Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur


Ben non en fait.

Depuis hier soir j'ai renommé le www par wwwdesact et ovh me confirme aujourd'hui qu'il y a toujours des connexions sortantes. Donc toujours blocage du site par OVH.

Comment peut on stopper toute connexion sortante dans ce cas ?

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Ok bon week-end, je regarde.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Je t'ai envoyé un MP. Ensuite tu as toutes les infos sur mon site dans la partie concernant la prestation pour le nettoyage. Bonne nuit

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Bonsoir Christophe,

Si tu as le temps de jeter un œil je t'en remercie.
Par contre j'ai renommé le www via ftp. Faut il le remettre en l'état.
As tu besoin d'autres accès ?

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonsoir. Dummy.php dans le dossier aesecure /pentest est inoffensif.

As-tu déjà testé aeSecure QuickScan ? Maintenant si ton site est réellement hacké je peux le nettoyer toutes les infos sont sur mon site.

Bonne soirée

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Le seul fichier dummy.php trouvé après un scan se trouve dans AeSecure/Tools/pentest
et ça semble être là pour justement servir lors des tests de hack par AeSecure mais seul Christophe pourrait répondre.

Un scan n'a pas permis de trouver d'autres fichiers dummy.php ailleurs dans le site.

Mon site tourne avec la dernière version de Joomla 2.5 je devais le migrer en J3.

il est dans www (hébergement mutualisé OVH) j'ai renommé en wwwdesact, c'est bon ?

Si je crée un dossier httpdocs, je ne vois pas comment il sera accessible derrière une racine nommée wwwdesact
qui isole le site. Ou alors je recrée un www vierge dans lequel je met le dossier httpdocs ?

Le site est déjà mis en maintenance à partir d'AeSecure mais je ne pense pas que ça suffise. Ce n'est qu'une maintenance pour ceux qui arrivent normalement sur le site mais pas un hacker qui serait déjà à l'intérieur.

J'ai déjà scanné le site rapatrié mais je n'ai rien trouvé et surtout je ne vois pas quoi chercher parmi des milliers de fichiers.

J'ai vu sur le forum qu'il a été proposé de s'adresser à un spécialiste pour nettoyer le site (moyennement finance) mais c'est en anglais alors pour communiquer, ça ne serait pas facile :


J'avoue que ça commence à me gaver sérieux. Ca fait des mois que ça dure, un coup le site est en ligne, un coup il est hors ligne (sans doute par OVH).

C'est le site d'une asso alors si quelqu'un veut bien s'y atteler après avoir fait un devis. Je demanderai au bureau de l'asso d'étudier ça. Le bénévolat ça va un moment.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

D'après ce que tu me dis, j'ai l'impression que ton site est largement compromis...
MAianmedia semble être utilisé pour injecter ta base sql, d'où le blocage d'OVH qui se retrouve inondé de requêtes.

Le fichier "dummy.php" ne sent pas bon non plus et les alertes affichées par AeSecure n'augurent rien de bon.

Il y a de fortes chances que ton site soit hacké ou qu'un composant installé ait une grosse faille de sécurité qui est en ce moment exploitée par les pirates sur ton site.

Quelle est la version complète et exacte de ton Joomla ?

A ta place, pour éviter de me faire bloquer complètement mon hébergement par ovh, je ferai déjà la chose suivante :
Ton site est dans un dossier (httpdocs ?) : renomme le en "httpdocsdesact".
Ton site ne répondra plus du tout et cela évitera qu'un hacker continue de jouer avec.
Recrée un dossier httpdocs et crée une page d'attente en html simple pour tes visiteurs si tu le souhaites.
Récupère tout ton site et scanne le intégralement pour trouver la faille. Compare par exemple avec une ancienne sauvegarde pour voir ce qui a changé au niveau des fichiers.
Cordialement,

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Merci pour ton aide Chabi01,

Hier, via ftp, j'ai remonté la totalité de mon site en vue de faire un scan effectivement.

J'ai installé Super Finder XT et fait un scan de l'adresse IP et du mot maianmedia mais rien trouvé pour l'instant à part dans les fichiers aesecure pour l'IP ce qui prouve que le scan fonctionne.

Mais le scan de l'adresse IP fournie par OVH est il vraiment probant ?
Elle peut aussi se trouver dans la bdd ? et OVH ne m'a pas confirmé que cette adresse IP était fixe ou changeait dans le temps.

Concernant Ae-Secure, tu veux parler du "test intrusion/hacking" ?

Il me donne bien quelques infos en rouge mais encore faut il savoir les interpreter.

exemple d'alertes en rouge et en gros caractères pour les 2 premières :

1°)

HTTP status 200
Page displayed
Code 44:Composant inconnu
You can control here the components/modules blocked by aeSecure by using option 4.4
dummy.php?option=com_maianmedia&action=upload

j'ai donc rajouté com_maianmedia (aujourd'hui) dans les exclusions AeSecure

sur internet j'ai trouvé ça :


mais pas trouvé de composant ou plugin ayant ce nom en scannant mon site rapatrié

2°)

une autre :
HTTP status 200
Code 654:Tentative de modifier les variables globales ou de la requête web passée au serveur
dummy.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1

Pour cette page il est dit de valider l'option 1.1 de AeSecure ce qui est déjà fait.

3°)

les autres en rouge non gras sont plutôt des :
HTTP status 404
Not Found

et là il y en a un paquet !

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonjour,
Si tu remontes un backup de ton site en local pour tester et que tu scannes alors ton site pour voir si il y a des cochonneries implantées dessus, cela te permettra de travailler pour tenter de trouver une solution : si Ovh bloque les ressources, tu ne vas rien pouvoir faire...
Si Ovh bloque, c'est que les ressources demandées par le site sont énormes : tu dois avoir un script qui tourne en boucle (un hack du site ?).
Utilise l'outil de scan d'AEsecure si besoin.
Cordialement,

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

OVH vient de me fournir une adresse IP contactée par mon site Joomla et qui utiliserait trop de ressources et conduirait à un blocage : 109.169.34.132

Par contre je ne sais pas si c'est toujours cette adresse qui est utilisée (dans ce cas un blocage par htaccess ne sert pas à grand chose et peut on utiliser des caractères génériques dans le htaccess ?).

Cette adresse serait connue (défavorablement, il suffit de faire google) mais je ne sais pas par où commencer mes recherches sur le site pour annuler la cause et le nettoyer.

Il y a AeSecure d'installé dessus, c'est avec lui que j'ai rajouté cette adresse IP pour la bloquer.

C'est également à partie d'AeSecure que j'ai mis le site en maintenance pour l'instant mais je n'ai toujours pas accès ni au site (page maintenance) ou à l'admin. Le sablier tourne sans fin. Ovh semble toujours bloquer le site.