tout bon grep, wingrep doit être récursif (il doit y avoir une case à cocher pour utiliser aussi les sous répertoires et leurs contenus.

              Pour tout logiciel, il existe une documentation qu'il convient de lire soigneusement pour l'utiliser complètement.
              OK, merci mais lorsque j'active la recherche wingrep cesse de fonctionner et se ferme.
              Anyway, j'ai fait une recherche classique avec le nom du fichier et le module rechercher de windows.
              J'ai trouvé ce fichier. Il était dans /compoments/com_search/ du site.
              Je l'ai supprimé sur mon site distant. Mais c'est bizarre, la date de dernière modification était 08/2011 et n'avuit apparemment pas été modifié depuis. Est-ce possible qu'OVH découvre un risque avec ce fichier alors qu'il n'a pas été modifié depuis 2011 ??
              Merci de me dire si c'est normal et si je peux maintenant dire à OVH de réactiver mon site ?
              Cordialement
              PS : En tout cas si je me sors de ce piège, je migrerai mon site vers la version 2.5 (bien que ce soit assez délicat je crois !!?)

              Commentaire


              • #8
                Re : Help, site désactivé par OVH ... New

                Il faudra quand même savoir comment le site a été infecté.

                Mais logiquement, il devrait pouvoir être réactivé, sauf si ce fichier est un arbre qui cache la forêt.

                Et pour la date, les scripts de piratage savent parfaitement utiliser les fonctions mtime des Unix pour valider une date dans le passé.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : Help, site désactivé par OVH ... New

                  si ton grep plante, tu as la possibilité de jeter un oeil dans les logs et tenter de trouver l'appel à ce fichier pour le localiser

                  je regarderais en premier dans le dossier images... souvent destination de malware

                  et pour réactiver ton site, ovh t'indique...

                  Une fois le problème résolu, vous pouvez rouvrir votre site
                  en remettant les bons droits sur le répertoire racine (chmod 705 .).
                  Christophe
                  http://www.webcrea.fr

                  Commentaire


                  • #10
                    Re : Help, site désactivé par OVH ... New

                    OK, en tout cas merci beaucoup pour ton aide précieuse.
                    Je vais attendre qu'OVH me permette d'accéder à nouveau à mon site et je vais faire la migration vers 2.5
                    Cordialement

                    Commentaire


                    • #11
                      Re : Help, site désactivé par OVH ... New

                      Envoyé par surfeur1912 Voir le message
                      OK, en tout cas merci beaucoup pour ton aide précieuse.
                      Je vais attendre qu'OVH me permette d'accéder à nouveau à mon site et je vais faire la migration vers 2.5
                      Cordialement
                      je ne suis pas sûr sûr que tu aies bien lu mes propos

                      et la migration n'arrangera rien, elle va juste copier le malware dans ton nouveau site...
                      Christophe
                      http://www.webcrea.fr

                      Commentaire


                      • #12
                        Re : Help, site désactivé par OVH ... New

                        Ah, pardon
                        Mais je pensais qu'en ayant supprimé ce fichier, le site était maintenant clean ?
                        Faut il que je recommence donc tout à zéro pour installer une version 2.5 ?

                        Commentaire


                        • #13
                          Re : Help, site désactivé par OVH ... New

                          Envoyé par webcrea Voir le message
                          je ne suis pas sûr sûr que tu aies bien lu mes propos

                          et la migration n'arrangera rien, elle va juste copier le malware dans ton nouveau site...
                          Une migration via JUpgrade ne recopie pas les malwares, sauf s'ils sont planqués en /images ou /media...
                          Pas de demande de support par MP.
                          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                          Commentaire


                          • #14
                            Re : Help, site désactivé par OVH ... New

                            Envoyé par jisse03 Voir le message
                            Une migration via JUpgrade ne recopie pas les malwares, sauf s'ils sont planqués en /images ou /media...
                            Effectivement j'aurais dû précisé mais comme j'en parlais dans le précédent post...
                            Christophe
                            http://www.webcrea.fr

                            Commentaire


                            • #15
                              Re : Help, site désactivé par OVH ... New

                              OK, bien noté
                              Attendons maintenant qu'OVH m'autorise à nouveau l'accès
                              Merci encore

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X