Annonce

Réduire
1 sur 2 < >

C'est [Réglé] et on n'en parle plus ?

A quoi ça sert ?
La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
Comment ajouter la mention [Réglé] à votre discussion ?
1 - Aller sur votre discussion et éditer votre premier message :


2 - Cliquer sur la liste déroulante Préfixe.

3 - Choisir le préfixe [Réglé].


4 - Et voilà… votre discussion est désormais identifiée comme réglée.

2 sur 2 < >

Assistance au forum - Outil de publication d'infos de votre site

Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

Installation :

1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

Archive zip : https://github.com/AFUJ/FPA/zipball/master

2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine


Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php

Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php

En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Voir plus
Voir moins

OVH a bloqué mon site

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    Oui je comprends tout à fait qu'ils bloquent le site. Après il faut clairement être armé pour savoir quoi faire. J'ai des notions de base, mais pour ce genre de cas je me sens un peu démuni. Surtout que rien ne me semble anormal (à mon niveau on est bien d'accord !). Donc je vais faire les tests dont on a parlé au-dessus. Mais si rien n'est concluant, je ne vois pas ce qui a bien pu les inquiéter dans ce cas...

    Commentaire


    • #17
      Il arrive que des images incluent du code malicieux, ou encore qu'un fichier soit ailleurs qu'à l'endroit où le robot de détection semble l'avoir localisé :dans le message reçu "Commande apparente : /images/jessie.i386/lib/ld-linux" ne cite pas un fichier mais une commande, qui peut provenir de n'importe où, si je ne me trompe.
      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

      Commentaire


      • #18
        Envoyé par RobertG Voir le message
        Il arrive que des images incluent du code malicieux, ou encore qu'un fichier soit ailleurs qu'à l'endroit où le robot de détection semble l'avoir localisé :dans le message reçu "Commande apparente : /images/jessie.i386/lib/ld-linux" ne cite pas un fichier mais une commande, qui peut provenir de n'importe où, si je ne me trompe.
        Ah ok ce n'est pas forcément un fichier car je le cherchais dans le dossier "images", mais en vain... Du coup la seule solution, c'est de mettre une sauvegarde du site ?

        Commentaire


        • #19
          Je crois qu'il existe un outil de recherche approfondi qui permet de retrouver toutes sortes de choses dans les répertoires ftp, pourquoi pas lancer une recherche sur "jessie" par exemple ?
          "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
          https://www.graphiquedesign-bf.com/

          Commentaire


          • #20
            C'est un fichier, mais il n'est pas forcément dan le dossier images.
            Dans les logs, ce qu'il faut chercher, c'est s'il y a une ligne correspondant à "2017-11-19 00:00:08" qui est apparemment le moment où le script a été lancé et détecté.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

            Commentaire


            • #21
              Envoyé par GraphiqueDesign Voir le message
              Je crois qu'il existe un outil de recherche approfondi qui permet de retrouver toutes sortes de choses dans les répertoires ftp, pourquoi pas lancer une recherche sur "jessie" par exemple ?
              Bonne idée. J'ai effectué la recherche et je suis tombé sur cette discussion sur le forum d'OVH : https://community.ovh.com/t/blocage-...r-hack/5183/14
              Apparemment ce n'est pas un cas isolé et il semblerait que ce soit un "faux positif". Je vais tout de même effectué les tests susmentionnés par acquis de conscience. J'ai demandé à OVH de m'activer à nouveau le service, mais pour l'instant (ça fait 2h), le site est toujours en carafe.

              Dans les logs, ce qu'il faut chercher, c'est s'il y a une ligne correspondant à "2017-11-19 00:00:08" qui est apparemment le moment où le script a été lancé et détecté.
              Je cherche dans les logs, mais je n'ai aucune trace à "2017-11-19 00:00:08" !

              Commentaire


              • #22
                J'ai demandé à OVH de m'activer à nouveau le service, mais pour l'instant (ça fait 2h), le site est toujours en carafe.
                Si tu n'as pas repondu au ticket de leur part, ça va etre compliqué
                Mais tu n'as pas besoin d'attendre leur reponse, tu peux lancer la commande de ton FTP
                c'est expliqué dans le lien d'Ovh ... tout en bas
                Jday 2018 - 18/19 Mai !!! J'y serai ... et vous ?

                Commentaire


                • #23
                  Après avoir récupéré le site via FTP, j'ai lancé MalwareByte's et il n'a rien trouvé. Après avoir réactivé le site (merci manu93fr), j'ai testé aeSecure et il ne semble avoir rien trouvé également.

                  Entre temps, j'ai eu une réponse d'OVH. Le technicien me précise qu'en effet il n'y a pas d'indication d'une opération lancée à 0:00:08. Par contre, il me demande de vérifier les dernières lignes de logs à la date du 18/11. Pour ma part, et avec mon peu de connaissances, je ne vois rien de suspect. Peut-être y verrez-vous quelque chose avec votre regarde plus affûté. Je vous mets les derniers logs ci-dessous :

                  217.182.132.86 cryptoseries.fr - [18/Nov/2017:23:48:05 +0100] "GET /actualites/casting/itemlist/tag/Judy%20Carne HTTP/1.1" 200 10099 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.96 www.cryptoseries.fr - [18/Nov/2017:23:49:29 +0100] "GET /buffy-contre-les-vampires-personnages/item/118-cordelia-chase HTTP/1.1" 200 12215 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.52 cryptoseries.fr - [18/Nov/2017:23:49:43 +0100] "GET /series/itemlist/tag/The%20Lizzie%20Borden%20Chronicles HTTP/1.1" 200 10025 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  87.123.225.146 www.cryptoseries.fr - [18/Nov/2017:23:49:54 +0100] "GET /wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
                  87.123.225.146 www.cryptoseries.fr - [18/Nov/2017:23:49:54 +0100] "GET /images/maquette/page-404.html HTTP/1.1" 200 474 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
                  87.123.225.146 www.cryptoseries.fr - [18/Nov/2017:23:49:54 +0100] "GET / HTTP/1.1" 200 70051 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
                  217.182.132.186 www.cryptoseries.fr - [18/Nov/2017:23:50:48 +0100] "GET /sliders-les-mondes-paralleles-personnages/item/876-quinn-mallory-mallory HTTP/1.1" 200 12412 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.16 cryptoseries.fr - [18/Nov/2017:23:50:48 +0100] "GET /freakylinks-personnages/itemlist/tag/Drame?start=70 HTTP/1.1" 200 12814 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.62 cryptoseries.fr - [18/Nov/2017:23:50:52 +0100] "GET /kitchen-confidential-saison/item/549-saison-1 HTTP/1.1" 200 13404 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.2 cryptoseries.fr - [18/Nov/2017:23:52:20 +0100] "GET /series/genres/drame/itemlist/tag/John%20Doe HTTP/1.1" 200 11619 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  68.180.229.54 www.cryptoseries.fr - [18/Nov/2017:23:52:36 +0100] "GET /series/itemlist/category/66-g HTTP/1.1" 200 13646 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
                  164.132.161.40 cryptoseries.fr - [18/Nov/2017:23:53:20 +0100] "GET /meadowlands-personnages/item/608-tom-tyrell HTTP/1.1" 200 12220 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  157.55.39.94 www.cryptoseries.fr - [18/Nov/2017:23:53:54 +0100] "GET /actualites/rip/item/1289-la-derniere-mission-de-martin-landau HTTP/1.1" 200 14514 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
                  157.55.39.94 www.cryptoseries.fr - [18/Nov/2017:23:53:55 +0100] "GET /series/item/961-seth-cohen HTTP/1.1" 200 12546 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
                  157.55.39.94 www.cryptoseries.fr - [18/Nov/2017:23:53:56 +0100] "GET /casting/itemlist/tag/France HTTP/1.1" 200 12084 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
                  157.55.39.94 www.cryptoseries.fr - [18/Nov/2017:23:53:58 +0100] "GET /casting/itemlist/tag/dawson HTTP/1.1" 200 12311 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
                  157.55.39.94 www.cryptoseries.fr - [18/Nov/2017:23:53:59 +0100] "GET /actualites/rip/itemlist/user/645-chewy?start=70 HTTP/1.1" 200 13874 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
                  164.132.161.21 cryptoseries.fr - [18/Nov/2017:23:51:18 +0100] "GET /harper-s-island-personnages/itemlist/tag/Bradley%20Whitford HTTP/1.1" 200 10144 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.183 cryptoseries.fr - [18/Nov/2017:23:52:09 +0100] "GET /actualites/resurrection/itemlist/tag/Barbara%20Hale HTTP/1.1" 200 10056 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  137.74.201.108 cryptoseries.fr - [18/Nov/2017:23:52:09 +0100] "GET /occupation-personnages/itemlist/tag/3eme%20planete%20apres%20le%20soleil?start=20 HTTP/1.1" 200 11077 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.81 cryptoseries.fr - [18/Nov/2017:23:53:16 +0100] "GET /hex-la-malediction-saisons/itemlist/tag/Drame?start=100 HTTP/1.1" 200 12721 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.95 cryptoseries.fr - [18/Nov/2017:23:53:24 +0100] "GET /john-doe-personnages/itemlist/tag/Friends?start=20 HTTP/1.1" 200 10801 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.71.111 www.cryptoseries.fr - [18/Nov/2017:23:53:30 +0100] "GET /series/genres/science-fiction/itemlist/tag/Policier?start=20 HTTP/1.1" 200 13546 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.57 www.cryptoseries.fr - [18/Nov/2017:23:54:05 +0100] "GET /series/itemlist/tag/Castle HTTP/1.1" 200 10908 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.77 www.cryptoseries.fr - [18/Nov/2017:23:54:08 +0100] "GET /profit-personnages/item/770-bobbi HTTP/1.1" 200 12187 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.71.121 www.cryptoseries.fr - [18/Nov/2017:23:54:32 +0100] "GET /series/item/146-davis-draper HTTP/1.1" 200 12129 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.47 cryptoseries.fr - [18/Nov/2017:23:54:42 +0100] "GET /series/itemlist/tag/Selfie HTTP/1.1" 200 10042 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.6 cryptoseries.fr - [18/Nov/2017:23:54:17 +0100] "GET /series/decennies/annees-80/itemlist/tag/Ann%C3%A9es%2080 HTTP/1.1" 200 12152 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.64 cryptoseries.fr - [18/Nov/2017:23:54:18 +0100] "GET /a-la-decouverte-de/itemlist/tag/Ann%C3%A9es%202010?start=50 HTTP/1.1" 200 12519 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  68.180.229.54 www.cryptoseries.fr - [18/Nov/2017:23:55:00 +0100] "GET /actualites/une-semaine-dans-la-crypte/item/1302-adieu-class-blood-drive-et-dark-matter-et-bonjour-starsky-et-hutch HTTP/1.1" 200 12765 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 164.132.161.38 www.cryptoseries.fr - [18/Nov/2017:23:55:32 +0100] "GET /generation-kill-personnages/item/375-capitaine-dave-capitaine-america-mcgraw HTTP/1.1" 200 12374 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.6 cryptoseries.fr - [18/Nov/2017:23:56:00 +0100] "GET /nip-tuck-personnages/itemlist/tag/%C3%89tats%20Unis?limitstart=0 HTTP/1.1" 200 11878 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  207.46.13.183 www.cryptoseries.fr - [18/Nov/2017:23:56:32 +0100] "GET /series/itemlist/category/11-comedie HTTP/1.1" 200 18976 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 51.255.65.90 cryptoseries.fr - [18/Nov/2017:23:57:07 +0100] "GET /actualites/sorties-dvd-blu-ray/itemlist/tag/Keith%20Allen HTTP/1.1" 200 9995 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.90 cryptoseries.fr - [18/Nov/2017:23:58:26 +0100] "GET /series/pays-d-origine/itemlist/tag/Ann%C3%A9es%202000?start=10 HTTP/1.1" 200 13974 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.58 cryptoseries.fr - [18/Nov/2017:23:58:39 +0100] "GET /actualites/bienvenue-dans-la-crypte/itemlist/user/645-chewy?start=160 HTTP/1.1" 200 14538 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.90 cryptoseries.fr - [18/Nov/2017:23:58:51 +0100] "GET /friends-saisons/itemlist/tag/Buffy%20contre%20les%20vampires?limitstart=0 HTTP/1.1" 200 13279 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.6 cryptoseries.fr - [18/Nov/2017:23:59:03 +0100] "GET /actualites/resurrection/itemlist/tag/Royaume%20Uni?start=20 HTTP/1.1" 200 13509 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.60 cryptoseries.fr - [18/Nov/2017:23:59:04 +0100] "GET /actualites/a-la-decouverte-de/itemlist/user/645-chewy?start=360 HTTP/1.1" 200 13856 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  68.180.229.54 www.cryptoseries.fr - [18/Nov/2017:23:59:13 +0100] "GET /univers-des-series/partenaires HTTP/1.1" 200 11630 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
                  164.132.161.34 www.cryptoseries.fr - [18/Nov/2017:23:59:13 +0100] "GET /series/genres/drame/itemlist/tag/Com%C3%A9die?start=70 HTTP/1.1" 200 13091 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.74 cryptoseries.fr - [18/Nov/2017:23:59:15 +0100] "GET /generation-kill-personnages/itemlist/tag/Deception HTTP/1.1" 200 10262 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.88 www.cryptoseries.fr - [18/Nov/2017:23:59:37 +0100] "GET /actualites/une-semaine-dans-la-crypte/itemlist/tag/Magnum HTTP/1.1" 200 11812 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.22 cryptoseries.fr - [18/Nov/2017:23:59:38 +0100] "GET /actualites/itemlist/category/285-une-semaine-dans-la-crypte?start=50 HTTP/1.1" 200 13228 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.16 www.cryptoseries.fr - [18/Nov/2017:23:59:41 +0100] "GET /actualites/casting/item/3-le-jag-en-pere-de-famille HTTP/1.1" 200 12797 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.19 cryptoseries.fr - [18/Nov/2017:23:55:02 +0100] "GET /veronica-mars-saisons HTTP/1.1" 200 11086 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.5 www.cryptoseries.fr - [18/Nov/2017:23:55:24 +0100] "GET /series/item/583-saison-2 HTTP/1.1" 200 14978 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.71 www.cryptoseries.fr - [18/Nov/2017:23:55:38 +0100] "GET /haunted-personnages/itemlist/tag/%C3%89tats%20Unis?start=190 HTTP/1.1" 200 12848 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  217.182.132.61 cryptoseries.fr - [18/Nov/2017:23:56:13 +0100] "GET /itemlist/tag/Warren%20Frost HTTP/1.1" 200 10353 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  137.74.203.194 cryptoseries.fr - [18/Nov/2017:23:56:18 +0100] "GET /series/item/316-freakylinks HTTP/1.1" 200 14259 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  137.74.207.110 cryptoseries.fr - [18/Nov/2017:23:56:30 +0100] "GET /actualites/a-la-decouverte-de/itemlist/tag/Mark%20Addy HTTP/1.1" 200 10026 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  51.255.65.45 www.cryptoseries.fr - [18/Nov/2017:23:56:42 +0100] "GET /code-quantum-personnages/itemlist/tag/Drame?start=80 HTTP/1.1" 200 13867 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.45 cryptoseries.fr - [18/Nov/2017:23:57:28 +0100] "GET /hex-la-malediction-personnages/itemlist/tag/Van%20Helsing HTTP/1.1" 200 10256 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.162.158 www.cryptoseries.fr - [18/Nov/2017:23:58:01 +0100] "GET /series/genres/science-fiction/itemlist/tag/Ann%C3%A9es%202000?start=20 HTTP/1.1" 200 13609 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
                  164.132.161.95 cryptoseries.fr - [18/Nov/2017:23:58:41 +0100] "GET /harper-s-island-personnages/itemlist/tag/Les%20Envahisseurs HTTP/1.1" 200 10666 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)
                  Et le dernier log en POST de la journée est celui-ci :
                  185.204.1.62 cryptoseries.fr - [18/Nov/2017:20:00:38 +0100] "POST /index.php HTTP/1.1" 500 - "http://cryptoseries.fr/index.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
                  Merci.
                  Dernière édition par Chewy à 19/11/2017, 19h26

                  Commentaire


                  • #24
                    Bonsoir

                    A l'oeil nu, les lignes du log ci-dessus ne me parraissent pas anormales.

                    On voit juste un GET wp-login.php qui démontre juste qu'un script a tenté de se connecter sur ce fichier-là (qui n'existe pas sur un Joomla) et donc ton site a été la cible "au petit bonheur la chance' d'une attaque mais sans succès.

                    Hormis cette ligne, je n'ai rien vu.

                    Si OVH indique toutefois avoir détecté une trace, un script exécuté dans /images (qui serait à la racine du serveur et non à la racine du site), je ne peux que présumer qu'ils savent de quoi ils parlent. Toutefois, dans ce que tu as posté, à l'oeil nu une fois encore, je n'ai perso rien vu.

                    GraphiqueDesign te parle d'un outil permettant de lancer des recherches, en ligne, sur ton site. Un tel outil est disponible ici : https://github.com/cavo789/joomla_fr...r/src/php_grep.

                    Pour en revenir au hack probable (et je présume réel car OVH fait rarement des fausses alertes à ma connaissance), peut-être pourrais-tu juste remonter un backup de ton site.

                    Sinon, demande plus d'informations à OVH comme un chemin précis vers un script à priori malsain.

                    Note : dans le dossier /images de ton site Joomla, en principe, tu ne dois jamais trouver de fichiers exécutables. Cela peut être des fichiers avec les extensions .php ou .sh. Si tu en trouves, il ya de très fortes chances (=ce n'est pas un certitude), qu'il s'agisse de virus.

                    Bonne soirée.
                    Christophe (cavo789)
                    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                    Venez rencontrer la communauté francophone à l'occasion du JoomlaDay 2018 qui se tiendra les 18 et 19 mai 2018. Plus d'infos sur https://www.joomladay.fr

                    Commentaire


                    • #25
                      Bonsoir cavo789 et merci pour ta réponse.
                      J'ai réalisé quelques recherches sur mon site, mais rien ne ressort... J'ai alerté OVH en leur disant que rien de concret ne ressortait des logs. De leur côté, ils ont lancé un scan sur le site et doivent revenir vers moi. Je vous en dis plus dès que j'ai un retour de leur part.
                      Et bien noté pour la "note" sur le dossier /images
                      Merci à tous pour votre aide et je vous tiens au courant...

                      Commentaire


                      • #26
                        Bonsoir tout le monde.

                        OVH est revenu vers moi et ils n'ont rien trouvé de probant suite à des scans effectués. Ils m'ont demandé de vérifier les logs des heures que nous avions déjà identifiées, mais comme on avait pu le voir, rien d'étrange ne ressortait.
                        Donc le site est en ligne, ils m'ont dit qu'on laissait comme ça en espérant que le robot ne bloquera pas le site prochainement. Je croise les doigts.
                        Je tiens à tous vous remercier pour votre aide. Vraiment un très bonne communauté Joomla

                        Petite question subsidiaire. Est-ce qu'il existe des plugins qui me permettraient peut-être de protéger un peu mieux mon site ? Peut-être qu'un plugin n'est pas la solution, mais je ne sais pas si je n'ai pas commis d'impair lors de la conception du site. Donc voir s'il n'y aurait pas des manquements en termes de sécurité...

                        Merci.

                        Commentaire

                        Travaille ...
                        X