"Blocage HTTP de votre site" chez OVH .. !

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • "Blocage HTTP de votre site" chez OVH .. !

    Bonjour à tous,

    Voici mon problème :

    Le 16/12/14 j'ai reçu un mail me disant que mon site a été bloqué pour cause d'"opération irrégulière au niveau de [mon] site"...

    Voilà le mail :

    Les détails de cette opération sont les suivants :
    >
    > *****-*******.fr
    >
    > Problème rencontré : Executing deleted program
    > Commande apparente : ././ps
    > Exécutable utilisé : /homez.809/*******/www/components/com_newsfeeds/views/newsfeed/.nfs000000000244b78b00001ee7
    > Horodatage: 2014-12-16 23:25:04
    >
    > Ceci n'est pas autorisé sur nos installations,
    > car c'est une tentative potentielle de piratage.
    >
    > Si ce n'est pas vous qui avez lancé ce script, cela signifie
    > qu'il y a une faille sur votre site et qu'un hacker s'en
    > est servi pour réaliser cette opération.
    >
    > Nous avons désactivé l'accès web temporairement pour éviter tout
    > risque de nouveau piratage.
    >
    > Vous pouvez vous connecter via ftp, pour modifier les scripts qui
    > peuvent poser problème. Pensez également à mettre à jour les
    > logiciels que vous utilisez comme phpnuke, phpbb, etc.
    >
    > Comment faire ?
    > Consultez ces guides :
    > - http://guides.ovh.com/AlerteHackMutu
    > - http://guides.ovh.com/SecuriteSite
    >
    > Une fois le problème résolu, vous pouvez rouvrir votre site
    > en remettant les bons droits sur le répertoire racine (chmod 705 .).
    >
    > NOUVEAU : Vous pouvez à présent activer le firewall applicatif
    > "mod_security" dans votre manager pour mieux protéger votre site
    > contre les piratages. Pour plus d'informations, consultez ce lien :
    > http://www.ovh.com/fr/hebergement_mutua … curity.xml
    >
    > Contactez notre support si vous ne parvenez pas à rouvrir l'accès
    > web par vous-même. Notez que les équipes du support ne peuvent pas
    > rechercher l'origine du problème pour vous, mis à part dans le
    > cadre d'une opération payante d'infogérance.
    >
    >
    > Cordialement,
    >
    > Support Client OVH
    > Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
    > Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
    > Fax : 03.20.20.09.58
    > Contact : http://www.ovh.com/fr/contact
    > Du lundi au vendredi : 8h00 - 20h00
    > Le samedi : 9h00 - 17h00
    Du coup, j'ai supprimé la page du script en question et j'ai ensuite réactivé par commande serveur (SITE CHMOD 705 /) le site.

    [Je ne sais pas combien de temps plus tard], le site est de nouveau bloqué ! Je supprime alors le répertoire entier (/views/newsfeed/*), et le réactive.

    Et là encore une fois c'est rebloqué ! A chaque fois que je réattribue les droits, OVH me signale quelques heures plus tard un autre script malveillant ...

    Avez vous déjà été confronté à ce genre de problème ? J'ai déjà lu que ce problème a déjà été rencontré mais aucune solution n'a été publiquement écrite

    Merci de donner quelque idée qu'il soit ! ...

    A savoir : je suis avec Joomla 2.5 (à jour), hébergé chez OVH (offre pro2014), 1 seul utilisateur (admin), pas de formulaire sur le site (donc pas de captcha)... Me demander si vous voulez en savoir plus

  • #2
    Re : "Blocage HTTP de votre site" chez OVH .. !

    Supprimer le script visible ne doit pas être suffisant. Il faut éliminer la cause

    Qu'en dit sucuri ?
    SiteCheck is a website security scanner that checks any link or URL for malware, viruses, blacklist status, or malicious code. Check your website safety for free with Sucuri.


    Le mieux est de remonter une sauvegarde saine
    UP, le plugin universel à découvrir sur https//up.lomart.fr
    bgMax
    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

    Commentaire


    • #3
      Re : "Blocage HTTP de votre site" chez OVH .. !

      Malheureusement le site a moins d'un an, ce qui ne m'a pas laissé le temps de prévoir de sauvegarde ... (A moins qu'OVH en fasse automatiquement de son côté !?)

      Voilà ce que Sucuri me dit :

      Commentaire


      • #4
        Re : "Blocage HTTP de votre site" chez OVH .. !

        Bonsoir,
        Un an etait largement suffisant pour faire une sauvegarde

        A mon avis, ton site s'est fait hacké ... et comme les hackeur aiment bien maintenir des portes ouvertes pour plus tard ... il doivent en avoir plus d'une seule

        Tu n'as plus qu'a nettoyer leur passage ... ça va pas etre une promenade de sante
        regarde par ici pour t'aider
        Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
        Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

        Commentaire


        • #5
          Re : "Blocage HTTP de votre site" chez OVH .. !

          Juste une ancienne version de Joomla 2.5.18. Il faut passer en 2.5.28 avant de migrer vers la 3.3.6
          Malheureusement le site a moins d'un an, ce qui ne m'a pas laissé le temps de prévoir de sauvegarde ... (A moins qu'OVH en fasse automatiquement de son côté !?)
          un an, c'est une éternité en informatique
          UP, le plugin universel à découvrir sur https//up.lomart.fr
          bgMax
          , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

          Commentaire


          • #6
            Re : "Blocage HTTP de votre site" chez OVH .. !

            Envoyé par manu93fr Voir le message
            Bonsoir,
            Un an etait largement suffisant pour faire une sauvegarde

            A mon avis, ton site s'est fait hacké ... et comme les hackeur aiment bien maintenir des portes ouvertes pour plus tard ... il doivent en avoir plus d'une seule

            Tu n'as plus qu'a nettoyer leur passage ... ça va pas etre une promenade de sante
            regarde par ici pour t'aider
            C'est bien ce que je craignais, c'est ce qu'on m'a déjà dit ...
            Merci pour le lien, je vais voir ça attentivement ...

            Envoyé par manu93fr Voir le message
            Bonsoir,
            Un an etait largement suffisant pour faire une sauvegarde

            A mon avis, ton site s'est fait hacké ... et comme les hackeur aiment bien maintenir des portes ouvertes pour plus tard ... il doivent en avoir plus d'une seule

            Tu n'as plus qu'a nettoyer leur passage ... ça va pas etre une promenade de sante
            regarde par ici pour t'aider
            Envoyé par lomart Voir le message
            Juste une ancienne version de Joomla 2.5.18. Il faut passer en 2.5.28 avant de migrer vers la 3.3.6

            un an, c'est une éternité en informatique
            Je viens de voir que la 2.5.28 existait mais elle ne m'a pas été proposée inner Joomla !?
            J'imagine bien que c'est une éternité, mais je passe tellement peu de temps sur ce site en cumulé que pour moi c'est très peu...

            --

            Du coup, quelques questions :

            - En faisant la màj de la 2.5.18 à 2.5.28 par FTP (donc un simple glissé-déposé (qu'on soit bien d'accord), est ce que je vais perdre le site actuel ?
            - En faisant la màj de la 2.5.28 à 3.5 par FTP (donc un simple glissé-déposé (qu'on soit bien d'accord), est ce que je vais perdre le site actuel ?
            - Est il nécessaire de faire une sauvegarde de son état actuel, c-à-d vérolé ?
            - Est ce qu'en faisant la màj vers 2.5.28 les scripts malveillants disparaitront ?
            - Est ce qu'en faisant la màj vers 3 les scripts malveillants disparaitront ?

            (Merci déjà pour vos réponses !)

            Commentaire


            • #7
              Re : "Blocage HTTP de votre site" chez OVH .. !

              Bonjour,

              - En faisant la màj de la 2.5.18 à 2.5.28 par FTP (donc un simple glissé-déposé (qu'on soit bien d'accord), est ce que je vais perdre le site actuel ?
              NON, les mises à jour ne se font pas par FTP, mais en utilisant le gestionnaire d'extensions, une mise à jour de Joomla! pouvant être installée comme une extension standard.
              MAIS, avant de mettre à jour, commencer par nettoyer les écuries d'Augias, mettre à jour un site cracké laissera toujours la porte ouverte.

              - En faisant la màj de la 2.5.28 à 3.5 par FTP (donc un simple glissé-déposé (qu'on soit bien d'accord), est ce que je vais perdre le site actuel ?
              Idem, JAMAIS via FTP, mais en utilisant le gestionnaire d'exctensions, toute mise à jour de Joomla! pouvant entrainer des modifications de structure de la base de données, ce qu'un transfert FTP ignorera totalement.

              - Est il nécessaire de faire une sauvegarde de son état actuel, c-à-d vérolé ?
              Même quelque peu bancale, une sauvegarde est indispensable, ne serait-ce que pour avoir un repère au cas où la migration se passe mal. Cette même sauvegarde devrait par ailleurs être utilisée localement pour réparer les dégâts du crack de site et faire les mises à niveau sur un serveur local, avant de tout supprimer sur le serveur distant et réinstaller la version nettoyée et à jour avec Akeeba Backup + kickstart.

              - Est ce qu'en faisant la màj vers 2.5.28 les scripts malveillants disparaitront ?
              - Est ce qu'en faisant la màj vers 3 les scripts malveillants disparaitront ?
              Peut-être, mais là, quelques tonnes de cierges et une foi inébranlable en (supprimer les valeurs inutiles) dieu, jéhovah, allah, bouddah, shiva... sont indispensables.
              Rien ne vaut la bonne vieille huile de coude pour nettoyer un site avant de changer la moquette...
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire


              • #8
                Re : "Blocage HTTP de votre site" chez OVH .. !

                Envoyé par jisse03 Voir le message
                Bonjour,


                NON, les mises à jour ne se font pas par FTP, mais en utilisant le gestionnaire d'extensions, une mise à jour de Joomla! pouvant être installée comme une extension standard.
                MAIS, avant de mettre à jour, commencer par nettoyer les écuries d'Augias, mettre à jour un site cracké laissera toujours la porte ouverte.


                Idem, JAMAIS via FTP, mais en utilisant le gestionnaire d'exctensions, toute mise à jour de Joomla! pouvant entrainer des modifications de structure de la base de données, ce qu'un transfert FTP ignorera totalement.


                Même quelque peu bancale, une sauvegarde est indispensable, ne serait-ce que pour avoir un repère au cas où la migration se passe mal. Cette même sauvegarde devrait par ailleurs être utilisée localement pour réparer les dégâts du crack de site et faire les mises à niveau sur un serveur local, avant de tout supprimer sur le serveur distant et réinstaller la version nettoyée et à jour avec Akeeba Backup + kickstart.


                Peut-être, mais là, quelques tonnes de cierges et une foi inébranlable en (supprimer les valeurs inutiles) dieu, jéhovah, allah, bouddah, shiva... sont indispensables.
                Rien ne vaut la bonne vieille huile de coude pour nettoyer un site avant de changer la moquette...
                Waaaan.. Je crois que ça dépasse mes compétences en fait tout ça...
                Je sais tellement pas par quoi commencer que je crois que je vais tout supprimer et recommencer à zéro...........

                Commentaire


                • #9
                  Re : "Blocage HTTP de votre site" chez OVH .. !

                  Bonjour

                  Juste une précision : les hackeurs modifient les fichiers natifs de Joomla! (et donc si tu mets à jour Joomla, tu écrases les fichiers virusés par des autres; bonne chose donc) mais pas seulement. Il y a quantité de fichiers ajoutés dans tes dossiers qui ne sont pas de Joomla! ==> même en mettant à jour le CMS et les extensions, ces virus-là restent.

                  La seule chose à faire : télécharger ton site en local et nettoyer les virus. Puis supprimer le site distant (=>supprimer les dossiers et les fichiers) et renvoyer ton site, local, propre.

                  Ceci dit : excellent réveillon à tous ;-)
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X