Invasion de mails par un site étranger

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Invasion de mails par un site étranger

    Bjr à tous, quelqu'un peut-il m'aider, j'ai un site pour une amicale, dernière version de Joomla à jour. Depuis hier, je suis inondé, des milliers de mails arrivent sur le site en provenance d'un site chinois qq.com, OVH, notre hébergeur a bloqué les mails sur le site, mais cela a l'air de continuer, j'ai bloqué tous les formulaires, je vais supprimer toutes les adresses mails, il y a toujours autant "d'invités" sur le site. Quelqu'un peut-il me donner un conseil. Merci à l'avance.
    Dernière édition par René94 à 16/09/2017, 08h25

  • #2
    Re : SOS urgent

    Bonjour,

    [MODO]Merci de modifier le titre de votre post. Nous ne sommes pas une hotline. La notion d'urgence n'existe pas. Le titre doit refléter le problème rencontré[/modo]

    Pour votre souci, il faut trouver l'extension que vous avez installer qui a servi et sert de point d'entrée : un formulaire, un livre d'or, ...
    UP, le plugin universel à découvrir sur https//up.lomart.fr
    bgMax
    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

    Commentaire


    • #3
      Re : SOS urgent

      Merci de votre réponse, je n'ai rien installé de plus depuis longtemps, j'utilise Joomla quasiment sans module supplémentaire sauf acymailing, les formulaires que j'utilise sont ceux des contacts Joomla et je les ai bloqués depuis hier.

      Commentaire


      • #4
        Re : Invasion de mails par un site étranger

        Si je comprends bien, ce ne sont pas des mails qui arrivent, mais des mails qui partent du site, car le site lui-même ne peut en aucun cas recevoir des mails, sauf si une extension particulière y était installée pour le transformer en webmail.

        Les seules hypothèses que je vois sont, si OVH a bloqué les mails sortants, que, simplement, l'émetteur simule une adresse provenant du site, ou encore que l'envoi de mails passe par un compte SMTP autre qu'OVH donc échappe au blocage de PHP mail.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Re : Invasion de mails par un site étranger

          Je vais essayer d'être le plus clair possible, je viens de contacter OVH, si j'ai bien compris, un formulaire du site est rempli avec des adresses bidons (exemple 11111@qq.com), ces adresses n'existent pas, il y en a eu plusieurs milliers, j'ai ajouté un captcha sur les formulaires mais seulement hier après-midi, j'ai supprimé toutes les boites aux lettres du site et arrêté tous les formulaires. J'attends des nouvelles d'OVH qui doit vérfier avant de débloquer les mails.

          Commentaire


          • #6
            Re : Invasion de mails par un site étranger

            je vais supprimer toutes les adresses mails, il y a toujours autant "d'invités" sur le site.
            Vous voulez dire de gens qui s'inscrivent ? que vous retrouver dans la liste des utilisateur
            UP, le plugin universel à découvrir sur https//up.lomart.fr
            bgMax
            , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

            Commentaire


            • #7
              Re : Invasion de mails par un site étranger

              Voici la réponse d'OVH :
              Après scan de votre espace ftp, je constate qu'il y a toujours des fichiers suspects. Voici les détails :
              ===

              "www/media/jwadvanced/player/6/jwplayer.html5.js"
              "category": "suspicious"

              "www/video_histoire/jw/jwplayer.html5.js"
              "category": "suspicious"

              "www/plugins/content/jw_allvideos/jw_allvideos/includes/js/jwplayer/jwplayer.html5.js"
              "category": "suspicious"

              ===
              [/I][/I]

              Je vais supprimer jwplayer

              Commentaire


              • #8
                Re : Invasion de mails par un site étranger

                Non, les inscriptions ne se font pas automatiquement. Ce ne sont que des formulaires pour contacter l'Amicale et laisser des messages, cela ne fait rien d'autres.

                Commentaire


                • #9
                  Re : Invasion de mails par un site étranger

                  L'inscription est-elle bien désactivée dans les paramètres généraux de la gestion des utilisateurs ? car si je comprends bien, si vous avez des tas d"invités", ce sont bien des inscriptions, validées ou pas, ce qui voudrait dire que soit il y a piratage et inscription directe dans la base mais il devrait alors y avoir des inscriptions avec des statuts plus élevés, soit les inscriptions sont toujours autorisées (même s'il n'y a pas de lien visible pour ça sur le site).
                  "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                  MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                  Commentaire


                  • #10
                    Re : Invasion de mails par un site étranger

                    L'inscription est bien désactivée, ce sont des gens (des robots) qui utilisent un formulaire du site pour envoyer des messages, le formulaire est bloqué, OVH m'a indiqué en vérifiant une adresse connectée sur le site, que cela venait de Hong Kong, et que le site renvoyait l'erreur 404 à l'utilisateur, ils vont bien finir par se rendre compte que c'est inutile de continuer. A 1re vue, ce n'est pas un acte de piratage mais de saturation mais pourquoi ? Je ne comprends pas, le site est un site d'une amicale de retraités. Dans les premiers mails, il y avait de temps en temps un message en anglais, le texte du message ne voulait rien dire et devait être extrait d'un livre.

                    Commentaire


                    • #11
                      Re : Invasion de mails par un site étranger

                      Bonjour

                      Avez-vous un formulaire de contact sur votre site ? J'ai vu passé une info hier que ce type de formulaire était actuellement victime d'une campagne de spam justement par qq.com.

                      Si c'est le cas désactivez ce formulaire et dans le futur installez un captcha.

                      Bonne journée
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : Invasion de mails par un site étranger

                        Il faut être plus précis. Vous avez d'abord parlé de mails reçus (et comme je l'ai dit, le site lui-même ne peut en recevoir), puis de nombreux "invités" (or les "invités" sont une catégorie de visiteurs définie dans la gestion des utilisateurs), et maintenant vous revenez à l'utilisation d'un formulaire, il y a de quoi se perdre et ne pas arriver à comprendre et vous aider.
                        S'il s'agit d'attaque par tentative d'ouverture de pages n'existant pas sur le site (cas très fréquent, les robots se moquant de savoir si les site est sous Joomla! et tentant d'ouvrir des pages d'autres CMS, par exemple), cela n'a pas de relation avec un formulaire ni avec des mails, et ça se signale en effet par des erreurs 404 de page non trouvée.

                        L'installation d'aeSecure en version Premium, avec paramétrage pour bloquer les accès de robots connus, pourrait être une solution pour se prémunir de telles attaques. Un blocage par OVH des IP qui attaquent en nombre est peut-être aussi une solution, mais j'ignore s'ils le font...
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                        Commentaire


                        • #13
                          Re : Invasion de mails par un site étranger

                          Envoyé par RobertG Voir le message
                          Il faut être plus précis. Vous avez d'abord parlé de mails reçus (et comme je l'ai dit, le site lui-même ne peut en recevoir), puis de nombreux "invités" (or les "invités" sont une catégorie de visiteurs définie dans la gestion des utilisateurs), et maintenant vous revenez à l'utilisation d'un formulaire, il y a de quoi se perdre et ne pas arriver à comprendre et vous aider.
                          S'il s'agit d'attaque par tentative d'ouverture de pages n'existant pas sur le site (cas très fréquent, les robots se moquant de savoir si les site est sous Joomla! et tentant d'ouvrir des pages d'autres CMS, par exemple), cela n'a pas de relation avec un formulaire ni avec des mails, et ça se signale en effet par des erreurs 404 de page non trouvée.

                          L'installation d'aeSecure en version Premium, avec paramétrage pour bloquer les accès de robots connus, pourrait être une solution pour se prémunir de telles attaques. Un blocage par OVH des IP qui attaquent en nombre est peut-être aussi une solution, mais j'ignore s'ils le font...
                          Merci de votre réponse, sur le site il y a plusieurs formulaires de contact (c'est vrai c'était sans captcha) qui permettaient aux visiteurs du site, inscrits ou pas, d'envoyer des messages que je recevais dans ma bàl. J'ai supprimé toutes les adresses du site, j'ai bloqué les contacts qui me permettaient d'afficher les formulaires. OVH m'a indiqué que la saisie se faisait à Hong Kong, ils avaient plusieurs adresses IP mais ne pouvaient rien faire. Désolé si je ne suis pas assez clair.

                          Commentaire


                          • #14
                            Re : Invasion de mails par un site étranger

                            Envoyé par cavo789 Voir le message
                            Bonjour

                            Avez-vous un formulaire de contact sur votre site ? J'ai vu passé une info hier que ce type de formulaire était actuellement victime d'une campagne de spam justement par qq.com.

                            Si c'est le cas désactivez ce formulaire et dans le futur installez un captcha.

                            Bonne journée
                            Merci. J'ai bien plusieurs formulaires de contact comme je l'ai indiqué dans ma réponse à RobertG. Ils sont pour l'instant désactivés mais j'ai depuis installé un captcha quand je remettrai les formulaires en activation, actuellement, les personnes reçoivent une erreur 404 à chaque tentative.

                            Commentaire


                            • #15
                              Re : Invasion de mails par un site étranger

                              Sincèrement désolé, je ne savais pas. Merci de votre réponse. L'attaque continue toujours, le formulaire qui doit leur servir est fermé, OVH m'a indiqué que les personnes qui l'utilisent reçoivent une erreur 404, j'ai remis un nouveau formulaire avec captcha en route depuis peu, et jusqu'à présent il ne se passe rien. Encore merci.
                              Dernière édition par René94 à 17/09/2017, 13h46

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X