Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Bonjour,


    Mon site en Joomla 2.5 est épisodiquement inaccessible (tout comme son administration)
    (c'est arrivé du jour au lendemain sans intervention sur le site à priori).

    Je suis chez OVH en hébergement mutualisé.

    Après plusieurs échanges infructueux par tickets mails, je viens de contacter téléphoniquement la hot line et le problème serait donc le suivant.

    D'après OVH un plug-in saturerait la base de données par des demandes d'accès trop fréquents et on me conseille de faire des tests en changeant le nom des dossiers plug-in par ftp, un par un.

    Sauf que d'après le technicien, pour que ça prenne effet il faut attendre plusieurs minutes après chaque changement de nom de dossier sans doute pour que le cache soit mis à jour.

    Est ce que quelqu'un aurait une autre solution pour orienter mes recherches vers un plug in particulier ou un utilitaire qui permette de trouver le coupable ?
    Parce que dans le dossier plug-in, il y a plus d'une dizaine de dossiers dont un dossier system qui contient lui même un paquets de plug-in.
    Alors je pense qu'avec la méthode préconisée, c'est rechercher une aiguille dans une meule de foin.

    Merci pour votre aide éventuel.
    Dernière édition par glenan à 10/04/2016, 11h41

  • #2
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    OVH vient de me fournir une adresse IP contactée par mon site Joomla et qui utiliserait trop de ressources et conduirait à un blocage : 109.169.34.132

    Par contre je ne sais pas si c'est toujours cette adresse qui est utilisée (dans ce cas un blocage par htaccess ne sert pas à grand chose et peut on utiliser des caractères génériques dans le htaccess ?).

    Cette adresse serait connue (défavorablement, il suffit de faire google) mais je ne sais pas par où commencer mes recherches sur le site pour annuler la cause et le nettoyer.

    Il y a AeSecure d'installé dessus, c'est avec lui que j'ai rajouté cette adresse IP pour la bloquer.

    C'est également à partie d'AeSecure que j'ai mis le site en maintenance pour l'instant mais je n'ai toujours pas accès ni au site (page maintenance) ou à l'admin. Le sablier tourne sans fin. Ovh semble toujours bloquer le site.
    Dernière édition par glenan à 05/04/2016, 12h30

    Commentaire


    • #3
      Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

      Bonjour,
      Si tu remontes un backup de ton site en local pour tester et que tu scannes alors ton site pour voir si il y a des cochonneries implantées dessus, cela te permettra de travailler pour tenter de trouver une solution : si Ovh bloque les ressources, tu ne vas rien pouvoir faire...
      Si Ovh bloque, c'est que les ressources demandées par le site sont énormes : tu dois avoir un script qui tourne en boucle (un hack du site ?).
      Utilise l'outil de scan d'AEsecure si besoin.
      Cordialement,
      Chabi01 - http://www.xlformation.com

      Commentaire


      • #4
        Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

        Merci pour ton aide Chabi01,

        Hier, via ftp, j'ai remonté la totalité de mon site en vue de faire un scan effectivement.

        J'ai installé Super Finder XT et fait un scan de l'adresse IP et du mot maianmedia mais rien trouvé pour l'instant à part dans les fichiers aesecure pour l'IP ce qui prouve que le scan fonctionne.

        Mais le scan de l'adresse IP fournie par OVH est il vraiment probant ?
        Elle peut aussi se trouver dans la bdd ? et OVH ne m'a pas confirmé que cette adresse IP était fixe ou changeait dans le temps.

        Concernant Ae-Secure, tu veux parler du "test intrusion/hacking" ?

        Il me donne bien quelques infos en rouge mais encore faut il savoir les interpreter.

        exemple d'alertes en rouge et en gros caractères pour les 2 premières :

        1°)

        HTTP status 200
        Page displayed
        Code 44:Composant inconnu
        You can control here the components/modules blocked by aeSecure by using option 4.4
        dummy.php?option=com_maianmedia&action=upload

        j'ai donc rajouté com_maianmedia (aujourd'hui) dans les exclusions AeSecure

        sur internet j'ai trouvé ça :
        http://fr.0day.today/exploit/description/21405

        mais pas trouvé de composant ou plugin ayant ce nom en scannant mon site rapatrié

        2°)

        une autre :
        HTTP status 200
        Code 654:Tentative de modifier les variables globales ou de la requête web passée au serveur
        dummy.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1

        Pour cette page il est dit de valider l'option 1.1 de AeSecure ce qui est déjà fait.

        3°)

        les autres en rouge non gras sont plutôt des :
        HTTP status 404
        Not Found

        et là il y en a un paquet !
        Dernière édition par glenan à 05/04/2016, 12h30

        Commentaire


        • #5
          Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

          D'après ce que tu me dis, j'ai l'impression que ton site est largement compromis...
          MAianmedia semble être utilisé pour injecter ta base sql, d'où le blocage d'OVH qui se retrouve inondé de requêtes.

          Le fichier "dummy.php" ne sent pas bon non plus et les alertes affichées par AeSecure n'augurent rien de bon.

          Il y a de fortes chances que ton site soit hacké ou qu'un composant installé ait une grosse faille de sécurité qui est en ce moment exploitée par les pirates sur ton site.

          Quelle est la version complète et exacte de ton Joomla ?

          A ta place, pour éviter de me faire bloquer complètement mon hébergement par ovh, je ferai déjà la chose suivante :
          Ton site est dans un dossier (httpdocs ?) : renomme le en "httpdocsdesact".
          Ton site ne répondra plus du tout et cela évitera qu'un hacker continue de jouer avec.
          Recrée un dossier httpdocs et crée une page d'attente en html simple pour tes visiteurs si tu le souhaites.
          Récupère tout ton site et scanne le intégralement pour trouver la faille. Compare par exemple avec une ancienne sauvegarde pour voir ce qui a changé au niveau des fichiers.
          Cordialement,
          Chabi01 - http://www.xlformation.com

          Commentaire


          • #6
            Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

            Le seul fichier dummy.php trouvé après un scan se trouve dans AeSecure/Tools/pentest
            et ça semble être là pour justement servir lors des tests de hack par AeSecure mais seul Christophe pourrait répondre.

            Un scan n'a pas permis de trouver d'autres fichiers dummy.php ailleurs dans le site.

            Mon site tourne avec la dernière version de Joomla 2.5 je devais le migrer en J3.

            il est dans www (hébergement mutualisé OVH) j'ai renommé en wwwdesact, c'est bon ?

            Si je crée un dossier httpdocs, je ne vois pas comment il sera accessible derrière une racine nommée wwwdesact
            qui isole le site. Ou alors je recrée un www vierge dans lequel je met le dossier httpdocs ?

            Le site est déjà mis en maintenance à partir d'AeSecure mais je ne pense pas que ça suffise. Ce n'est qu'une maintenance pour ceux qui arrivent normalement sur le site mais pas un hacker qui serait déjà à l'intérieur.

            J'ai déjà scanné le site rapatrié mais je n'ai rien trouvé et surtout je ne vois pas quoi chercher parmi des milliers de fichiers.

            J'ai vu sur le forum qu'il a été proposé de s'adresser à un spécialiste pour nettoyer le site (moyennement finance) mais c'est en anglais alors pour communiquer, ça ne serait pas facile :
            https://myjoomla.com/site/is/hacked

            J'avoue que ça commence à me gaver sérieux. Ca fait des mois que ça dure, un coup le site est en ligne, un coup il est hors ligne (sans doute par OVH).

            C'est le site d'une asso alors si quelqu'un veut bien s'y atteler après avoir fait un devis. Je demanderai au bureau de l'asso d'étudier ça. Le bénévolat ça va un moment.
            Dernière édition par glenan à 05/04/2016, 12h31

            Commentaire


            • #7
              Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

              Bonsoir. Dummy.php dans le dossier aesecure /pentest est inoffensif.

              As-tu déjà testé aeSecure QuickScan ? Maintenant si ton site est réellement hacké je peux le nettoyer toutes les infos sont sur mon site.

              Bonne soirée
              Christophe (cavo789)
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
              Mes logiciels OpenSource : https://www.avonture.be

              Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

              Commentaire


              • #8
                Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

                Bonsoir Christophe,

                Si tu as le temps de jeter un œil je t'en remercie.
                Par contre j'ai renommé le www via ftp. Faut il le remettre en l'état.
                As tu besoin d'autres accès ?
                Dernière édition par glenan à 05/04/2016, 12h31

                Commentaire


                • #9
                  Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

                  Je t'ai envoyé un MP. Ensuite tu as toutes les infos sur mon site dans la partie concernant la prestation pour le nettoyage. Bonne nuit
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be

                  Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                  Commentaire


                  • #10
                    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

                    Ok bon week-end, je regarde.
                    Dernière édition par glenan à 05/04/2016, 12h32

                    Commentaire


                    • #11
                      Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

                      Envoyé par chabi01 Voir le message
                      A ta place, pour éviter de me faire bloquer complètement mon hébergement par ovh, je ferai déjà la chose suivante :
                      Ton site est dans un dossier (httpdocs ?) : renomme le en "httpdocsdesact".
                      Ton site ne répondra plus du tout et cela évitera qu'un hacker continue de jouer avec.

                      Ben non en fait.

                      Depuis hier soir j'ai renommé le www par wwwdesact et ovh me confirme aujourd'hui qu'il y a toujours des connexions sortantes. Donc toujours blocage du site par OVH.

                      Comment peut on stopper toute connexion sortante dans ce cas ?
                      Dernière édition par glenan à 05/04/2016, 12h32

                      Commentaire


                      • #12
                        Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

                        Bonsoir Glenan

                        Je ne comprends pas trop...

                        Le titre de ton sujet est "Accès trop nombreux d'un plug-in vers la BDD" et nous parlons de hack. Cela ne semble pas être la même chose...

                        As-tu pû valider le fait que ton site est bel et bien hacké (auquel cas il faudra le nettoyer) ?

                        Dans ton dernier post, tu mentionnes avoir renommé le dossier www en un dossier bidon; donc ce faisant, les scripts qui étaient dans www ne sont plus appelables par une adresse web. J'ai un gros doute que du spam puisse encore être fait dans ces conditions ou, alors, tu ne cherches pas à la bonne place (peut-être un autre site ?, peut-être un job dans le cronjob, ...)

                        Bonne soirée.
                        Christophe (cavo789)
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                        Mes logiciels OpenSource : https://www.avonture.be

                        Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                        Commentaire


                        • #13
                          Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

                          Merci Christophe,

                          C'est ce que mavait indiqué la hot line OVH.
                          Entre le début de mon post et aujourd'hui, les choses ont évoluées. J'aurais pu renommer le titre.

                          Je confirme, malgré le renommage de la racine du sie de www dans un autre nom, ovh me confirme (et les logs aussi) qu'il y a toujours un traffic anormal. Pour le reste, mes connaissances ne me permettent pas de comprendre plus que ça.

                          Les logs OVH me donnent des adresses IP mais pas qui les génère.

                          J'aimerais avoir une solution pour connaître la source de ce traffic. Origine site ? Origine bdd ?

                          J'attend une aide extérieure et vous tiens au courant.
                          Dernière édition par glenan à 05/04/2016, 12h33

                          Commentaire


                          • #14
                            Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

                            Bonjour,
                            Il y a forcément un script qui est appelé depuis l'extérieur : soit c'est un élément de Joomla qui est exploité, soit c'est un fichier qui a été implanté sur ton hébergement qui est appelé.
                            Si ton site est impossible à atteindre à partir du moment où tu le rends indisponible, ce n'est alors pas un problème de site mais peut-être alors comme l'écrit Christophe à un autre niveau : si ce n'est pas le site, c'est l'accès ovh qui est compromis : quelqu'un a eu accès aux infos et a mis en place quelque chose sur l'hébergement. Passe scrupuleusement et sans sauter un seul élément tout ce qu'il y a sur l'hébergement aux niveau des emails, bdd, mailing list, etc..

                            Dans les logs d'OVH, tu vois les ip : peux-tu en dire plus ? Un exemple d'une ligne du log ?
                            Chabi01 - http://www.xlformation.com

                            Commentaire


                            • #15
                              Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

                              C'est surtout, oui, la ligne du log qui est intéressante puisqu'en principe, si nous avons bien compris chabi, le dossier www a été renommé ==> l'URL http:// lesite/lescript_malveillant.php n'est donc plus accessible depuis le browser ni même une tâche cron. Alors, en effet, ce serait sympa de savoir quelle est l'URL qui malgré ce renommage continue à être fonctionnelle parce que, ça, cela m'étonnerait beaucoup que ce soit un fichier qui était dans le dossier www.

                              Je doute même que le log Apache puisse mentionner autre chose que des 404 (fichier non trouvé) pour toutes les requêtes.

                              Non, pour moi, cela n'est pas un script "web" mais autre chose et ça, c'est l'hébergeur qui devrait pour expliciter l'origine, ce n'est plus du ressort de Joomla IMHO.
                              Christophe (cavo789)
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                              Mes logiciels OpenSource : https://www.avonture.be

                              Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X