Spam Flooding

**manu93fr** · 04/07/2016, 20h19

Re : Spam Flooding

Bonsoir
tu as installé une protection sur ton dossier Administrator ou un script Firewall ?
Ce site est isolé sur ton hébergement ?
une url ?

**Christine73** · 04/07/2016, 20h28

Re : Spam Flooding

Merci de votre réponse rapide !!
Non, pas de protection.
Un firewall existe et est activé via OVH, mais il ne semble visiblement pas suffisant.
Ce site est sur un hébergement mutualisé pro (chez OVH donc).
url : http://www.la-motte-en-bauges.com/

**cavo789** · 04/07/2016, 21h13

Re : Spam Flooding

Bonjour

As-tu regardé si ton site était vérolé (hacké) ? Constates-tu la présence de fichiers php illégitimes à la racine de ton site, dans le dossier /images, ... ?

Pour t'aider à scanner ton site, tu peux te servir de mon scan gratuit : aeSecure QuickScan (voir ma signature). Il devrait t'aider à détecter la présence d'intrus.

Bonne soirée.

**Christine73** · 04/07/2016, 21h24

Re : Spam Flooding

Bonsoir,

A vue de nez, pas de fichiers illégitimes à la racine ni dans le dossier images. C'est certain.
quant aux autres dossiers, à première vue, je n'ai rien constaté d'anormal, mais il est possible que quelque chose m'ait échappé. En tout cas, je n'ai pas remarqué de modification récente (j'ai regardé en fonction de la date), du moins qui ne soit pas de mon fait (les dernières modifs majeures datant de mai).

Pour info, un autre message dans ce forum (par hit7374) parle d'une attaque similaire, avec ce même e-mail (sample(at)email.tst

Bonne soirée à vous aussi

PS. Je vais faire le scan que vous me proposez. Merci

**Christine73** · 04/07/2016, 21h36

Re : Spam Flooding

J'ai effectué le scan et il m'est répondu ceci ("empreintes non trouvées"):

Désolé, les signatures des fichiers pour la version 3.5.1 de Joomla n'ont pas été trouvées; le scan du site sera donc bien plus long.

Que cela veut-il dire ?

**Christine73** · 04/07/2016, 21h39

Re : Spam Flooding

ah si... pardon... ça marche (pas moyen de supprimer le précédent message)
Scan en cours

**Christine73** · 04/07/2016, 21h48

Re : Spam Flooding

Bon, visiblement, DP Calendar semble poser problème. A confirmer toutefois, car le scan n'est pas catégorique (le problème identifié comme potentiellement dangereux). Cela dit, la date de dernière modif des fichiers pointés du doigt date d'il y a près de 2 ans !
Celles qui datent d'aujourd'hui (20h31) sont de moi, car il y avait une mise à jour DPCalendar, que j'ai donc déclenchée

380 fichiers ont été analysés dont 16 sont détectés comme potentiellement dangereux.
5 fichiers ont été ignorés car ayant une taille supérieure ou égale à 1 MB et 0 fichier(s) inaccessible(s) à cause d'un niveau de permission (chmod) trop restreint.
Si les résultats de ce script ont démontré la présence de virus, veuillez bien comprendre que le script a cherché des fichiers connus comme malsain (blacklist) et qu'il a recherché qu'un tout petit nombre de possibilités de hacking. Seules quelques signatures; simples; ont été recherchées. Il faut donc vous attendre à ce que vous ayez d'autres virus sur votre site web et il faudrait considérer un scan complet du site pour les éliminer. N'hésitez pas à me contacter : https://www.aesecure.com/fr, je peux nettoyer votre site web.
×
/home/lamottee/www/components/com_users/models/login.php(2.85K)(Date dernière modif. April 05 2016 22:17:02.)
203ded74dae6a0dcd4457babe52e3710Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1612 du fichier; voici le contexte :
equest first
if ($return = $input->$method->get('return', '', 'BASE64'))
{
$data['return'] = base64_decode($return);

if (!JUri::isInternal($data['return']))
{
$data['return'] = '';
}
}

//

×
/home/lamottee/www/components/com_config/controller/modules/cancel.php(1.66K)(Date dernière modif. April 05 2016 22:17:02.)
bd0892b854757301030d6d88a604c79fAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1085 du fichier; voici le contexte :
is->input->post->get('return', null, 'base64');

if (!empty($returnUri))
{
$this->redirect = base64_decode(urldecode($returnUri));
}
else
{
$this->redirect = JUri::base();
}

$id = $this->input

×
/home/lamottee/www/components/com_config/controller/modules/display.php(3.17K)(Date dernière modif. April 05 2016 22:17:02.)
5645adb0872ac3d58c53b302bda5c915Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1060 du fichier; voici le contexte :
return', null, 'base64');

// Construct redirect URI
if (!empty($returnUri))
{
$redirect = base64_decode(urldecode($returnUri));

// Don't redirect to an external URL.
if (!JUri::isInternal($redirec

×
/home/lamottee/www/components/com_config/controller/modules/save.php(3.13K)(Date dernière modif. April 05 2016 22:17:02.)
15f910afba200bfb2c365c6b260b4875Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 2924 du fichier; voici le contexte :
alse));
break;

case 'save':
default:

if (!empty($returnUri))
{
$redirect = base64_decode(urldecode($returnUri));

// Don't redirect to an external URL.
if (!JUri::isInternal($red

×
/home/lamottee/www/components/com_content/controllers/article.php(7.56K)(Date dernière modif. April 05 2016 22:17:02.)
fef2001aa60400294fca8b50bf333043Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 5961 du fichier; voici le contexte :
$return = $this->input->get('return', null, 'base64');

if (empty($return) || !JUri::isInternal(base64_decode($return)))
{
return JUri::base();
}
else
{
return base64_decode($return);
}
}

/*
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 6039 du fichier; voici le contexte :
|| !JUri::isInternal(base64_decode($return)))
{
return JUri::base();
}
else
{
return base64_decode($return);
}
}

/**
* Function that allows child controller access to model data after the dat

×
/home/lamottee/www/components/com_content/models/form.php(4.52K)(Date dernière modif. April 05 2016 22:17:02.)
d8347ad95bba72aee68a8837179bc087Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1188 du fichier; voici le contexte :
catid'));

$return = $app->input->get('return', null, 'base64');
$this->setState('return_page', base64_decode($return));

// Load the parameters.
$params = $app->getParams();
$this->setState('params', $p

×
/home/lamottee/www/components/com_dpcalendar/models/form.php(9.30K)(Date dernière modif. July 04 2016 20:31:43.)
3f79dec94176033864acd89d6d020116Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 4270 du fichier; voici le contexte :
yId);

$return = JRequest::getVar('return', null, 'default', 'base64');

if (! JUri::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 4356 du fichier; voici le contexte :
i::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));

// Load the parameters.
if ($app->isSite())
{
$this->setState('params', $app->

×
/home/lamottee/www/components/com_dpcalendar/models/davcalendar.php(1.74K)(Date dernière modif. July 04 2016 20:31:43.)
d7a2e48848d189be0b63ee5385813643Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1540 du fichier; voici le contexte :
$pk);

$return = JRequest::getVar('return', null, 'default', 'base64');

if (! JUri::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1626 du fichier; voici le contexte :
i::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));

$params = $app->getParams();
$this->setState('params', $params);

$this->setState

×
/home/lamottee/www/components/com_dpcalendar/models/message.php(1.99K)(Date dernière modif. September 03 2014 22:00:20.)
daed5d2da14e8d9e73fd6277145bf7a8Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 861 du fichier; voici le contexte :
te');

$return = $app->input->get('return', null, 'default', 'base64');

if (! JUri::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 947 du fichier; voici le contexte :
i::isInternal(base64_decode($return)))
{
$return = null;
}

$this->setState('return_page', base64_decode($return));

// Load state from the request.
$pk = $app->input->getInt('a_id', 0);
$this->setS

×
/home/lamottee/www/components/com_dpcalendar/controllers/davcalendar.php(3.19K)(Date dernière modif. July 04 2016 20:31:43.)
a872bcec90dffee6ea5e0f2ca8481948Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 3159 du fichier; voici le contexte :
JRequest::getVar('return', null, 'default', 'base64');

if (empty($return) || ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return);
}
}
}
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 3237 du fichier; voici le contexte :
|| ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return);
}
}
}

×
/home/lamottee/www/components/com_dpcalendar/controllers/locationform.php(3.05K)(Date dernière modif. July 04 2016 20:31:43.)
a7ab5756d73acfee59499d823dbafa3fAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1094 du fichier; voici le contexte :
, $urlVar);

if ($return = $this->input->get('return', null, 'base64'))
{
$this->setRedirect(base64_decode($return));
}

return $result;
}

public function cancel ($key = 'l_id')
{
$return = parent
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 3008 du fichier; voici le contexte :
ge ()
{
$return = $this->input->getBase64('return');

if (empty($return) || ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return);
}
}
}
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 3086 du fichier; voici le contexte :
|| ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return);
}
}
}

×
/home/lamottee/www/components/com_dpcalendar/controllers/event.php(14.47K)(Date dernière modif. July 04 2016 20:31:43.)
72c97cc51e0875af6844fc525401a1e1Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 5708 du fichier; voici le contexte :
if ($hash)
{
$hash . '#' . trim($hash, '#');
}

if (empty($return) || ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return) . $hash;
}
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 5786 du fichier; voici le contexte :
|| ! JUri::isInternal(base64_decode($return)))
{
return JURI::base();
}
else
{
return base64_decode($return) . $hash;
}
}

public function move ()
{
$data = array();
$data['id'] = JRequest::
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 11239 du fichier; voici le contexte :
eturn');
if (! empty($urlVar) && ! empty($return) && ! empty($data['id']))
{
$uri = base64_decode($return);
$uri = str_replace($data['id'], $newEventId, $uri);
$this->input->set('return
Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 12963 du fichier; voici le contexte :
data['users'] : array(), isset($data['groups']) ? $data['groups'] : array());

$this->setRedirect(base64_decode($this->input->getBase64('return')), JText::_('COM_DPCALENDAR_SENT_INVITATION'));
}

public functi

×
/home/lamottee/www/components/com_dpcalendar/controllers/profile.php(1.31K)(Date dernière modif. July 04 2016 20:31:43.)
8a6718d083302721d654707d1f53e7fdAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 1051 du fichier; voici le contexte :
JFactory::getSession()->set('user-timezone', $tz->getName(), 'DPCalendar');

$this->setRedirect(base64_decode(JFactory::getApplicatio n()->input->getBase64('return', JUri::base())));
}

public function getMod

×
/home/lamottee/www/components/com_dpcalendar/views/form/tmpl/edit.php(10.99K)(Date dernière modif. July 04 2016 20:31:43.)
aecd020faf69566c75b270a24f2c0d2dAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 2325 du fichier; voici le contexte :
LENDAR_VIEW_EVENT_GOTO_ORIGINAL'),
DPCalendarHelperRoute::getFormRoute($this->item->original_id, base64_decode($this->return_page)));
}?>
</span>
</h4>
<?php
}
if ($this->params->get('event_form_check_overla

×
/home/lamottee/www/components/com_dpcalendar/views/message/view.html.php(1.47K)(Date dernière modif. September 03 2014 22:00:20.)
675fdb3375f05366650b34c9e87dbb23Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
Signature : base64_decode
Trouvé en position 885 du fichier; voici le contexte :
= $this->get('ReturnPage');
if ($app->getUserState('payment_return'))
{
$this->return_page = base64_decode($app->getUserState('payment_return'));
}

switch ($this->getLayout())
{
case 'cancel':

**cavo789** · 04/07/2016, 22h06

Re : Spam Flooding

Les portions de fichiers que tu as posté ci-dessus ont l'air saines; pas de souci pour ces blocs-là.

**chabi01** · 05/07/2016, 11h05

Re : Spam Flooding

Bonjour,
Au niveau du log, il n'y a rien d'alarmant.
Par contre, pour répondre, il faudrait être plus précis.
Quand tu parles d'une "attaque de spam flooding", cela veut dire quoi ?
- Ton site a été rempli au niveau d'un formulaire par un robot ?
- Tu as reçu des spams sur ta boite email ?
- D'où proviennent les spams : de ton site ?
- Vers où sont allés les spams : sur ton site ? sur ta boite email ?

Cordialement,

**Christine73** · 06/07/2016, 15h25

Re : Spam Flooding

Bonjour,
A ce jour, le flood ne s'est pas renouvelé.
Néanmoins, la faille reste toujours à trouver...

@chabi01

- non, ce n'est pas arrivé via le formulaire (qui est protégé par un captcha)
- oui, j'ai reçu les spams dans ma boite e-mail
- je pense que cela provient du site, car la forme me fait penser aux envois en nombre (qui sont pourtant désactivés), mais cela reste à confirmer.
- ces e-mails provenaient de l'adresse du propriétaire du site internet (un alias dont les e-mails sont redirigés automatiquement vers la vraie boite mail de mon client).
Voici le type de contenu reçu :

Ceci est un message expédié via http://la-motte-en-bauges.com/ par :
${10000264+10000468} <sample (at) email.tst>

20

Voilà... j'espère avoir répondu à votre question.
merci d'avance

**chabi01** · 06/07/2016, 16h29

Re : Spam Flooding

Re,
D'après ce que tu écris, il n'est donc pas prouvé que les emails partent bien de ton site via un script : cela peut être soit une faille dans ta configuration de ton MTA, soit de simples emails avec usurpation d'identité.
Il faudrait chercher un peu plus. Personnellement, dans ce cas, je vérifierai conscieusement tous les jours les volumes d'emails sortis du serveur : si un hacker a réussi à trouver une faille sur ton serveur et qu'il l'exploite, tu vas te faire blacklister partout...
Le code que tu donnes n'est pas suffisant pour savoir ce qu'il s'est passé : tu devrais vérifier le site et le serveur pour trouver si les messages sont bien partis de ton serveur et comment.

Cordialement,

**Christine73** · 06/07/2016, 16h43

Re : Spam Flooding

Merci de votre réponse.
Honnêtement, ce que vous me préconisez ressort de compétences qu'il me reste à acquérir

Le site est hébergé sur un mutualisé, donc comment vérifier le serveur et notamment voir le volume d'e-mails qui en sort ?
Faut-il que j'en informe OVH ?
Pour l'usurpation d'identité, un changement de mot de passe suffit-il ?

Le site a été vérifié via le logiciel aeSecure, et toutes les lignes de codes "suspectes" ont été communiquées plus haut. Et il semble que de ce côté là, rien ne semble alarmant.
Mais peut-être cette vérification n'est pas suffisante ?

Désolée, je peux paraître un peu "néophyte", mais c'est la première fois que j'ai un problème de ce genre, la gestion de serveur m'est entièrement étrangère (c'est pour cela que je n'ai pas de serveur dédié).

Merci encore.

**Christine73** · 06/07/2016, 16h54

Re : Spam Flooding

Après une recherche sur mon manager OVH, 508 e-mails ont été envoyés le 4 juillet (je n'en ai reçu qu'une petite centaine), 193 sont signalés comme étant en erreur. Il n'y a que cette "pointe" d'envoi massif ce jour là. Le reste du temps, c'est calme plat.

J'ai changé le mot de passe de l'adresse incriminée, cela ne mange de toute façon pas de pain...

**Christine73** · 06/07/2016, 17h04

Re : Spam Flooding

Je ne sais pas si cela peut aider mais, dans les logs web, à l'heure de l'attaque, le composant "contact" semble avoir été l'objet d'une attention un peu trop appuyée... des centaines de lignes du genre de celle ci :

185.93.185.246 la-motte-en-bauges.com - [04/Jul/2016:20:00:42 +0200] "POST /component/contact/ HTTP/1.1" 404 1842 "http://la-motte-en-bauges.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"

Cela a duré plusieurs minutes, tout provenant de la même adresse IP "185.93.185.246" (présente 14303 fois ce jour là)

Les logs signalent une hausse du volume d'activité anormale.

Spam Flooding

[Problème] Spam Flooding

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association