Bonjour à toutes et tous, un message d'alerte d'OVH présent dans l'admin de l'hébergement web de mon client mentionne (depuis fin décembre) :
"Nous avons détecté un volume anormalement élevé de requêtes sortantes depuis votre hébergement. Par mesure de sécurité, nous avons temporairement bloqué ces requêtes.
OVH précise qu'ils ont bloqué les requêtes sortantes, le site est encore en ligne. Ils ont détecté des fichiers malveillants et ont envoyé la liste de ces fichiers, il y en a beaucoup à analyser.
N'ayant pas les compétences suffisantes pour analyser tous les fichiers listés, j'ai pensé à cette solution : effacer tous les fichiers du FTP – quand je pourrai me connecter au TFP de manière sécurisée – et réinstaller une sauvegarde d'updraft datant d'avant le message d'alerte. Qu'en pensez-vous ?
Précisions, contexte :
Le site est réalisé avec Wordpress.
Les extensions installées : Secupress, Elementor pro, Updraft Plus, enable media replace, WP 2FA - Two-factor authentification.
J'ai rencontré un souci pour me connecter peu de temps avant le message d'OVH, à la suite de la mise en place de la connexion 2FA (plugin WP), j'ai du le désactiver.
J'ai utilisé le FTP plusieurs fois en connexion non sécurisée car en SFTP un message d'alerte indique que ce n'est pas sûr que ce soit le bon serveur, et en FTP le TLS n'est pas pris en charge.
J'ai scanné mon ordi, pas de virus détecté.
J'ai envoyé un ticket à OVH pour ces soucis mais le support tarde à répondre.
Avez-vous déjà eu ce type de messages ? Et pensez-vous que la connexion FTP non sécurisée pourrait être une cause possible ?
Merci pour votre aide et vos suggestions.
146281 
13.02.2019 09:51
Bonjour,
Vous dites: Ils ont détecté des fichiers malveillants
Voyez le dernier message où@Bruno B. est intervenu. Il y a eu une erreur humaine aux environ de Noël, ayant donné lieu à la détection de faux-positifs.
C'est mieux d'utiliser SFTP plutôt que FTP, même si vous ne pouvez pas vérifier l'authenticité su derveur en face. Cette alerte n'arrivera que la première fois si vous l'acceptez.
Le problème FTP n'a rien à voir avec celui de votre site (vérolé ou pas)
Merci pour votre message et pour les recommandations concernant la connexion FTP.
Je m'interroge encore malgré tout sur ce message lors de la connexion SFTP, ça ne me rassure pas trop. Êtes-vous sûr que la connexion est "sécurisée" une fois le message accepté ?
Bonjour@Sarah B
Avez-vous votre numéro de ticket, cela me permettra de regarder votre service et d'identifier si vous avez impacté pour la détection trop sensible.
--
Bruno B.
Team lead Infrastructure Hébergements mutualisés
Merci@Bruno B. , voici le numéro de ticket : CS14883261.
Si je comprends bien ce n'est pas certain qu'il y ait des fichiers malveillants ?
Merci pour votre aide.
Je précise que ce ticket est seulement au sujet de la connexion SFTP, dans le but justement d'aller vérifier les fichiers. J'avais fermé le ticket au sujet des fichiers malveillants car je n'avais pas de réponses du support, je suis donc allée poser mes questions ici sur le forum.
Merci
Ca m'a permis d'identifier votre service et je suis intervenu dessus.
Le support va répondre à votre ticket.
--
Bruno B.
à la suite de ma première réponse, j'ai recréé une demande de ticket dédié au sujet du message d'alerte de détection de fichiers malveillants.
numéro de ticket : CS14891522
Dans l'attente de votre réponse et de savoir si des fichiers malveillants sont présents ou non sur l'hébergement.
Merci pour votre aide !