Un script malveillant a été détecté sur votre hébergement
... / Un script malveillant a é...
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Un script malveillant a été détecté sur votre hébergement

Par
PascalG16
Créé le 2019-03-16 10:18:31 (edited on 2024-09-04 13:45:09) dans Hébergement Web-old

Bonjour, Voici l'email que j'ai reçu hier de la part d'OVH.
**J'ai bien évidemment essayé de les contacter, par chat, le technicien m'a demandé de téléphoner au 1007 qui lui même est surchargé d'appels.**

_Email :_
X-Ovh-Section: mutu

Bonjour,
Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : *****.eu
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : pure-ftpd (UPLOAD)
Exécutable utilisé : /homez.***/*****/usr/sbin/pure-ftpd
Horodatage: 2019-03-15 10:35:14

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

Comme j'ai dit hier par email et par chat, je n'ai pas accès aux répertoires systèmes /homez.***/nomdedomaine/usr/sbin/pure-ftpd
Pour info, j'ai un herbergement "perso2014"
S'il y a bien un script malveillant, je n'en suis pas l'auteur car seul OVH y a accès.
Merci à OVH de supprimer se soit disant scipt.

Merci aux personnes pouvant m'aider.


5 réponses ( Latest reply on 2019-03-18 11:27:11 Par
kyodev
)

quelle adresse le site?

tu n'as pas l'air d'avoir tout compris:

* Ovh est un hébergeur généraliste, et te fournit un hébergement
* toi tu es **SEUL** responsable du contenu, si tu ne gères pas ton contenu (en général les mises à jours d'un CMS) tu te fais pirater, sans que Ovh en soit responsable
c'est donc **à toi** de rectifier ou faire rectifier ton infection

ce n'est pas en cachant le peu d'informations techniques que tu vas aider...

Je ne vais pas donner l'adresse de mon site perso car comme son nom l'indique il est perso.
A moins que je ne me trompe, je ne vois pas le rapport avec un CMS puisqu'il s'agit d'un répertoire système d'un linux ou je n'ai pas accès.
Mon site est un WordPress 5.0.4 est a été automatiquement mise à jour le 13 mars.
Seul l'accès FTP a été laissé ouvert par OVH et par le FTP je n'ai accès uniquement au répertoire www du module wordpress.
Je ne suis pas administrateur du système fourni par OVH avec l'offre Perso2014.

pour ton info ton CMS = Wordpress
Wordpress à jour c'est 5.1
avec le ftp tu as accès **À TOUT**
tu es le seul responsable de ton home fourni par Ovh

bonne chance si tu persistes à croire l'inverse


Merci à OVH de supprimer se soit disant scipt.


Les personnes malintentionnés ont en ligne de mire des sites Web mal protégés auxquels ils s’attaquent pour toutes sortes de raisons allant du spam à l’envoi d’e-mails de hameçonnage, ou à l’exécution d’attaques par déni de service distribué (DDoS).

OVH fait sont boulot, il protège l'ensemble des autres mutualisés et bloque l'accès au site, jusqu'a ce que trouves toi meme l'origine de la faille, ou du script malveillant.


A moins que je ne me trompe, je ne vois pas le rapport avec un CMS


Tu te trompes.

Merci les gars pour les infos, je vais chercher dans les logs.
Comme je gère le site uniquement par l'interface web et nom directement par les fichiers, cela va être difficile.
Merci encore

J'ai récupéré l'intégralité de mon site en sftp vers mon ordi perso puis j'ai supprimé tout de mon hébergement OVH est pourtant l'accès est toujours bloqué par OVH.

-------------------------------------------------------------------------------------
Forbidden

You don't have permission to access / on this server.
Server unable to read htaccess file, denying access to be safe
-------------------------------------------------------------------------------------
Quand vais-je récupéré mon accès ?

de mémoire, si tu lis le mail envoyé, tu dois rétablir les droits de la racine (755) et le robot réactivera au prochain passage

https://docs.ovh.com/fr/hosting/site-ferme-pour-hack/#etape-3-reactiver-votre-hebergement-web_1

Bonjour,

Le blocage pure-ftpd (UPLOAD),c'est lorsqu'il y a des opérations ftp en mode actif sur un port aléatoire.

Il faut trouver cet outil, le configurer sur le port 22 / 21 et ça ira mieux ensuite.

C'est plutôt les logs ftp qui vont aider.

Cordialement AntoineB1
Team Support Web

Effectivement,
Les droits en 755 au lieu de 750 ont fait toute la différence. Je ne sais pas pourquoi car je n'avais pas modifié les droits.
Le port du ftp n'a rien changé
Merci messieurs

antoine te disait que c'est un souci de port Ftp, à la base, à priori

les droits sont changés par Ovh lors de la désactivation