Bonjour,
J'ai reçu cet avertissement de piratage ce soir, après l'avoir reçu une première fois il y a un mois.
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php5.6/lib/php-extensions:/images/x86.r3/lib php-fpm: pool locautodab
Exécutable utilisé : /bin/bash
Horodatage: 2017-08-24 09:25:03
L'hébergement supporte quelques sites WordPress et un site MakoLab, mais dans aucun il n'existe de dossier /images/x86.r3/lib/
Les logs ne montrent rien d'étrange non plus a priori...
Il y a un mois, rétablir les permissions à 705 / avait suffit à relancer les sites et rien ne s'était passé depuis. Je viens de faire la même chose, et jusqu'à présent tout va bien, mais j'imagine qu'il doit néanmoins y avoir un problème quelque part...
Comment identifier la source du problème et le corriger ?
Merci.
Hébergement piraté
Related questions
- [RESOLU] Server unable to read htaccess file, denying access to be safe
74141 
24.11.2019 19:11
- Version php 7.0 sur Ovh mais php 5.4.45 sur mon wordpress
68773 10.01.2019 11:14
- Effacer wordpress d'OVH et reinstaller
68108 08.09.2019 21:02
- Comment récupérer son mot de passe phpmyadmin ?
67433 14.11.2016 10:32
- Ne supporte pas FTP sur TLS
64836 11.12.2018 18:48
- Changer la version d'une base de donnée en mutualisé
64782 22.12.2016 11:46
- Résiliation hébergement
64677 27.07.2018 10:39
- Variable upload_max_filesize plus grande que post_max_size
57056 11.06.2017 16:01
- Résiliation hébergement+domaine
56392 11.09.2018 20:28
- Transfert hebergement et domaine .fr entre client OVH ?
54696 21.12.2016 15:10
Bonjour,
visiblement un de vos site a un fichier PHP qui exécute du bash.
De plus au bout d'un moment OVH va vous bloquer pour de bon avec un déblocage par un admin voir une rupture de contrat, donc à votre place je ferais attention au déblocage sans aucun correction/analyse du problème.
Cordialement, janus57
D'où le sens de ma question :
Comment identifier le fichier en question... ?
Bonjour,
il faut vérifier la présence de "/bin/bash" dans un de vos fichiers, OVH ne donnant pas plus d'information.
Cordialement, janus57
Merci. C'est déjà fait et malheureusement je n'ai trouvé ce /bin/bash nulle part...
Avez vous vérifier si vous avez des decode, eval et etc..
Mais encore plus simple à faire, est ce que tous les wordpress sont à jour ?
Les WordPress sont tous évidemment à jour, et l'ont toujours été, plugins et thèmes inclus.
Ça par contre j'ignore comment faire...Tu peux télécharger tous les fichiers sur ton ordinateur ouvrir avec notepadd++ et faire rechercher dans tous les fichiers.
Télécharge tout le contenu de /www sur ton PC
Puis recherche avec : http://www.clubic.com/telecharger-fiche67018-super-finder-xt.html
La fonction recherche de Notepad++ fait très bien l'affaire. Et tu as en prime un éditeur très puissant.
Bonjour,
+1 pour notepad++, je fait des recherche sur 2.5K fichiers en quelques minutes (-2 minutes)
Cordialement, janus57
Merci pour ces conseils.
Je n'ai pas compris ; une fois les fichiers chargés, qu'est-ce que je dois chercher précisément ?
Par ailleurs OVH a fait un scan sur l'hébergement et voici ses conclusions :
"domaine1/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine2/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine3/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine4/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine5/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine6/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo
"domaine7/wp-content/plugins/sitepress-multilingual-cms/locale/sitepress-he_IL.mo"
Merci.
Tu ouvres notepad ++
Tu fais CTRL F
Rechercher dans les fichiers d'un dossier
dans recherche sur mets par exemple include ou eval
et dans "dossier" tu sélectionnes le chemin vers le domaine où tu as stockés tes fichiers.
Après tu appuies sur Trouver Tout.
tu attends quelques secondes le temps que notepad++ scanne tous tes fichiers.
Tu as le résultat en bas de la page.
Bonjour,
et vous avez vérifie le contenu du fichier pour voir si il est légitime ?
Si oui il faut le remonter à OVH comme un faux-positif.
Si non et que le contenu a été modifié, alors un de vos site a été infecté et cela a pu se propager aux autres vu qu'il partage le même espace disque/fichiers/ftp.
Cordialement, janus57
Bonjour @JosephF1 j'ai reçu le même avertissement avec le même message ("commande apparente" identique) et je n'ai rien trouvé dans les fichiers incriminés. Avez-vous trouvé quelque chose de votre côté ? Ou alors il s'agit de faux positifs (très regrettables le cas échéant) ?
Lien vers le sujet spécifique à mon problème : https://community.ovh.com/t/blocage-de-lhebergement-mais-etat-du-service-actif-je-suis-perdu/4898
Effectivement, OVH m'avait finalement confirmé un faux positif.
Mais le support OVH étant ce qu'il est, j'ignore la fiabilité de cette info, ou encore plus l'éventuelle correction de la mauvaise interprétation par leur robot...