English version below :
Chez OVHcloud, nous sommes constamment à la recherche de moyens pour améliorer la sécurité des sites que nous hébergeons. Dans ce contexte, nous avons récemment mis en place un nouvel outil pour détecter et prévenir les malwares (fichiers malveillants) sur les hébergements de nos clients. Dans cet article, je vous explique comment cela fonctionne et comment nous travaillons pour protéger vos données.
Détection des malwares :
Depuis quelques jours, nous analysons en continu l'ensemble des hébergements de nos clients à la recherche de malwares. Cela représente des pétaoctet (Po) de données analysés chaque semaine ! Notre nouvel outil nous permet d’identifier rapidement et efficacement les menaces potentielles. Lorsqu'un malware est détecté, nous prenons immédiatement des mesures pour protéger vos sites, vos données et nos infrastructures.
Mesures de sécurité :
Lorsqu'un malware est détecté, nous vous envoyons un e-mail pour vous informer de la situation. Nous bloquons également les requêtes sortantes depuis votre hébergement web, ainsi que l'envoi de mails via les fonctions PHP, dans le but d’éviter la propagation du malware mais également les attaques par rebond ou l’envoi de spam. Cela nous permet de contenir la menace et de protéger les sites des autres clients.
Guide pour identifier et réouvrir :
Pour vous aider à identifier les fichiers infectés, nous vous fournissons un guide détaillé dans l'e-mail et dans votre espace client. Ce guide explique les étapes à suivre pour nettoyer le ou les malwares détectés et réouvrir le service.
Importance du nettoyage :
Avant de lever les mesures de sécurité, il est essentiel que les clients impactés suppriment les fichiers infectés de leur hébergement et qu’ils corrigent les failles de sécurité. Si vous réouvrez votre service sans procéder aux actions correctives, les mesures de sécurité seront à nouveau mises en place et deviendront plus strictes en cas de répétition.
Conclusion :
Chez OVHcloud, nous sommes déterminés à protéger la sécurité de nos clients ainsi que la réputation de nos infrastructures. Notre nouvel outil de détection des malwares est un exemple de notre engagement à fournir des services de haute qualité et sécurisés. Nous continuerons à travailler pour améliorer la sécurité des sites de nos clients et à les aider à protéger leurs données.
N’hésitez pas à poser vos questions dans ce fil.
------
At OVHcloud, we are constantly looking for ways to improve the security of the sites we host. In this context, we have recently implemented a new tool to detect and prevent malware (malicious files) on our customers' hosting. In this article, I explain how it works and how we work to protect your data.
Malware detection:
For a few days, we have been continuously analyzing all of our customers' hosting for malware. This represents petabytes (PB) of data analyzed every week! Our new tool allows us to quickly and effectively identify potential threats. When malware is detected, we immediately take measures to protect your sites, your data, and our infrastructure.
Security measures:
When malware is detected, we send you an email to inform you of the situation. We also block outgoing requests from your web hosting, as well as sending emails via PHP functions, in order to prevent the spread of malware and also rebound attacks or spam sending. This allows us to contain the threat and protect other customers' sites.
Guide to identify and reopen:
To help you identify infected files, we provide a detailed guide in the email and in your customer area. This guide explains the steps to follow to clean up the detected malware and reopen the service.
Importance of cleaning:
Before lifting the security measures, it is essential that affected customers remove infected files from their hosting and correct security vulnerabilities. If you reopen your service without taking corrective actions, security measures will be put in place again and will become stricter in case of repetition.
Conclusion:
At OVHcloud, we are committed to protecting the security of our customers and the reputation of our infrastructure. Our new malware detection tool is an example of our commitment to providing high-quality and secure services. We will continue to work to improve the security of our customers' sites and help them protect their data.
Don't hesitate to ask your questions in this thread.
16469 
21.11.2024 12:30
Bravo !
Bonjour@Bruno B. ,
Un outil maison ?
Basé sur un système de signature ?
Non ce n'est pas des signatures, nous ne sommes pas sur un antivirus, mais bien sur du malware, nous cherchons des patterns textuels ou binaires pour les combiner et prendre des décisions.
On parle là de ~500 règles qui sont déjà déployées et on continue d'en préparer de nouvelles, avec différents niveaux d'intervention en fonction de leur criticité.
L'outil d'analyse et de traitement est 100% fait maison, la taille de l'architecture et la volumétrie de données à analyser avec cette vélocité nous apportent quelques challenges que l'on ne sait résoudre avec un outil sur étagère :-)
--
Bruno B.
J'ai un outil de "remote administration" codé en PHP, rangé sous un nom obscur dans un dossier obscur, et je modifie l'extension .php lorsque je ne m'en sers pas, pour le désactiver complètement.
Cet outil n'est pas hostile sauf quand on le met dans des mains hostiles.
Windows Defender le détecte... je suis curieux de voir si OVH va tiquer là-dessus.
Possible d'avoir le user concerné ?
Je vais aller voir l'obscurité ^^
--
Bruno B.
Désolé, je ne mets pas cette information en public. J'aurais volontiers communiqué cette info via MP...
J'ai le unix user #790616 sur le cluster114.
l'ID et le cluster me suffisent, j'ai trouvé ;-)
Bonjour, cet outil semble détecter le CMS Spip comme un malware. Cependant, aucun fichier de mon hébergement ne diffère de ceux fournis par la communauté Spip. De plus, les fichiers concernés envoyés à VirusTotal ne renvoient aucune détection. Le code est propre et ne contient pas de malware. Il y a un sujet de forum ouvert chez Spip à ce propos.
Bonjour
Sur mon espace OVH, les fichiers du CMS SPIP ( respectable CMS https://spip.net ) sont détectés comme virus alors qu'ils ne sont pas du tout vérolés.
Je ne suis malheureusement pas le seul dans ce cas : voyez la discussion sur le forum SPIP : https://discuter.spip.net/t/195385
Pouvez vous corriger ce problème de faux positif ?
Même souci sur mon site Spip 4.3.9 (en cours de résolution via un ticket OVH cela dit ! Merci pour votre réactivité :-) ).
Bonjour,
Nous sommes effectivement intervenus pour suspendre une règle récemment mise en place autour d'un nouveau pattern d'exploitation de wordpress qui a eu quelques faux positifs avec SPIP.
La règle est en cours de révision avant sa remise en service dans les jours qui viennent, nous nous excusons pour la gêne occasionnée.
--
Bruno B.
OVHcloud
Team leader infrastructure hébergements mutualisés
Bonjour à tout le monde, Monsieur Bruno,
Premièrement, je vous remercie pour l'effort que vous réaliser pour maintenir la sécurité dans les hébergements d'OVH. Je me permets de vous indiquer que depuis la date affichée, j'ai eu 2 problèmes identiques avant de venir voir sur le forum car ici, beaucoup de mes fichiers cache products/cache objects sont dits "malveillants". Et je comprends donc pourquoi désormais. Ils ont déjà été mis en faux positifs la semaine passée (car supprimés) mais ici il y en a vraiment beaucoup et c'est revenu, donc je me permets de venir demander votre aide pour éviter que cela arrive à mes 4000 fichiers cache toutes les semaines.
Vu que vous demander certains numéros de tickets, pouvez-vous réaliser une recherche sur mon sujet s'il vous plaît ?
Voici mon numéro de ticket : CS14739212
Merci pour votre aide.
Cordialement,
Antho G.