Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

OVH vient de me fournir une adresse IP contactée par mon site Joomla et qui utiliserait trop de ressources et conduirait à un blocage : 109.169.34.132

Par contre je ne sais pas si c'est toujours cette adresse qui est utilisée (dans ce cas un blocage par htaccess ne sert pas à grand chose et peut on utiliser des caractères génériques dans le htaccess ?).

Cette adresse serait connue (défavorablement, il suffit de faire google) mais je ne sais pas par où commencer mes recherches sur le site pour annuler la cause et le nettoyer.

Il y a AeSecure d'installé dessus, c'est avec lui que j'ai rajouté cette adresse IP pour la bloquer.

C'est également à partie d'AeSecure que j'ai mis le site en maintenance pour l'instant mais je n'ai toujours pas accès ni au site (page maintenance) ou à l'admin. Le sablier tourne sans fin. Ovh semble toujours bloquer le site.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonjour,
Si tu remontes un backup de ton site en local pour tester et que tu scannes alors ton site pour voir si il y a des cochonneries implantées dessus, cela te permettra de travailler pour tenter de trouver une solution : si Ovh bloque les ressources, tu ne vas rien pouvoir faire...
Si Ovh bloque, c'est que les ressources demandées par le site sont énormes : tu dois avoir un script qui tourne en boucle (un hack du site ?).
Utilise l'outil de scan d'AEsecure si besoin.
Cordialement,

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Merci pour ton aide Chabi01,

Hier, via ftp, j'ai remonté la totalité de mon site en vue de faire un scan effectivement.

J'ai installé Super Finder XT et fait un scan de l'adresse IP et du mot maianmedia mais rien trouvé pour l'instant à part dans les fichiers aesecure pour l'IP ce qui prouve que le scan fonctionne.

Mais le scan de l'adresse IP fournie par OVH est il vraiment probant ?
Elle peut aussi se trouver dans la bdd ? et OVH ne m'a pas confirmé que cette adresse IP était fixe ou changeait dans le temps.

Concernant Ae-Secure, tu veux parler du "test intrusion/hacking" ?

Il me donne bien quelques infos en rouge mais encore faut il savoir les interpreter.

exemple d'alertes en rouge et en gros caractères pour les 2 premières :

1°)

HTTP status 200
Page displayed
Code 44:Composant inconnu
You can control here the components/modules blocked by aeSecure by using option 4.4
dummy.php?option=com_maianmedia&action=upload

j'ai donc rajouté com_maianmedia (aujourd'hui) dans les exclusions AeSecure

sur internet j'ai trouvé ça :


mais pas trouvé de composant ou plugin ayant ce nom en scannant mon site rapatrié

2°)

une autre :
HTTP status 200
Code 654:Tentative de modifier les variables globales ou de la requête web passée au serveur
dummy.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1

Pour cette page il est dit de valider l'option 1.1 de AeSecure ce qui est déjà fait.

3°)

les autres en rouge non gras sont plutôt des :
HTTP status 404
Not Found

et là il y en a un paquet !

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

D'après ce que tu me dis, j'ai l'impression que ton site est largement compromis...
MAianmedia semble être utilisé pour injecter ta base sql, d'où le blocage d'OVH qui se retrouve inondé de requêtes.

Le fichier "dummy.php" ne sent pas bon non plus et les alertes affichées par AeSecure n'augurent rien de bon.

Il y a de fortes chances que ton site soit hacké ou qu'un composant installé ait une grosse faille de sécurité qui est en ce moment exploitée par les pirates sur ton site.

Quelle est la version complète et exacte de ton Joomla ?

A ta place, pour éviter de me faire bloquer complètement mon hébergement par ovh, je ferai déjà la chose suivante :
Ton site est dans un dossier (httpdocs ?) : renomme le en "httpdocsdesact".
Ton site ne répondra plus du tout et cela évitera qu'un hacker continue de jouer avec.
Recrée un dossier httpdocs et crée une page d'attente en html simple pour tes visiteurs si tu le souhaites.
Récupère tout ton site et scanne le intégralement pour trouver la faille. Compare par exemple avec une ancienne sauvegarde pour voir ce qui a changé au niveau des fichiers.
Cordialement,

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Le seul fichier dummy.php trouvé après un scan se trouve dans AeSecure/Tools/pentest
et ça semble être là pour justement servir lors des tests de hack par AeSecure mais seul Christophe pourrait répondre.

Un scan n'a pas permis de trouver d'autres fichiers dummy.php ailleurs dans le site.

Mon site tourne avec la dernière version de Joomla 2.5 je devais le migrer en J3.

il est dans www (hébergement mutualisé OVH) j'ai renommé en wwwdesact, c'est bon ?

Si je crée un dossier httpdocs, je ne vois pas comment il sera accessible derrière une racine nommée wwwdesact
qui isole le site. Ou alors je recrée un www vierge dans lequel je met le dossier httpdocs ?

Le site est déjà mis en maintenance à partir d'AeSecure mais je ne pense pas que ça suffise. Ce n'est qu'une maintenance pour ceux qui arrivent normalement sur le site mais pas un hacker qui serait déjà à l'intérieur.

J'ai déjà scanné le site rapatrié mais je n'ai rien trouvé et surtout je ne vois pas quoi chercher parmi des milliers de fichiers.

J'ai vu sur le forum qu'il a été proposé de s'adresser à un spécialiste pour nettoyer le site (moyennement finance) mais c'est en anglais alors pour communiquer, ça ne serait pas facile :


J'avoue que ça commence à me gaver sérieux. Ca fait des mois que ça dure, un coup le site est en ligne, un coup il est hors ligne (sans doute par OVH).

C'est le site d'une asso alors si quelqu'un veut bien s'y atteler après avoir fait un devis. Je demanderai au bureau de l'asso d'étudier ça. Le bénévolat ça va un moment.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonsoir. Dummy.php dans le dossier aesecure /pentest est inoffensif.

As-tu déjà testé aeSecure QuickScan ? Maintenant si ton site est réellement hacké je peux le nettoyer toutes les infos sont sur mon site.

Bonne soirée

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Bonsoir Christophe,

Si tu as le temps de jeter un œil je t'en remercie.
Par contre j'ai renommé le www via ftp. Faut il le remettre en l'état.
As tu besoin d'autres accès ?

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Je t'ai envoyé un MP. Ensuite tu as toutes les infos sur mon site dans la partie concernant la prestation pour le nettoyage. Bonne nuit

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Ok bon week-end, je regarde.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur


Ben non en fait.

Depuis hier soir j'ai renommé le www par wwwdesact et ovh me confirme aujourd'hui qu'il y a toujours des connexions sortantes. Donc toujours blocage du site par OVH.

Comment peut on stopper toute connexion sortante dans ce cas ?

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonsoir Glenan

Je ne comprends pas trop...

Le titre de ton sujet est "Accès trop nombreux d'un plug-in vers la BDD" et nous parlons de hack. Cela ne semble pas être la même chose...

As-tu pû valider le fait que ton site est bel et bien hacké (auquel cas il faudra le nettoyer) ?

Dans ton dernier post, tu mentionnes avoir renommé le dossier www en un dossier bidon; donc ce faisant, les scripts qui étaient dans www ne sont plus appelables par une adresse web. J'ai un gros doute que du spam puisse encore être fait dans ces conditions ou, alors, tu ne cherches pas à la bonne place (peut-être un autre site ?, peut-être un job dans le cronjob, ...)

Bonne soirée.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Merci Christophe,

C'est ce que mavait indiqué la hot line OVH.
Entre le début de mon post et aujourd'hui, les choses ont évoluées. J'aurais pu renommer le titre.

Je confirme, malgré le renommage de la racine du sie de www dans un autre nom, ovh me confirme (et les logs aussi) qu'il y a toujours un traffic anormal. Pour le reste, mes connaissances ne me permettent pas de comprendre plus que ça.

Les logs OVH me donnent des adresses IP mais pas qui les génère.

J'aimerais avoir une solution pour connaître la source de ce traffic. Origine site ? Origine bdd ?

J'attend une aide extérieure et vous tiens au courant.

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

Bonjour,
Il y a forcément un script qui est appelé depuis l'extérieur : soit c'est un élément de Joomla qui est exploité, soit c'est un fichier qui a été implanté sur ton hébergement qui est appelé.
Si ton site est impossible à atteindre à partir du moment où tu le rends indisponible, ce n'est alors pas un problème de site mais peut-être alors comme l'écrit Christophe à un autre niveau : si ce n'est pas le site, c'est l'accès ovh qui est compromis : quelqu'un a eu accès aux infos et a mis en place quelque chose sur l'hébergement. Passe scrupuleusement et sans sauter un seul élément tout ce qu'il y a sur l'hébergement aux niveau des emails, bdd, mailing list, etc..

Dans les logs d'OVH, tu vois les ip : peux-tu en dire plus ? Un exemple d'une ligne du log ?

Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

C'est surtout, oui, la ligne du log qui est intéressante puisqu'en principe, si nous avons bien compris chabi, le dossier www a été renommé ==> l'URL http:// lesite/lescript_malveillant.php n'est donc plus accessible depuis le browser ni même une tâche cron. Alors, en effet, ce serait sympa de savoir quelle est l'URL qui malgré ce renommage continue à être fonctionnelle parce que, ça, cela m'étonnerait beaucoup que ce soit un fichier qui était dans le dossier www.

Je doute même que le log Apache puisse mentionner autre chose que des 404 (fichier non trouvé) pour toutes les requêtes.

Non, pour moi, cela n'est pas un script "web" mais autre chose et ça, c'est l'hébergeur qui devrait pour expliciter l'origine, ce n'est plus du ressort de Joomla IMHO.