Spam Flooding

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Spam Flooding

    Bonjour,

    Je viens de recevoir une attaque de spam flooding via ce que je soupçonne être le composant d'envoi en nombre (vu le format de l'e-mail). C'est un soupçon qui mérite toutefois d'être confirmé.

    Pour info, question maintenance, ce site est à jour (Joomla 3.5.1), et ses composants aussi (JCE, widgetkit, Fox Contact, DP Calendar).

    Avant ce flooding, étaient déjà désactivés :
    -l'envoi d'e-mails en nombre.
    - la possibilité d'inscription des utilisateurs

    Les logs du site signalent une hausse très importante de connexions, le jour même du flooding (une centaine d'e-mails en 1 minute)

    Je ne comprends pas d'où vient le problème.
    Pouvez-vous m'éclairer ?

    D'avance merci.

  • #2
    Re : Spam Flooding

    Bonsoir
    tu as installé une protection sur ton dossier Administrator ou un script Firewall ?
    Ce site est isolé sur ton hébergement ?
    une url ?
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire


    • #3
      Re : Spam Flooding

      Merci de votre réponse rapide !!
      Non, pas de protection.
      Un firewall existe et est activé via OVH, mais il ne semble visiblement pas suffisant.
      Ce site est sur un hébergement mutualisé pro (chez OVH donc).
      url : http://www.la-motte-en-bauges.com/
      Dernière édition par Christine73 à 04/07/2016, 20h32

      Commentaire


      • #4
        Re : Spam Flooding

        Bonjour

        As-tu regardé si ton site était vérolé (hacké) ? Constates-tu la présence de fichiers php illégitimes à la racine de ton site, dans le dossier /images, ... ?

        Pour t'aider à scanner ton site, tu peux te servir de mon scan gratuit : aeSecure QuickScan (voir ma signature). Il devrait t'aider à détecter la présence d'intrus.

        Bonne soirée.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Spam Flooding

          Bonsoir,

          A vue de nez, pas de fichiers illégitimes à la racine ni dans le dossier images. C'est certain.
          quant aux autres dossiers, à première vue, je n'ai rien constaté d'anormal, mais il est possible que quelque chose m'ait échappé. En tout cas, je n'ai pas remarqué de modification récente (j'ai regardé en fonction de la date), du moins qui ne soit pas de mon fait (les dernières modifs majeures datant de mai).

          Pour info, un autre message dans ce forum (par hit7374) parle d'une attaque similaire, avec ce même e-mail (sample(at)email.tst

          Bonne soirée à vous aussi

          PS. Je vais faire le scan que vous me proposez. Merci

          Commentaire


          • #6
            Re : Spam Flooding

            J'ai effectué le scan et il m'est répondu ceci ("empreintes non trouvées"):
            Désolé, les signatures des fichiers pour la version 3.5.1 de Joomla n'ont pas été trouvées; le scan du site sera donc bien plus long.

            Que cela veut-il dire ?

            Commentaire


            • #7
              Re : Spam Flooding

              ah si... pardon... ça marche (pas moyen de supprimer le précédent message)
              Scan en cours

              Commentaire


              • #8
                Re : Spam Flooding

                Bon, visiblement, DP Calendar semble poser problème. A confirmer toutefois, car le scan n'est pas catégorique (le problème identifié comme potentiellement dangereux). Cela dit, la date de dernière modif des fichiers pointés du doigt date d'il y a près de 2 ans !
                Celles qui datent d'aujourd'hui (20h31) sont de moi, car il y avait une mise à jour DPCalendar, que j'ai donc déclenchée



                380 fichiers ont été analysés dont 16 sont détectés comme potentiellement dangereux.
                5 fichiers ont été ignorés car ayant une taille supérieure ou égale à 1 MB et 0 fichier(s) inaccessible(s) à cause d'un niveau de permission (chmod) trop restreint.
                Si les résultats de ce script ont démontré la présence de virus, veuillez bien comprendre que le script a cherché des fichiers connus comme malsain (blacklist) et qu'il a recherché qu'un tout petit nombre de possibilités de hacking. Seules quelques signatures; simples; ont été recherchées. Il faut donc vous attendre à ce que vous ayez d'autres virus sur votre site web et il faudrait considérer un scan complet du site pour les éliminer. N'hésitez pas à me contacter : https://www.aesecure.com/fr, je peux nettoyer votre site web.
                ×
                /home/lamottee/www/components/com_users/models/login.php(2.85K)(Date dernière modif. April 05 2016 22:17:02.)
                203ded74dae6a0dcd4457babe52e3710Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1612 du fichier; voici le contexte :
                equest first
                if ($return = $input->$method->get('return', '', 'BASE64'))
                {
                $data['return'] = base64_decode($return);

                if (!JUri::isInternal($data['return']))
                {
                $data['return'] = '';
                }
                }

                //

                ×
                /home/lamottee/www/components/com_config/controller/modules/cancel.php(1.66K)(Date dernière modif. April 05 2016 22:17:02.)
                bd0892b854757301030d6d88a604c79fAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1085 du fichier; voici le contexte :
                is->input->post->get('return', null, 'base64');

                if (!empty($returnUri))
                {
                $this->redirect = base64_decode(urldecode($returnUri));
                }
                else
                {
                $this->redirect = JUri::base();
                }

                $id = $this->input

                ×
                /home/lamottee/www/components/com_config/controller/modules/display.php(3.17K)(Date dernière modif. April 05 2016 22:17:02.)
                5645adb0872ac3d58c53b302bda5c915Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1060 du fichier; voici le contexte :
                return', null, 'base64');

                // Construct redirect URI
                if (!empty($returnUri))
                {
                $redirect = base64_decode(urldecode($returnUri));

                // Don't redirect to an external URL.
                if (!JUri::isInternal($redirec

                ×
                /home/lamottee/www/components/com_config/controller/modules/save.php(3.13K)(Date dernière modif. April 05 2016 22:17:02.)
                15f910afba200bfb2c365c6b260b4875Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 2924 du fichier; voici le contexte :
                alse));
                break;

                case 'save':
                default:

                if (!empty($returnUri))
                {
                $redirect = base64_decode(urldecode($returnUri));

                // Don't redirect to an external URL.
                if (!JUri::isInternal($red

                ×
                /home/lamottee/www/components/com_content/controllers/article.php(7.56K)(Date dernière modif. April 05 2016 22:17:02.)
                fef2001aa60400294fca8b50bf333043Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 5961 du fichier; voici le contexte :
                $return = $this->input->get('return', null, 'base64');

                if (empty($return) || !JUri::isInternal(base64_decode($return)))
                {
                return JUri::base();
                }
                else
                {
                return base64_decode($return);
                }
                }

                /*
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 6039 du fichier; voici le contexte :
                || !JUri::isInternal(base64_decode($return)))
                {
                return JUri::base();
                }
                else
                {
                return base64_decode($return);
                }
                }

                /**
                * Function that allows child controller access to model data after the dat

                ×
                /home/lamottee/www/components/com_content/models/form.php(4.52K)(Date dernière modif. April 05 2016 22:17:02.)
                d8347ad95bba72aee68a8837179bc087Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1188 du fichier; voici le contexte :
                catid'));

                $return = $app->input->get('return', null, 'base64');
                $this->setState('return_page', base64_decode($return));

                // Load the parameters.
                $params = $app->getParams();
                $this->setState('params', $p

                ×
                /home/lamottee/www/components/com_dpcalendar/models/form.php(9.30K)(Date dernière modif. July 04 2016 20:31:43.)
                3f79dec94176033864acd89d6d020116Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 4270 du fichier; voici le contexte :
                yId);

                $return = JRequest::getVar('return', null, 'default', 'base64');

                if (! JUri::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 4356 du fichier; voici le contexte :
                i::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));

                // Load the parameters.
                if ($app->isSite())
                {
                $this->setState('params', $app->

                ×
                /home/lamottee/www/components/com_dpcalendar/models/davcalendar.php(1.74K)(Date dernière modif. July 04 2016 20:31:43.)
                d7a2e48848d189be0b63ee5385813643Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1540 du fichier; voici le contexte :
                $pk);

                $return = JRequest::getVar('return', null, 'default', 'base64');

                if (! JUri::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1626 du fichier; voici le contexte :
                i::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));

                $params = $app->getParams();
                $this->setState('params', $params);

                $this->setState

                ×
                /home/lamottee/www/components/com_dpcalendar/models/message.php(1.99K)(Date dernière modif. September 03 2014 22:00:20.)
                daed5d2da14e8d9e73fd6277145bf7a8Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 861 du fichier; voici le contexte :
                te');

                $return = $app->input->get('return', null, 'default', 'base64');

                if (! JUri::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 947 du fichier; voici le contexte :
                i::isInternal(base64_decode($return)))
                {
                $return = null;
                }

                $this->setState('return_page', base64_decode($return));

                // Load state from the request.
                $pk = $app->input->getInt('a_id', 0);
                $this->setS

                ×
                /home/lamottee/www/components/com_dpcalendar/controllers/davcalendar.php(3.19K)(Date dernière modif. July 04 2016 20:31:43.)
                a872bcec90dffee6ea5e0f2ca8481948Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 3159 du fichier; voici le contexte :
                JRequest::getVar('return', null, 'default', 'base64');

                if (empty($return) || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return);
                }
                }
                }
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 3237 du fichier; voici le contexte :
                || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return);
                }
                }
                }

                ×
                /home/lamottee/www/components/com_dpcalendar/controllers/locationform.php(3.05K)(Date dernière modif. July 04 2016 20:31:43.)
                a7ab5756d73acfee59499d823dbafa3fAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1094 du fichier; voici le contexte :
                , $urlVar);

                if ($return = $this->input->get('return', null, 'base64'))
                {
                $this->setRedirect(base64_decode($return));
                }

                return $result;
                }

                public function cancel ($key = 'l_id')
                {
                $return = parent
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 3008 du fichier; voici le contexte :
                ge ()
                {
                $return = $this->input->getBase64('return');

                if (empty($return) || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return);
                }
                }
                }
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 3086 du fichier; voici le contexte :
                || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return);
                }
                }
                }

                ×
                /home/lamottee/www/components/com_dpcalendar/controllers/event.php(14.47K)(Date dernière modif. July 04 2016 20:31:43.)
                72c97cc51e0875af6844fc525401a1e1Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 5708 du fichier; voici le contexte :
                if ($hash)
                {
                $hash . '#' . trim($hash, '#');
                }

                if (empty($return) || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return) . $hash;
                }
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 5786 du fichier; voici le contexte :
                || ! JUri::isInternal(base64_decode($return)))
                {
                return JURI::base();
                }
                else
                {
                return base64_decode($return) . $hash;
                }
                }

                public function move ()
                {
                $data = array();
                $data['id'] = JRequest::
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 11239 du fichier; voici le contexte :
                eturn');
                if (! empty($urlVar) && ! empty($return) && ! empty($data['id']))
                {
                $uri = base64_decode($return);
                $uri = str_replace($data['id'], $newEventId, $uri);
                $this->input->set('return
                Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 12963 du fichier; voici le contexte :
                data['users'] : array(), isset($data['groups']) ? $data['groups'] : array());

                $this->setRedirect(base64_decode($this->input->getBase64('return')), JText::_('COM_DPCALENDAR_SENT_INVITATION'));
                }

                public functi

                ×
                /home/lamottee/www/components/com_dpcalendar/controllers/profile.php(1.31K)(Date dernière modif. July 04 2016 20:31:43.)
                8a6718d083302721d654707d1f53e7fdAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 1051 du fichier; voici le contexte :
                JFactory::getSession()->set('user-timezone', $tz->getName(), 'DPCalendar');

                $this->setRedirect(base64_decode(JFactory::getApplicatio n()->input->getBase64('return', JUri::base())));
                }

                public function getMod

                ×
                /home/lamottee/www/components/com_dpcalendar/views/form/tmpl/edit.php(10.99K)(Date dernière modif. July 04 2016 20:31:43.)
                aecd020faf69566c75b270a24f2c0d2dAttention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 2325 du fichier; voici le contexte :
                LENDAR_VIEW_EVENT_GOTO_ORIGINAL'),
                DPCalendarHelperRoute::getFormRoute($this->item->original_id, base64_decode($this->return_page)));
                }?>
                </span>
                </h4>
                <?php
                }
                if ($this->params->get('event_form_check_overla

                ×
                /home/lamottee/www/components/com_dpcalendar/views/message/view.html.php(1.47K)(Date dernière modif. September 03 2014 22:00:20.)
                675fdb3375f05366650b34c9e87dbb23Attention Il ne s'agit pas forcément d'un virus!; la signature recherchée est également utilisée dans du code légitime.
                Signature : base64_decode
                Trouvé en position 885 du fichier; voici le contexte :
                = $this->get('ReturnPage');
                if ($app->getUserState('payment_return'))
                {
                $this->return_page = base64_decode($app->getUserState('payment_return'));
                }

                switch ($this->getLayout())
                {
                case 'cancel':
                Dernière édition par Christine73 à 04/07/2016, 21h52

                Commentaire


                • #9
                  Re : Spam Flooding

                  Les portions de fichiers que tu as posté ci-dessus ont l'air saines; pas de souci pour ces blocs-là.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Spam Flooding

                    Bonjour,
                    Au niveau du log, il n'y a rien d'alarmant.
                    Par contre, pour répondre, il faudrait être plus précis.
                    Quand tu parles d'une "attaque de spam flooding", cela veut dire quoi ?
                    - Ton site a été rempli au niveau d'un formulaire par un robot ?
                    - Tu as reçu des spams sur ta boite email ?
                    - D'où proviennent les spams : de ton site ?
                    - Vers où sont allés les spams : sur ton site ? sur ta boite email ?

                    Cordialement,
                    Chabi01 - http://www.xlformation.com

                    Commentaire


                    • #11
                      Re : Spam Flooding

                      Bonjour,
                      A ce jour, le flood ne s'est pas renouvelé.
                      Néanmoins, la faille reste toujours à trouver...

                      @chabi01

                      - non, ce n'est pas arrivé via le formulaire (qui est protégé par un captcha)
                      - oui, j'ai reçu les spams dans ma boite e-mail
                      - je pense que cela provient du site, car la forme me fait penser aux envois en nombre (qui sont pourtant désactivés), mais cela reste à confirmer.
                      - ces e-mails provenaient de l'adresse du propriétaire du site internet (un alias dont les e-mails sont redirigés automatiquement vers la vraie boite mail de mon client).
                      Voici le type de contenu reçu :
                      Ceci est un message expédié via http://la-motte-en-bauges.com/ par :
                      ${10000264+10000468} <sample (at) email.tst>

                      20
                      Voilà... j'espère avoir répondu à votre question.
                      merci d'avance

                      Commentaire


                      • #12
                        Re : Spam Flooding

                        Re,
                        D'après ce que tu écris, il n'est donc pas prouvé que les emails partent bien de ton site via un script : cela peut être soit une faille dans ta configuration de ton MTA, soit de simples emails avec usurpation d'identité.
                        Il faudrait chercher un peu plus. Personnellement, dans ce cas, je vérifierai conscieusement tous les jours les volumes d'emails sortis du serveur : si un hacker a réussi à trouver une faille sur ton serveur et qu'il l'exploite, tu vas te faire blacklister partout...
                        Le code que tu donnes n'est pas suffisant pour savoir ce qu'il s'est passé : tu devrais vérifier le site et le serveur pour trouver si les messages sont bien partis de ton serveur et comment.

                        Cordialement,
                        Chabi01 - http://www.xlformation.com

                        Commentaire


                        • #13
                          Re : Spam Flooding

                          Merci de votre réponse.
                          Honnêtement, ce que vous me préconisez ressort de compétences qu'il me reste à acquérir

                          Le site est hébergé sur un mutualisé, donc comment vérifier le serveur et notamment voir le volume d'e-mails qui en sort ?
                          Faut-il que j'en informe OVH ?
                          Pour l'usurpation d'identité, un changement de mot de passe suffit-il ?

                          Le site a été vérifié via le logiciel aeSecure, et toutes les lignes de codes "suspectes" ont été communiquées plus haut. Et il semble que de ce côté là, rien ne semble alarmant.
                          Mais peut-être cette vérification n'est pas suffisante ?

                          Désolée, je peux paraître un peu "néophyte", mais c'est la première fois que j'ai un problème de ce genre, la gestion de serveur m'est entièrement étrangère (c'est pour cela que je n'ai pas de serveur dédié).

                          Merci encore.

                          Commentaire


                          • #14
                            Re : Spam Flooding

                            Après une recherche sur mon manager OVH, 508 e-mails ont été envoyés le 4 juillet (je n'en ai reçu qu'une petite centaine), 193 sont signalés comme étant en erreur. Il n'y a que cette "pointe" d'envoi massif ce jour là. Le reste du temps, c'est calme plat.

                            J'ai changé le mot de passe de l'adresse incriminée, cela ne mange de toute façon pas de pain...

                            Commentaire


                            • #15
                              Re : Spam Flooding

                              Je ne sais pas si cela peut aider mais, dans les logs web, à l'heure de l'attaque, le composant "contact" semble avoir été l'objet d'une attention un peu trop appuyée... des centaines de lignes du genre de celle ci :

                              185.93.185.246 la-motte-en-bauges.com - [04/Jul/2016:20:00:42 +0200] "POST /component/contact/ HTTP/1.1" 404 1842 "http://la-motte-en-bauges.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
                              Cela a duré plusieurs minutes, tout provenant de la même adresse IP "185.93.185.246" (présente 14303 fois ce jour là)

                              Les logs signalent une hausse du volume d'activité anormale.
                              Dernière édition par Christine73 à 06/07/2016, 17h07

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X