Bonjour:
Suite à "une opération irrégulière au niveau de mon site"… "par mesure de sécurité, l'accès à mon site a été bloqué,"
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php5.4/lib/php-extensions:/images/x86.r3/lib php-fpm: pool eglisepr
Il y a-t-il d'autres utilisateurs dans le même cas que moi? Peut-on mutualiser nos recherches?
Plus précisément comme conseille par OVH j'ai commencer à éplucher les logs. Quelqu'un sait-il ou il y a une documentation sur le décryptage des logs?
Merci pour votre aide
Michel
Bonjour,
déjà les fichiers sont issus d'un CMS/plugin ? ou d'un script écrit à la main.
Si c'est un CMS/plugin, il faut vérifier que toutes les mises à jour sont installées.
mais comment détecter les pages fautives?
En premier lieu l'analyse des https://docs.ovh.com/fr/fr/web/hosting/mutualise-consulter-les-statistiques-et-les-logs-de-mon-site/#logs-bruts logs bruts devrait donner une piste
Je ne comprends pas la question "les fichiers sont issus d'un CMS/plugin ou d'un script écrit à la main ?"
Ton site est un site fait main ? ou il s'appuie sur un CMS (wordpress, joomla, drupal, SPIP, phpbb, punbb,smf,etc ...)
Mais vu ce que tu dis, je pense qu'il s'appuie sur un CMS.
Le site a été bloquée à quelle heure par OVH ? Car généralement ce qui a bloqué le site se retrouve dans les dernières minutes/secondes avant blocage.
Lire la dernière requête comme ça demande une très bonne connaissance de wordpress. (que je n'ai pas). Mais si ton site a été bloqué depuis le 16/17/18/19/20 Juillet, c'est que le problème date du 16/17/18/19/20. pas du 13 ou 14.
Sinon, puisque OVH fournit gratuitement le HTTPS, pourquoi ne pas l'utiliser ? https://www.ssllabs.com/ssltest/analyze.html?d=www.eglise-protestante-unie-grenoble.fr&latest
Je ne dis pas que ça empêchera les chinois de venir .. mais j'en ai un peu moins depuis.
Bonjour,
Mais si ton site a été bloqué depuis le 16/17/18/19/20 Juillet, c'est que le problème date du 16/17/18/19/20. pas du 13 ou 14.
Par expérience le blocage peut intervenir plusieurs jours après l'infection vu que le blocage s'effectue au moment de l'exécution.
Cordialement, janus57
Ce qui serait bien c'est d'avoir le log du script OVH qui a détecté le problème, car là tu peux chercher longtemps.
En général avec wordpress, certains pirates exploitent des failles et upload des fichiers PHP, comme des mailer (qui envoient des mails en masse) ou des scripts malveillants.
Pesonnellement j'ai désactivé PHP dans le dossier uploads via .htaccess de cette façon :
SetEnvIf Request_URI .php goaway
Require all granted
Require not env goaway
En gros le pirates pourra toujours uploader des fichiers PHP, mais lorsqu'il se rendra sur l'url pour les exécuter il auras une erreur 403.
En gros pour toutes les url contenant "wp-content/uploads", cela vérifie si il y a ".php" si c'est le cas => 403.
Tu peux aussi bloquer l'accès au fichier xmlrpc.php qui permet aux pirates de lancer des attaques (tu trouveras la marche à suivre sur Google). Attention xmlrpc est utilisé par certains plugins et donc bloquer son accès peut poser problème pour certains plugins.
A+
Edit : c'est dur de poste du code sur OVH car il shoot la moitié, on doit bidouiller.
Bonjour,
sil il n'y a rien après avoir bien chercher, autant rouvrir le site.
OVH et surtout son robot automatique qui détecte les attaques n'est pas à l'abri d'un faux positif de temps en temps …
Bien sur, si le site se refait bloqué, il faudra se poser des questions …
Bonjour MichelC3,
Je viens d'avoir le même problème sur mon site. Même message d'OVH et même chemin de script "malveillant".
J'utilise wordpress également et j ne trouve rien d'anormal dans mes logs.
Peux-tu me faire un retour si tu as trouvé quelque chose depuis le mois d'Aout sur ce problème ?
Merci beaucoup,
Mouna