Un script malveillant a été détecté sur votre hébergement

PascalG16 2019-03-16 10:18:31 UTC #1

Bonjour, Voici l'email que j'ai reçu hier de la part d'OVH.
J'ai bien évidemment essayé de les contacter, par chat, le technicien m'a demandé de téléphoner au 1007 qui lui même est surchargé d'appels.

Email :
X-Ovh-Section: mutu

Bonjour,
Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : *****.eu
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : pure-ftpd (UPLOAD)
Exécutable utilisé : /homez.***/*****/usr/sbin/pure-ftpd
Horodatage: 2019-03-15 10:35:14

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

Comme j'ai dit hier par email et par chat, je n'ai pas accès aux répertoires systèmes /homez.***/nomdedomaine/usr/sbin/pure-ftpd
Pour info, j'ai un herbergement "perso2014"
S'il y a bien un script malveillant, je n'en suis pas l'auteur car seul OVH y a accès.
Merci à OVH de supprimer se soit disant scipt.

Merci aux personnes pouvant m'aider.

kyodev 2019-03-16 10:56:32 UTC #2

quelle adresse le site?

tu n'as pas l'air d'avoir tout compris:

Ovh est un hébergeur généraliste, et te fournit un hébergement
toi tu es SEUL responsable du contenu, si tu ne gères pas ton contenu (en général les mises à jours d'un CMS) tu te fais pirater, sans que Ovh en soit responsable
c'est donc à toi de rectifier ou faire rectifier ton infection

ce n'est pas en cachant le peu d'informations techniques que tu vas aider...

PascalG16 2019-03-16 11:52:21 UTC #3

Je ne vais pas donner l'adresse de mon site perso car comme son nom l'indique il est perso.
A moins que je ne me trompe, je ne vois pas le rapport avec un CMS puisqu'il s'agit d'un répertoire système d'un linux ou je n'ai pas accès.
Mon site est un WordPress 5.0.4 est a été automatiquement mise à jour le 13 mars.
Seul l'accès FTP a été laissé ouvert par OVH et par le FTP je n'ai accès uniquement au répertoire www du module wordpress.
Je ne suis pas administrateur du système fourni par OVH avec l'offre Perso2014.

kyodev 2019-03-16 12:00:57 UTC #4

pour ton info ton CMS = Wordpress
Wordpress à jour c'est 5.1
avec le ftp tu as accès À TOUT
tu es le seul responsable de ton home fourni par Ovh

bonne chance si tu persistes à croire l'inverse

EricB19 2019-03-16 12:01:44 UTC #5

Les personnes malintentionnés ont en ligne de mire des sites Web mal protégés auxquels ils s’attaquent pour toutes sortes de raisons allant du spam à l’envoi d’e-mails de hameçonnage, ou à l’exécution d’attaques par déni de service distribué (DDoS).

OVH fait sont boulot, il protège l'ensemble des autres mutualisés et bloque l'accès au site, jusqu'a ce que trouves toi meme l'origine de la faille, ou du script malveillant.

Tu te trompes.

PascalG16 2019-03-16 12:14:28 UTC #6

Merci les gars pour les infos, je vais chercher dans les logs.
Comme je gère le site uniquement par l'interface web et nom directement par les fichiers, cela va être difficile.
Merci encore

PascalG16 2019-03-18 08:45:35 UTC #7

J'ai récupéré l'intégralité de mon site en sftp vers mon ordi perso puis j'ai supprimé tout de mon hébergement OVH est pourtant l'accès est toujours bloqué par OVH.

Forbidden

You don't have permission to access / on this server.
Server unable to read htaccess file, denying access to be safe

Quand vais-je récupéré mon accès ?

kyodev 2019-03-18 08:55:20 UTC #8

de mémoire, si tu lis le mail envoyé, tu dois rétablir les droits de la racine (755) et le robot réactivera au prochain passage

https://docs.ovh.com/fr/hosting/site-ferme-pour-hack/#etape-3-reactiver-votre-hebergement-web_1

AntoineB1 2019-03-18 09:04:21 UTC #9

Bonjour,

Le blocage pure-ftpd (UPLOAD),c'est lorsqu'il y a des opérations ftp en mode actif sur un port aléatoire.

Il faut trouver cet outil, le configurer sur le port 22 / 21 et ça ira mieux ensuite.

C'est plutôt les logs ftp qui vont aider.

Cordialement AntoineB1
Team Support Web

PascalG16 2019-03-18 10:31:26 UTC #10

Effectivement,
Les droits en 755 au lieu de 750 ont fait toute la différence. Je ne sais pas pourquoi car je n'avais pas modifié les droits.
Le port du ftp n'a rien changé
Merci messieurs

kyodev 2019-03-18 11:27:11 UTC #11

antoine te disait que c'est un souci de port Ftp, à la base, à priori

les droits sont changés par Ovh lors de la désactivation

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.