Tweet
"Blocage HTTP de votre site" chez OVH .. !
Bonjour à tous,
Voici mon problème :
Le 16/12/14 j'ai reçu un mail me disant que mon site a été bloqué pour cause d'"opération irrégulière au niveau de [mon] site"...
Voilà le mail :
Du coup, j'ai supprimé la page du script en question et j'ai ensuite réactivé par commande serveur (SITE CHMOD 705 /) le site.
[Je ne sais pas combien de temps plus tard], le site est de nouveau bloqué ! Je supprime alors le répertoire entier (/views/newsfeed/*), et le réactive.
Et là encore une fois c'est rebloqué ! A chaque fois que je réattribue les droits, OVH me signale quelques heures plus tard un autre script malveillant ...
Avez vous déjà été confronté à ce genre de problème ? J'ai déjà lu que ce problème a déjà été rencontré mais aucune solution n'a été publiquement écrite
Merci de donner quelque idée qu'il soit ! ...
A savoir : je suis avec Joomla 2.5 (à jour), hébergé chez OVH (offre pro2014), 1 seul utilisateur (admin), pas de formulaire sur le site (donc pas de captcha)... Me demander si vous voulez en savoir plus
Voici mon problème :
Le 16/12/14 j'ai reçu un mail me disant que mon site a été bloqué pour cause d'"opération irrégulière au niveau de [mon] site"...
Voilà le mail :
Les détails de cette opération sont les suivants :
>
> *****-*******.fr
>
> Problème rencontré : Executing deleted program
> Commande apparente : ././ps
> Exécutable utilisé : /homez.809/*******/www/components/com_newsfeeds/views/newsfeed/.nfs000000000244b78b00001ee7
> Horodatage: 2014-12-16 23:25:04
>
> Ceci n'est pas autorisé sur nos installations,
> car c'est une tentative potentielle de piratage.
>
> Si ce n'est pas vous qui avez lancé ce script, cela signifie
> qu'il y a une faille sur votre site et qu'un hacker s'en
> est servi pour réaliser cette opération.
>
> Nous avons désactivé l'accès web temporairement pour éviter tout
> risque de nouveau piratage.
>
> Vous pouvez vous connecter via ftp, pour modifier les scripts qui
> peuvent poser problème. Pensez également à mettre à jour les
> logiciels que vous utilisez comme phpnuke, phpbb, etc.
>
> Comment faire ?
> Consultez ces guides :
> - http://guides.ovh.com/AlerteHackMutu
> - http://guides.ovh.com/SecuriteSite
>
> Une fois le problème résolu, vous pouvez rouvrir votre site
> en remettant les bons droits sur le répertoire racine (chmod 705 .).
>
> NOUVEAU : Vous pouvez à présent activer le firewall applicatif
> "mod_security" dans votre manager pour mieux protéger votre site
> contre les piratages. Pour plus d'informations, consultez ce lien :
> http://www.ovh.com/fr/hebergement_mutua … curity.xml
>
> Contactez notre support si vous ne parvenez pas à rouvrir l'accès
> web par vous-même. Notez que les équipes du support ne peuvent pas
> rechercher l'origine du problème pour vous, mis à part dans le
> cadre d'une opération payante d'infogérance.
>
>
> Cordialement,
>
> Support Client OVH
> Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
> Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
> Fax : 03.20.20.09.58
> Contact : http://www.ovh.com/fr/contact
> Du lundi au vendredi : 8h00 - 20h00
> Le samedi : 9h00 - 17h00
>
> *****-*******.fr
>
> Problème rencontré : Executing deleted program
> Commande apparente : ././ps
> Exécutable utilisé : /homez.809/*******/www/components/com_newsfeeds/views/newsfeed/.nfs000000000244b78b00001ee7
> Horodatage: 2014-12-16 23:25:04
>
> Ceci n'est pas autorisé sur nos installations,
> car c'est une tentative potentielle de piratage.
>
> Si ce n'est pas vous qui avez lancé ce script, cela signifie
> qu'il y a une faille sur votre site et qu'un hacker s'en
> est servi pour réaliser cette opération.
>
> Nous avons désactivé l'accès web temporairement pour éviter tout
> risque de nouveau piratage.
>
> Vous pouvez vous connecter via ftp, pour modifier les scripts qui
> peuvent poser problème. Pensez également à mettre à jour les
> logiciels que vous utilisez comme phpnuke, phpbb, etc.
>
> Comment faire ?
> Consultez ces guides :
> - http://guides.ovh.com/AlerteHackMutu
> - http://guides.ovh.com/SecuriteSite
>
> Une fois le problème résolu, vous pouvez rouvrir votre site
> en remettant les bons droits sur le répertoire racine (chmod 705 .).
>
> NOUVEAU : Vous pouvez à présent activer le firewall applicatif
> "mod_security" dans votre manager pour mieux protéger votre site
> contre les piratages. Pour plus d'informations, consultez ce lien :
> http://www.ovh.com/fr/hebergement_mutua … curity.xml
>
> Contactez notre support si vous ne parvenez pas à rouvrir l'accès
> web par vous-même. Notez que les équipes du support ne peuvent pas
> rechercher l'origine du problème pour vous, mis à part dans le
> cadre d'une opération payante d'infogérance.
>
>
> Cordialement,
>
> Support Client OVH
> Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
> Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
> Fax : 03.20.20.09.58
> Contact : http://www.ovh.com/fr/contact
> Du lundi au vendredi : 8h00 - 20h00
> Le samedi : 9h00 - 17h00
[Je ne sais pas combien de temps plus tard], le site est de nouveau bloqué ! Je supprime alors le répertoire entier (/views/newsfeed/*), et le réactive.
Et là encore une fois c'est rebloqué ! A chaque fois que je réattribue les droits, OVH me signale quelques heures plus tard un autre script malveillant ...
Avez vous déjà été confronté à ce genre de problème ? J'ai déjà lu que ce problème a déjà été rencontré mais aucune solution n'a été publiquement écrite
Merci de donner quelque idée qu'il soit ! ...
A savoir : je suis avec Joomla 2.5 (à jour), hébergé chez OVH (offre pro2014), 1 seul utilisateur (admin), pas de formulaire sur le site (donc pas de captcha)... Me demander si vous voulez en savoir plus
Commentaire