Bonjour,
Depuis le 15 dec , j'ai plusieurs sites bloqués (Forbidden-You don't have permission to access this resource.) .
Sous cms, ils sont hébergés en multisite.
Aujourd'hui, j'ai trouvé une piste car je constate que tous les fichiers .htaccess ont été modifié le 15-12-2023 et ce n'est pas moi !! Le contenu des fichiers n'a rien à voir avec les originaux.
Voici ce que j'ai trouvé :
`
Order allow,deny
Deny from all
Order allow,deny
Allow from all
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
`
Je ne sais pas si cela est une intervention (sans me consulter) du support Ovh (j'attends leur réponse, mais il faut être patient) ou s'il s'agit d'une intervention extérieure.
Qu'en pensez vous ?
Mon nom de domaine est :
Et j'utilise l'offre :
Je rencontre la problématique suivante / Je souhaiterais mettre en place :
Bonjour,
C'est possible que votre .htaccess soit modifié.
Si vous utilisez Wordpress, et que vous changez vos Permaliens, votre .htaccess sera modifié.
Mais soyez plus explicite dans votre question, vous avez des humains en face de vous ...
Je n'utilise pas WP et je n'ai aucun cms qui modifie le htaccess …
Je viens de mettre à jour mon post pour décrire tous les détails. Merci.
15-12-2023 et ce n'est pas moi !! Le contenu des fichiers n'a rien à voir avec les originaux.
Vous avez été probablement piraté et tous les sites dans cet hébergement sont vérolés.
Ceci n'indique pas par lequel de ces sites les intrus sont rentrés.
Prenez éventuellement une copie de tout, et procédez à une restauration à une date antérieure au piratage (FTP + base de données)
Une chose est certaine: ce n'est pas OVH qui ferait ça.
J'ai remis en place les bons fichiers htaccess … tout fonctionne.
Je vais voir avec le support Ovh pour comprendre ce qui s'est passé et agir en conséquence …
Je vais voir avec le support Ovh
Ils vont vous dire d'aller voir vos logs (via votre espace client) et ils auront raison: ce n'est pas leur boulot.
En attendant, je vais commencer par changer le mdp de mon FTP (SFTP/SSH) .
En attendant, je vais commencer par changer le mdp de mon FTP (SFTP/SSH) .
Puisque vous avez la date de modification de vos .htaccess, allez voir les logs d'accès (web et ftp) à cette date et heure.
C'est précieux et peut-être identifierez-vous la cause chez vous, mais aussi vous pourriez éviter que ça se reproduise si c'est une intrusion.
Ok, merci de vos suggestions. Demain matin, je vais faire un examen attentif des logs …
C'est le gros problème du multisite.
Ce n'est que mon avis hein… Mais il faut vraiment être joueur pour utiliser ça (surtout si des sites ont des données perso genre e-commerce etc…)
Bonjour @GillesE1
Règle d'or : un kit domaine plus hébergement par site. 
Edit : des pots de passe complexes et différents.
TTY, je comprends ce que tu veux dire … mais à mon stade la vraie question est : "Pourquoi et Comment l'intrusion a t-elle été possible ??" … multi-domaine ou pas !
"Pourquoi et Comment l'intrusion a t-elle été possible ??"
De nouveau voyez vos logs.
Si un intrus rentre dans un site de votre multisite et a accès aux fichiers, c'est tous les fichiers de tous les sites de cet hébergement qui lui sont accessibles.
me consulter) du support Ovh (j'a
j'ai ces même codes dans mes Htacces en ce moment
n'est ce pas à Ovh de protéger nos hébergements???
n'est ce pas à Ovh de protéger nos hébergements????
Non @SteveJOBS ce n' est pas à OVH de palier à vos erreurs de configuration, de mots de passe identiques et/ou trop courts et faciles à deviner.
Un loueur vous loue une voiture, mais est-ce lui qui est responsable de vos erreurs de conduite ?
Bonjour,
n'est ce pas à Ovh de protéger nos hébergements???
OVH s'occupe uniquement de la sécurité des serveurs, si votre site présente des failles de sécurité c'est au gestionnaire du site (== vous de part le contrat) de prendre toute les mesure nécessaire pour corriger les dites failles.
Cordialement, janus57
j'ai ces même codes dans mes Htacces
J'ai une autre mauvaise nouvelle pour vous.
Ca ne semble pas vous poser problème que les portes et fenêtres soient laissées ouvertes.
S'il y a eu un intrus et que vous pensez avoir effacé les traces de son passage,
- Il y a probablement bien plus de chose qui ont été modifiées que vos .htaccess
- et si vous laissez les portes et fenêtres ouvertes, vous pouvez être sur qu'il y aura encore des intrusions.
OVH fait son boulot, il protège les sites des voisins même si le vôtre est une passoire.
Si vos squatteurs commencent à gêner du monde (émission de spams, hébergement de pages de phishing, attaques dans le réseau ...), sachez que OVH désactivera votre hébergement, et tout ça se trouve dans le contrat que vous avez certainement lu avant de le signer.
Aidez vous des log, dates des fichiers etc.
Le hacker à probablement profité d'une faille d'injection de code qui lui à permit de poser des scripts qui lui permettent de créé et d’éditer les fichiers de votre hébergement.
Commencez par soigneusement vérifier les formulaires qui sont souvent des points d'entées intéressants.
Je voudrai rappeler qu'un hébergement mutualisé est un énorme multisite, il y a centaines de sites par UC avec mémoire partitionnée, disques partagés, certes l'ensemble est totalement cloisonné avec l'expertise d'OVH dont c'est le métier. Tout comme la NASA ou la CIA ou autre site déjà piraté , OVH n'est pas à l'abri d'une intrusion de son architecture réseau, même si cela semble peu probable (c'est déjà arrivé !). Ceci étant, je comprends que les modérateurs et animateurs de cette communauté fassent peser les responsabilité sur leurs clients …