Bonjour,
Je reçois d'OVH un message me disant que certaines choses ont été désactivées sur un site WP que j'héberge sur un Perso suite à un soupçon de hack. En même temps sur le forum de Spip plusieurs personnes signalent le même souci (sur des sites Spip bien sûr), message de OVH mais impossible de trouver un quelconque hack.
De mon côté j'explore le site en question, pas à jour évidemment (je ne fais qu'héberger, je ne maintiens pas ...) mais je ne vois rien de louche, le site fonctionne sans problème ... néanmoins par acquis de conscience et sans demander au client je met à jour jusqu'en WP 6.8.3 (depuis 5.9.12), plugins bien sûr, je vire tout ce qui ne sert à rien, j'ajoute un plugin de sécurité (AIOS, firewall, et plus ..), je passe en PHP 8.3 depuis 7.3, ... et je réactive le site qui marche bien sûr (puisqu'il marchait déjà avant).
Par acquis de conscience je fais un ticket à OVH pour leur signaler que leurs alertes sont bizarres, le tech qui prend le ticket me refait un scan et me redonne une liste de fichiers soit-disant infectés. En gros il ne prend pas en compte mon interrogation quant à la fiabilité de l'outil de scan, il me redonne la même liste de fichiers soi-disant infectés.
Je lui répond après avoir fait un diff sur un exemple (le premier fichier de la liste, à savoir /homez.640/xxxxxx/www/wp-includes/class-wp-embed.php) entre le fichier sur l'hébergement et celui de la distri officielle de Wordpress, comme je m'y attendais aucune différence, le fichier est clean, ce que je lui réponds ...
Question: il y en a d'autres ici qui ont ce genre de mésaventure et surtout qui n'ont pas réussi à trouver de hack dans le site qu'il·elle·s gèrent malgré ce que prétend OVH ? J'ai l'impression que leur nouvel outil de scan a un peu des ratés ...
32123 
24.11.2025 09:02
Bonjour
Il n'y a qu'une seule solution : faire une restauration complète de l'hébergement et de la base de données le même jour et ceci avant le piratage.
C'est l'arnaque est inférieure à 15 jours vous pouvez le faire directement en faisant une restauration depuis le manager OVH.
C'est l'heure là qui est supérieur à 15 jours il faut faire une restauration depuis la sauvegarde que vous avez fait sur votre ordinateur.
Voir sur mon guide les paragraphes T et U
https://wordetweb.com/word-et-web/WORDPRESS-guide-installation-de-WordPress-premier-domaine-chez-OVH-FR.htm#_T_%E2%80%93_Restauration
J'ai l'impression que personne ne lit les messages, ni le support ni les participants à la communauté, comme je suis un vieux c.. je pourrai ajouter que c'est le monde moderne ...
Je ne demande pas comment corriger ce que prétend OVH, ni comment restaurer un site (merci je sais faire), je dis que le scanner d'OVH dis n'importe quoi et je demande si quelqu'un a déjà eu ce cas.
Le conseil de remonter 15j en arrière ne sert pas à grand chose vu que comme je le dis j'ai mis à jour le site avec une version récente de WP (téléchargée depuis le site officiel de WP), et que donc le scan d'OVH qui me dit que tel ou tel fichier est vérolé n'a aucun sens puisque ce sont les fichiers officiels ... et oui je sais qu'ils auraient pu être vérolé à l'upload par ex. mais non, comme je le dis j'ai fait un diff du fichier installé vs le fichier de la distri après qu'OVH m'ait dit que c'était vérolé et bien non, c'est le même fichier ...
En fait ce que je prétends c'est que le site n'est pas piraté, c'est plutôt le scanner d'OVH qui a un souci.
Bonjour,
Voyez ce post de@Bruno B. : https://community.ovhcloud.com/community?id=community_question&sys_id=402c4d3bdc95fe50476b7777bf5fbfbf
Depuis que les clusters ont été migrés vers une nouvelle infra (je suppose que ça correspond avec la renumérotation de cluster0XX vers cluster1XX) on annonce que "nous avons récemment mis en place un nouvel outil pour détecter et prévenir les malwares "
C'est peut-être lié.
A votre place je ne restaurerais pas votre hébergement sans savoir. Par contre ce que je ferais, c'est :
1: aller chercher le dernier wordpress.zip à jour depuis wordpress.org
2: dézipper
3: collecter tous les hash de ces fichiers, qui constituent donc une liste blanche de fichiers valides
4: utiliser cette liste de hash (dont la durée de vie est courte et expire à chaque nouvelle version) pour identifier les fichiers qui ne proviennent pas de la distribution Wordpress, dans votre site possiblement vérolé.
1: curl -o wordpress.zip https://wordpress.org/latest.zip (28678124 bytes received)
2: unzip wordpress.zip
3: find wordpress -exec md5sum {} \; 1> md5sum.list 2>/dev/null
3bis: cut -f1 -d" " < md5sum.list > md5sum.clean ## pour ne garder que le premier champ
4: ensuite à coup de "grep -f md5sum.clean -v ..." on peut trouver les anomalies.
C'est clair que tout votre wp-content est inconnu de cette white list.
Vous pouvez peut-être exécuter tout ceci dans l'environnement ssh de votre hébergement OVH si vous avez un Pro ou Performance. Sinon il faudra faire ça en local chez vous après avoir rapatrié votre site.
Encore une fois on n'a pas lu ce que je disais, c'est exactement ce que j'ai déjà fait, pas forcément avec la même méthode (j'ai utilisé diff entre mon site et la distri officielle de façon statistique sur quelque fichiers qui tous étaient bons) ...
Après ok cette réponse peut aider ceux qui sont coincés mais je conseille de lire d'abord ma dernière réponse au fil de discussion, l'erreur était bien chez OVH comme je le supposais.
Le souci était bien côté OVH, leur réponse ce matin:
Je reviens vers vous pour vous informer qu'après vérifications, il y a eu une mise à jour de notre système de scan qui a eu lieu de le 22 décembre dernier. Cela a affecté plusieurs clients et les a détecté comme faux positifs à des malwares.Une correction a donc été apportée le même jour et le problème a donc été résolu. Votre hébergement n'est donc plus bloqué depuis ce jour.Comme indiqué dans mes mails précédents, ce ne sont pas des fichiers dangereux et ils ont été considérés comme faux positifs. Vous n'avez donc aucune action à mettre en place de votre côté.Merci pour votre compréhension, je vous souhaite une agréable journée.Merci du retour.
C'était bien ma première hypothèse.
Voyez ce post de@Bruno B. : https://community.ovhcloud.com/community?id=community_question&sys_id=402c4d3bdc95fe50476b7777bf5fbfbfDepuis que les clusters ont été migrés vers une nouvelle infra (je suppose que ça correspond avec la renumérotation de cluster0XX vers cluster1XX) on annonce que "nous avons récemment mis en place un nouvel outil pour détecter et prévenir les malwares "C'est peut-être lié.
Comme il est impossible de dialoguer sur ce forum le week-end à cause de la modération des messages (on vient d'en avoir encore la preuve) j'avais continué la démarche en vous expliquant comment je ferais pour identifier tous les fichiers douteux dans une installation, sans attendre de recevoir une liste peut-être incomplète de la part d'OVH, des fois que votre site serait vraiment vérolé.
Oui c'est vrai que c'est difficile à suivre. Notez que j'ai taggé votre post comme "utile" car il donne une méthode pour vérifier, et notez aussi que c'était aussi mon hypothèse de départ, je cite de mon premier post: "J'ai l'impression que leur nouvel outil de scan a un peu des ratés ..." ...
Bonne fêtes de fin d'année.