Tweet
Bonjour,
J’ai un souci récurrent sur ovh avec mon site.
Jusqu'a présent il me suffisait de restaurer mon site, mais là depuis 1 semaine je me bats avec le support et mon site est régulièrement fermé. Hier ila été refermé 30 minutes après sa réactivation. J'ai soit disant activé leur firewall pourtant il y a de nombreux mois.
Le problème c'est aussi qu'ils ne m'aident pas beacoup, le pbut étant de faire fonctionner leur SAV au prix exorbitant.
Que dois-je nettoyer et comment ?
Quelqu'un peut'il m'aider.
Cordialement
Voici les messages de ovh :
----------------------------------
Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.
Les détails de cette opération sont les suivants :
cd-conseils.com
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /-------------/---------/www/plugins/content/.nfs0000000003644a3900000640
Horodatage: 2014-11-20 15:05:11
Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.
Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.
Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.
Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guides.ovh.com/SecuriteSite
Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).
NOUVEAU : Vous pouvez à présent activer le firewall applicatif
"mod_security" dans votre manager pour mieux protéger votre site
contre les piratages. Pour plus d'informations, consultez ce lien :
Contactez notre support si vous ne parvenez pas à rouvrir l'accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance.
Cordialement,
---------------------------------
Réponse :
> Bonjour,
>
> Ces blocages viennent de la présence de fichiers contenant du code malveillant sur votre hébergement.
>
> Parmi tous les fichiers infectés, vous trouverez ci-dessous deux exemples de ces fichiers.
>
> ./www/images/pgug.php
> ./www/images/stories/fruit/ini.php
>
> Il faudrait effectuer la suppression du code malveillant dans l'ensemble de vos fichiers.
>
> Concernant le parefeu, celui-ci sera en effet inefficace dans le cas où des fichiers infectés sont présents sur votre hébergement.
>
> Nous pouvons également dans le cadre des interventions payantes effectuer un diagnostic de votre hébergement. Cette intervention vous sera facturé au minimum 20€ HT par tranche de 15 minutes d'intervention.
>
> Cette intervention n'effectuera par contre qu'un diagnostic de votre hébergement afin de déterminer les fichiers malveillants présents sur votre hébergement ainsi que la faille de sécurité qui a permis au hacker de faire cela.
>
> Aucune correction ne sera entreprise, cela sera à votre charge.
>
> Je reste à votre disposition pour tout renseignement complémentaire.
>
> Cordialement,Anthony C.
>
--------------------------------------
auparavant :
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /---------/-----/www/plugins/content/.nfs0000000003644a3900000640
Horodatage: 2014-11-20 15:05:11
Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
--------------------
auparavant :
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /----------/--------/www/tmp/install_4d95cc4e469b0/site/.nfs0000000000d3ba77000038b1
Horodatage: 2014-11-05 09:55:06
J’ai un souci récurrent sur ovh avec mon site.
Jusqu'a présent il me suffisait de restaurer mon site, mais là depuis 1 semaine je me bats avec le support et mon site est régulièrement fermé. Hier ila été refermé 30 minutes après sa réactivation. J'ai soit disant activé leur firewall pourtant il y a de nombreux mois.
Le problème c'est aussi qu'ils ne m'aident pas beacoup, le pbut étant de faire fonctionner leur SAV au prix exorbitant.
Que dois-je nettoyer et comment ?
Quelqu'un peut'il m'aider.
Cordialement
Voici les messages de ovh :
----------------------------------
Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.
Les détails de cette opération sont les suivants :
cd-conseils.com
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /-------------/---------/www/plugins/content/.nfs0000000003644a3900000640
Horodatage: 2014-11-20 15:05:11
Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.
Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.
Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.
Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guides.ovh.com/SecuriteSite
Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).
NOUVEAU : Vous pouvez à présent activer le firewall applicatif
"mod_security" dans votre manager pour mieux protéger votre site
contre les piratages. Pour plus d'informations, consultez ce lien :
Contactez notre support si vous ne parvenez pas à rouvrir l'accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance.
Cordialement,
---------------------------------
Réponse :
> Bonjour,
>
> Ces blocages viennent de la présence de fichiers contenant du code malveillant sur votre hébergement.
>
> Parmi tous les fichiers infectés, vous trouverez ci-dessous deux exemples de ces fichiers.
>
> ./www/images/pgug.php
> ./www/images/stories/fruit/ini.php
>
> Il faudrait effectuer la suppression du code malveillant dans l'ensemble de vos fichiers.
>
> Concernant le parefeu, celui-ci sera en effet inefficace dans le cas où des fichiers infectés sont présents sur votre hébergement.
>
> Nous pouvons également dans le cadre des interventions payantes effectuer un diagnostic de votre hébergement. Cette intervention vous sera facturé au minimum 20€ HT par tranche de 15 minutes d'intervention.
>
> Cette intervention n'effectuera par contre qu'un diagnostic de votre hébergement afin de déterminer les fichiers malveillants présents sur votre hébergement ainsi que la faille de sécurité qui a permis au hacker de faire cela.
>
> Aucune correction ne sera entreprise, cela sera à votre charge.
>
> Je reste à votre disposition pour tout renseignement complémentaire.
>
> Cordialement,Anthony C.
>
--------------------------------------
auparavant :
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /---------/-----/www/plugins/content/.nfs0000000003644a3900000640
Horodatage: 2014-11-20 15:05:11
Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
--------------------
auparavant :
Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /----------/--------/www/tmp/install_4d95cc4e469b0/site/.nfs0000000000d3ba77000038b1
Horodatage: 2014-11-05 09:55:06
Commentaire