Blocage HTTP de votre site

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Blocage HTTP de votre site

    Bonjour à tous,
    depuis lundi je subis des attaques et OVH me bloque à chaque fois mon site.

    voici les différents mails reçu from OVH :

    Bonjour,

    Notre système de surveillance (Okillerd) a détecté une opération
    irrégulière au niveau de votre site.

    Les détails de cette opération sont les suivants :

    camopaintball.com


    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/plugins/system/jscsscontrol/fields/.nfs000000000b13992f0000029d
    Horodatage: 2015-12-01 17:40:08

    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/plugins/editors-xtd/rokcandy/.nfs000000000abbabe80000382c
    Horodatage: 2015-12-03 14:40:11

    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/plugins/authentication/gmail/.nfs000000000c4a9f3200003840
    Horodatage: 2015-12-03 16:45:18

    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/libraries/legacy/utilities/.nfs000000000bc2ea8c000038a8
    Horodatage: 2015-12-03 22:40:19

    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/libraries/legacy/utilities/.nfs000000000cc307c6000082dc
    Horodatage: 2015-12-04 14:15:22

    et à l'instant :

    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.506/camopain/sico/components/com_newsfeeds/models/.nfs0000000008421f97000083ad
    Horodatage: 2015-12-04 20:05:11



    je suis sur la dernière version de joomla (3.4.5).
    je débloque le site en modifiant le chmod via filezilla comme conseillé par OVH, mais cela ne dure que quelques heures avant de me faire hacker de nouveau.

    quelqu'un peut m'aider ?
    est-ce qu'en changeant tous les mots de passes cela va corriger le pb ?

  • #2
    Re : Blocage HTTP de votre site

    Bonjour

    OVH t'informe que ton site est hacké et il l'a mis dans un état "désactivé" afin de ne plus permettre à un hackeur d'exploiter des URLs de ton site. Tu dis que tu débloques le site... mais tu ne sembles pas le nettoyer; logique qu'OVH le rebloque à nouveau encore et encore.

    Tu trouveras dans ma signature (troisième lien) un post qui explique quelles actions prendre pour nettoyer soi-même son site. La plus simple étant de remettre une archive du site; archive saine.

    (non, changer les mots de passe ne va rien changer tant que les virus sont en place; il faut d'abord nettoyer le site).

    Bon nettoyage.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Blocage HTTP de votre site

      Bonjour Cavo,
      je regarde cela et je te tiens informé.

      merci de ton aide.

      Commentaire


      • #4
        Re : Blocage HTTP de votre site

        Envoyé par cavo789 Voir le message
        Bonjour

        OVH t'informe que ton site est hacké et il l'a mis dans un état "désactivé" afin de ne plus permettre à un hackeur d'exploiter des URLs de ton site. Tu dis que tu débloques le site... mais tu ne sembles pas le nettoyer; logique qu'OVH le rebloque à nouveau encore et encore.

        Tu trouveras dans ma signature (troisième lien) un post qui explique quelles actions prendre pour nettoyer soi-même son site. La plus simple étant de remettre une archive du site; archive saine.

        (non, changer les mots de passe ne va rien changer tant que les virus sont en place; il faut d'abord nettoyer le site).

        Bon nettoyage.
        Bosoir,

        En faite j'ai le même problème, et ls mêmes mails reçu de OVH,

        je suis sous joomla 3,4, et mon site est hébergé sous OVH, et depuis 1 mois mon site est bloqué et je l'active par la commande CHMOD Comme OVH nous conseille,

        Je vais lire vos conseille de nettoyage, sinon, je vrois aussi que y a problème au niveau de .htaccess,

        Merci bien,

        Cordialement.

        Commentaire


        • #5
          Re : Blocage HTTP de votre site

          Bonjour à tous,
          je vous confirme que j'ai du nettoyer le ftp et supprimer les fichiers indésirables.

          pour faire cela :
          - soit faire tous les répertoires un par un et supprimer les fichiers avec des noms bizarre (correspondant +/- à la date du hack).
          - soit lire les rapports d'ovh et supprimer le fichier dans le répertoire indiqué par le rapport.

          attention à ne pas oublier d'aller jeter un oeil dans le répertoire Images aussi !

          cela fait bientôt 2 semaines que j'ai corrigé et je n'ai pas eu de pb depuis.

          Commentaire


          • #6
            Re : Blocage HTTP de votre site

            Bonjour

            Super que ton site semble être à nouveau opérationnel.

            Permets juste deux remarques :

            * la date de modification des fichiers est loin d'être fiable. Un code php peut altérer cette date avec l'instruction touch() p.ex. et donc tu peux avoir un fichier ayant été modifié hier mais dont la date de dernière modification a été "falsifiée" et correspond à l'année dernière

            * un fichier de joomla (p.ex. /includes/defines.php) peut être parasité; son nom n'est pas "bizarre"; seule une lecture du code source permettra de détecter le hack.

            Je précise cela juste pour la personne qui te lira et qui va penser "Oui, faire ça est suffisant". C'est incorrect mais si, dans ton cas, tu as résolu ton problème de hack; super !

            Bonne journée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Blocage HTTP de votre site

              Bonjour,

              En fait pour moi, j'ai nettoyé mon ftp, mais le problème résiste encore, je doute si mon fichier .htaccess le manque quelque ligne, car les fichier log error de ovh m'affiche toujours ce message : (13)Permission denied: /homez.239/nomsite/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable

              Voici mon fichier .htaccess :

              Code:
              ##
              # @package    Joomla
              # @copyright  Copyright (C) 2005 - 2015 Open Source Matters. All rights reserved.
              # @license    GNU General Public License version 2 or later; see LICENSE.txt
              ##
              
              ##
              # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
              #
              # The line just below this section: 'Options +FollowSymLinks' may cause problems
              # with some server configurations.  It is required for use of mod_rewrite, but may already
              # be set by your server administrator in a way that disallows changing it in
              # your .htaccess file.  If using it causes your server to error out, comment it out (add # to
              # beginning of line), reload your site in your browser and test your sef url's.  If they work,
              # it has been set by your server administrator and you do not need it set here.
              ##
              
              ## No directory listings
              
              <Limit GET POST>
              order deny,allow
              deny from all
              allow from all
              </Limit>
              ## Can be commented out if causes errors, see notes above.
              Options +FollowSymlinks
              Options -Indexes
              
              ## Mod_rewrite in use.
              
              RewriteEngine On
              
              ## Begin - Rewrite rules to block out some common exploits.
              # If you experience problems on your site block out the operations listed below
              # This attempts to block the most common type of exploit `attempts` to Joomla!
              #
              # Block out any script trying to base64_encode data within the URL.
              RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
              # Block out any script that includes a <script> tag in URL.
              RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
              # Block out any script trying to set a PHP GLOBALS variable via URL.
              RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
              # Block out any script trying to modify a _REQUEST variable via URL.
              RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
              # Return 403 Forbidden header and show the content of the root homepage
              RewriteRule .* index.php [F]
              #
              ## End - Rewrite rules to block out some common exploits.
              
              ## Begin - Custom redirects
              #
              # If you need to redirect some pages, or set a canonical non-www to
              # www redirect (or vice versa), place that code here. Ensure those
              # redirects use the correct RewriteRule syntax and the [R=301,L] flags.
              #
              ## End - Custom redirects
              
              ##
              # Uncomment following line if your webserver's URL
              # is not directly related to physical file paths.
              # Update Your Joomla! Directory (just / for root).
              ##
              
              # RewriteBase /
              
              ## Begin - Joomla! core SEF Section.
              #
              RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
              #
              # If the requested path and file is not /index.php and the request
              # has not already been internally rewritten to the index.php script
              RewriteCond %{REQUEST_URI} !^/index\.php
              # and the requested path and file doesn't directly match a physical file
              RewriteCond %{REQUEST_FILENAME} !-f
              # and the requested path and file doesn't directly match a physical folder
              RewriteCond %{REQUEST_FILENAME} !-d
              # internally rewrite the request to the index.php script
              RewriteRule .* index.php [L]
              #
              ## End - Joomla! core SEF Section.
              RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR]
               RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
               RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
               RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
               RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
               RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
               RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
               RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
               RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
               RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
               RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
               RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
               RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
               RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
               RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
               RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
               RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
               RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
               RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
               RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
               RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
               RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
               RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
               RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
               RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
               RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
               RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
               RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
               RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
               RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
               RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
               RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
               RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
               RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
               RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
               RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
               RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
               RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
               RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
               RewriteCond %{HTTP_USER_AGENT} ^Zeus
              MErci d'avance.

              Commentaire


              • #8
                Re : Blocage HTTP de votre site

                Bonjour

                ensure it is readable
                Vérifie que ton fichier est bien en chmod 644. Tu peux faire cela depuis la fenêtre des permissions de ton client FTP.

                Note, tu peux virer ces lignes qui ne servent à rien :
                <Limit GET POST>
                order deny,allow
                deny from all
                allow from all
                </Limit>

                (il y a un deny from all suivi d'un allow from all; cela annule la protection).

                Si tu veux un .htaccess blindé, utilise p.ex. aeSecure en version gratuite qui te permettra de configurer, à ta guise, ton .htaccess.

                Bonne journée.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Blocage HTTP de votre site

                  Envoyé par cavo789 Voir le message
                  Bonjour



                  Vérifie que ton fichier est bien en chmod 644. Tu peux faire cela depuis la fenêtre des permissions de ton client FTP.

                  Note, tu peux virer ces lignes qui ne servent à rien :
                  <Limit GET POST>
                  order deny,allow
                  deny from all
                  allow from all
                  </Limit>

                  (il y a un deny from all suivi d'un allow from all; cela annule la protection).

                  Si tu veux un .htaccess blindé, utilise p.ex. aeSecure en version gratuite qui te permettra de configurer, à ta guise, ton .htaccess.

                  Bonne journée.
                  Merci pour ta réponse,

                  en fait les droits d'accé de monfichier htaccess est 604, et j'ai éliminé les lignes que vous avez souligné,

                  sinon, je vais voir ce aeSecure, qui j'espere le site ne se bloque jamais,

                  Merci bien encore,

                  Cordialement.

                  Commentaire


                  • #10
                    Re : Blocage HTTP de votre site

                    aeSecure est une solution de protection de sites web. Il ne va pas bloquer ton site mais le protéger. Note : il faut que ton site soit sain (zéro virus) pour que son action soit optimale. Si le ver est déjà dans la pomme, il faut installer aeSecure et retirer les virus; pas seulement installer le logiciel.

                    Bonne journée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Re : Blocage HTTP de votre site

                      ok, bien compris,

                      mille merci,

                      Cordialement.

                      Commentaire


                      • #12
                        Re : Blocage HTTP de votre site

                        Envoyé par cavo789 Voir le message
                        aeSecure est une solution de protection de sites web. Il ne va pas bloquer ton site mais le protéger. Note : il faut que ton site soit sain (zéro virus) pour que son action soit optimale. Si le ver est déjà dans la pomme, il faut installer aeSecure et retirer les virus; pas seulement installer le logiciel.

                        Bonne journée.
                        Désolé, un autre question, les soumissions de types GET, est elle un type de vers, virus, ou seul les soumissions de type POST??

                        Cordialement.

                        Commentaire


                        • #13
                          Re : Blocage HTTP de votre site

                          GET et POST peuvent être des vecteurs d'attaque.
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : Blocage HTTP de votre site

                            Ok, Merci bien, je vais vérifier encore les GET aussi,

                            Cordialement.

                            Commentaire


                            • #15
                              Re : Blocage HTTP de votre site

                              Bonjour,

                              Il ya un problème qui persisite, en fait il y a un fichier "item_category", fichier d'extension inconnue qui se trouve sur ce chemin de mon ftp "/www/cache/com_zoo" et chaque fois que je le supprime, je revient aprés quelque minute et je le trouve encore, c'est un virus,

                              comment faire pour le supprimer définitivement!

                              Cordialement.

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X