Tentative d'envoi massif émis pars notre site

Réduire
Ce sujet est fermé.
X
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Tentative d'envoi massif émis pars notre site

    Bonjour,
    Après 2 jours de recherches intensives (sur le forum, dans les FAQ, dans la partie interne du site ...) je me décide à vous demander de l'aide.
    Je gère un site (Joomla en 2.5.23) pour une commune : Vincelles.fr

    Dans un premier temps, notre hébergeur m'a averti "avoir procédé à la suspension manuelle de la fonction mail () de
    notre hébergement en raison d'un envoi massif de spam depuis notre site".
    Dans un second temps, il précise : "La fonction mail() a été désactivée sur notre serveur due au tentative d'envoi émis par votre site ( 1000 par jour ). Merci de vérifier de plus près vos scripts pour ne plus émettre ce genre de tentative."

    Je pensais que l'envoi massif de spam pouvait provenir du composant Acymailing que j'avais installé en octobre.
    Nous avons pour le moment 28 inscrits et avons envoyé 9 messages d'information. Je ne pense pas que si peu de messages soient en cause. Mais sait-on jamais.

    Configuration de l'e-mail : php mail function

    Avant de changer cette fonction pour SMTP server, j'ai demandé à mon hébergeur de qui émanaient cette tentative d'envoi émise par notre site. Malheureusement, il leur est impossible de tracer les logs d'envoi de la fonction mail() dans le cadre d'un hébergement mutualisé.

    Suite à ma lecture sur leur FAQ "spam", j'ai désactivé tous les liens émanant sur des formulaires de contact pour les
    remplacer par des images d'adresse mail. Je réactiverai si ce point n'est pas en cause.

    Depuis très tôt ce matin, je continue mes recherches, J'ai fouillé dans les tables de myAdmin. J'ai supprimé un
    contact qui avait un ".ru" (je pense la Russie) que je ne connais pas et qui était dans les administrateurs !! ????
    J'ai longuement regardé tout ce qui figure dans les tables du composant Acymailing sans rien comprendre.
    Je n'ai touché à rien, juste regardé.

    Mes questions sont :
    Qui peut me guider dans mes recherches ?
    Où peuvent se trouver ces scripts pour neutraliser ce genre de tentative ?

    En attendant vos conseils, je vous souhaite une bonne journée.

  • #2
    Re : Tentative d'envoi massif émis pars notre site

    Bonjour Niky

    Envoyé par Niky Voir le message
    notre hébergeur m'a averti "avoir procédé à la suspension manuelle de la fonction mail () de
    notre hébergement en raison d'un envoi massif de spam depuis notre site".
    Indice numéro 1 qui devrait t'inciter à te dire "Oups, mon site a été hacké".

    Envoyé par Niky Voir le message
    Depuis très tôt ce matin, je continue mes recherches, J'ai fouillé dans les tables de myAdmin. J'ai supprimé un contact qui avait un ".ru" (je pense la Russie) que je ne connais pas et qui était dans les administrateurs !! ????
    Ce n'est plus un indice mais une certitude; ton site a été vérolé.

    Note que tu dis avoir un Joomla 2.5.23, tu as donc laissé passer 5 versions de J2.5 ce qui n'est jamais très bon puisque, dans le paquet, il y a des correctifs de sécurité.

    Il va te falloir télécharger ton site en local et le scanner avec un antivirus. Sans nul doute, tu y trouveras quantité de fichiers malsains qu'il te faudra supprimer et/ou remplacer (si core Joomla). En général, il faut compter 4 heures de travail pour nettoyer un site et donc, si tu as un backup récent et propre (sans virus), c'est probablement la meilleure solution : restaure-le en local et scanne-le pour t'assurer qu'il est sain.

    Bonne recherche et bon travail.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Tentative d'envoi massif émis pars notre site

      Merci pour la réponse rapide.
      J'étais à cent lieues de penser à cela, vu que ce n'est pas un site marchand et qu'il n'y a rien à prendre.
      De plus avec cet hébergeur je me sentais en sécurité. Il fait des sauvegardes tous les jours ... et pas moi.
      je vais faire tout ce que tu me conseilles

      A noter que quand je suis dans le panneau d'administration du site, l'icone "vérification de version Joomla" reste en "vérification de version Joomla" et ne me dit rien d'autre.
      Je vais rechercher aussi la dernière version que j'installe normalement avec le patch.

      Je vais de ce pas commencer à suivre tes conseils pour ce travail de scan. Merci encore.
      Si tout ce passe bien je viendrai fermer cette discussion ce soir. Si non, je me permettrai de revenir poser d'autres questions.

      Merci encore.

      Commentaire


      • #4
        Re : Tentative d'envoi massif émis pars notre site

        Tu fais erreur : il y a toujours à prendre. Peut-être pas des infos mais bien des ressources : ton site peut être utilisé pour stocker des fichiers illégaux, pour envoyer du spam, pour du hameçonnage, etc. Peu importe le site, son public, son contenu, il est *toujours* intéressant pour un hackeur d'en prendre possession. Toujours.

        Pour tes sauvegardes, fait attention : s'il a fait des sauvegardes tous les jours, c'est donc qu'il ne conserve que p.ex. les trente dernières et si, pas de chance, le hack est présent depuis plus de trente jours, tous tes backups sont virusés.

        En plus "je ne prends pas de backup moi-même" est ... gloups. Quid si ton hébergeur a un crash disque dur ou n'importe quoi qui ferait qu'il ne lui est plus possible de remettre ton site ==> de "temps à autre", télécharge un backup qui a été pris et stocke-le chez toi.

        Tu as écris "Joomla 2.5.23", il y a donc 5 versions de retard. A voir pourquoi ton système de notification est défaillant... En installant une mise à jour de Joomla, tu résolveras peut-être ce souci.

        Bon courage.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Tentative d'envoi massif émis pars notre site

          Bonjour,

          J'ai suivi vos conseils et fais le nécessaire.
          Je vais étudier plus sérieusement tout ce qui touche à la sécurité.
          Merci pour vos conseils.
          Dernière édition par Niky à 23/01/2015, 09h52

          Commentaire

          Annonce

          Réduire
          Aucune annonce pour le moment.

          Partenaire de l'association

          Réduire

          Hébergeur Web PlanetHoster
          Travaille ...
          X