OVH Community, votre nouvel espace communautaire.

Gestion honteuse du support technique après un hack sur mon mutu


Nowwhat
15/10/2014, 10h01
Ceci mérite quelques explications:
Citation Envoyé par fritz2cat
....
Réinstalle
Installe sur un hébergemtn 'neuf' (de 2 €) un WordPress ..... seulement Wordpress et RIEN d'autre.
N'active AUCUN extension.
Utilise un thème déjà présent, fourni de base;
Visite ton WordPress => admin uen fois par mois et si une mise à jour est disponible, applique-le.

Ton WordPress "clean" sera encore la dans 10 ans. Pas de hack. Rien. Tout va bien.

La partie où ça foiré pour toi, comme toutes les autres, est: t'as activé des extensions.
Certains sont écrit par des gens aussi doué que les auteur de WP. Des vrais bijoux.
D'autres sont écrit pas des types comme mon fils. Disons que avec l'extensions de mon fils, tu risque GRAVE. Il ne sont pas mise à jour régulièrement, pas sous développement active, pas testé avec la dernière version. Il ne gèrent pas les exceptions, les situations bizarres. L'extension à fonctionné pour le, le dev s'arrête.

Sache que tout le monde peut regarder et analyser le code PHP (javascript, etc) d'une extension. Les hackeurs, ils font que ça. Si un faille existe, et le hackeur trouve que t'as installé un tel extension, ton site est 'mort'. Tu sera hacké. Il te dit "merci" et il utilise ton hébergement pour spammer, car ça lui rapporte de l'argent.

Donc, il faut des règles: utilise uniquement des extension de grande renom, ceux avec un support, ceux qui sont installé par tout le monde, ceux qui ont été utilisé beaucoup. EVITE ces extension qui date de 2013 et avant - ceux qui sont abandonnées. Ne cherche pas ce "perle rare", il risque de te causer beaucoup de problèmes.

"scanner" ton hébergement ne t'aide pas. Ca va pas te donner la faille. Seulement peut être la contamination.

T'as dit que t'as changé ton mot de passe FTP. Pourquoi ? T'es au courant que chaque connexion FTP est loggé ? Lui de toi, et lui du hacker ? T'as VU le log des connexion FTP ? T'as trouvé des IP bizarres ? Tu sais que le mot de passe FTP n'est PAS présent sur ton hébergement, mais uniquement dans ton ordi ? t'as compris ce que ça veut dire ?

LIMITE le nombre d'extension à un stricte minimum nécessaire. En cas de doute, analyse le plugin toi même. Si t'as rien compris, ne le installe pas.

Résumons:
Citation Envoyé par fritz2cat
....
Réinstalle
uniquement WP, et aucun extension. Tu ne risque plus rien. Active "tes" extension et t'es cuit.
Tire les conclusions toi-même.

fuzzzzzz
14/10/2014, 18h37
merci abazaba pour ta réponse claire
l'ajout de trop d'informations techniques dans mes messages a probablement court-circuité mes propos.
pourtant c'étais dans l'esprit de partage que j'ai fais ce retour d'informations et non pour emmerder l'abuse team avec des futilités,

cela étant dis et du le fait que l'exploit n'a pas été identifié, j'aurai une préférence pour un coup de scan avant de relancer le site.
Donc maintenant que le support m'ignore totalement, je n'ai plus d'issue, donc mon coup de gueule se justifie une fois de plus.
qu'es-ce que je fais maintenant , j'ouvre un nouveau ticket ? ou je clos le présent ticket ?

- - - Mise à jour - - -

Citation Envoyé par Abazada
Bonjour,
> Je n'ai pu déterminer avec pertinence, la cause de ce hack, personne n'est en mesure de m'en dire plus sur cette attaque ?

Toi seul le peux. Tu dois rechercher dans les logs ce qui parait suspect.
Consulter des sites sur WordPress pour connaitre les failles fréquentes peut aider.
c'est ce que jai fais le hack est très peu référencé et donc je sais ce que fais le hack mais pas comment il a pu être installer sur mon espace web.
j'ai trouvé deux potentiel failles, avec lesquels je n'ai jamais rencontrer de problème pendant des années, mais dans le doute j'ai virer ces deux extensions wordpress.

Abazada
14/10/2014, 18h11
Bonjour,
Je vais un peu répéter les autres, mais :

- Pour le support il faut faire court et précis, surtout pas du roman.
- Ils se fichent de la raison du hack. Ce n'est pas leur business.
- Ils veulent juste savoir si ton site est sûr, Oui ou Non, avant de le rouvrir
- A lire tes échanges il semble que tu ne leurs à pas dit Oui/OK...?
- Là je comprends qu'ils t'on déjà fermé le site 2 (ou 3?) fois pour hack! Pas trop surpris qu'en plus ça soit plus lent maintenant

> Je n'ai pu déterminer avec pertinence, la cause de ce hack, personne n'est en mesure de m'en dire plus sur cette attaque ?

Toi seul le peux. Tu dois rechercher dans les logs ce qui parait suspect.
Consulter des sites sur WordPress pour connaitre les failles fréquentes peut aider.

> que fais ovh contre ces hackeurs ? si jveux porter plainte ?, jme brosse ou ovh preservent l'identité de ces gens ?

OVH ne les connait pas. Toi seul encore peut fournir leurs IP grâce aux log
Peu probable qu'une IP seule soit très utile, et il faut ensuite le pouvoir de la Justice pour en savoir plus.
Ca en vaut rarement la peine, en tout cas pas dans le cas que tu décris.

> dans les conditions générale de vente il n'est pas préciser que je doivent protéger le serveur

OVH s'en charge . A 99.999% c'est uniquement ton site/hébergement qui a été hacké.

Gaston_Phone
14/10/2014, 17h55
Citation Envoyé par fuzzzzzz
Donc passez moi le ton sarcastique que j'emploie et répondez en faisant votre boulot, j'en demande pas plus.
Ici c'est un forum dédié "Utilisateurs".

Pour toi et ton humeur --> http://www.ovh.com/fr/support/

fuzzzzzz
14/10/2014, 17h31
Citation Envoyé par fritz2cat
Tu fais dans la longueur (et c'est un euphémisme)
Pour faire court:
sauvegarde la base de données.
Vire tout tout tout
Réinstalle
Restaure la base de données.
merci oui j'ai fais tout çà, la semaine passée.

fritz2cat
14/10/2014, 17h15
Tu fais dans la longueur (et c'est un euphémisme)
Pour faire court:
sauvegarde la base de données.
Vire tout tout tout
Réinstalle
Restaure la base de données.

fuzzzzzz
14/10/2014, 17h09
oui mais je sais bien que j'allais pas être le bienvenu,

sauf que dans le cas présent je pose des questions légitimes auquel je n'obtiens pas de réponses, bref sa passe une première fois
Je réitère dans la joie et la bonne humeur, la rédaction d'un nouveau message, et on me répond encore carrément à coté du sujet.
Ensuite on me garde le site bloqué pour tout le week end, et le lundi 17h30 toujours rien.
Aujourd'hui je tente une fois de plus de réglé le problème à savori le déblocage de mon site, et ceci commence vraiment a me peser.
Sinon habituellement je suis quelqu'un de convenable, et qui respecte les gens, mais là y'a une boulette de votre part, donc si cela continue jvais finir par prendre çà pour un refus de service pour lequel je paie.

Donc passez moi le ton sarcastique que j'emploie et répondez en faisant votre boulot, j'en demande pas plus.

Gaston_Phone
14/10/2014, 16h25
Citation Envoyé par fuzzzzzz
Encore une réponse a la con.. désespérant...
...
donc merci gaston t'as fait la gaffe..
Merci pour ce dialogue poli et cordial.

Je suis sûr que tu trouveras beaucoup de bonnes volontés (équipées d'une armure) pour t'aider.

fuzzzzzz
14/10/2014, 16h06
Encore une réponse a la con.. désespérant...
Mon site est bloqué et corrigé,
J'ai pas demandé a ce que l'on me règle le problème, j'ai meme publié des informations complémentaires dans le cas ou se genre de hack deviennent trop fréquent avec des site Wordpress, car jai estimé qu'il .
Je ne fais que de suivre les instructions poster ici :

http://www.ovh.com/fr/g1392.procedur...eture-hack-ovh

lancer le scan du site est pour le coup impossible, normalement tout est corrigé mais il serai judicieux de lancer un scan avant de réouvrir le site non ? et d'ailleur pourquoi cela n'a til pas été fait, se devrait être automatique, imaginons que l'exploit viennent d'un autre cluster.. et qui aurait contaminer mon espace web de cette manière.
ce hack dont j'ai été la victime est très peu documenté. je suis relativement sérieux avec la sécurité, les mot de passes et le extension wordpress que j'utilise bref...

pour en revenir au instructions donner dans le guide , si tu na pas suivi je montre une capture d'écran ou l'option "opération en cours" n'apparait pas sur la page d'administration.

Donc c'est là que sa calle chez ovh, pourquoi cette option n'a pas été activé, comme j'ai pu le demander au support qui n'a fait que d'ignorer le contenu de mon message ?

et les questions techniques que j'ai posées, les admins ovh ne sont-ils là pour y répondre ?

1. après un tel hack qui a permis de faire de mon server mail d’être utilisé pour spammé, je tien a rappeler que le spam reprehensible pénalement, donc je pose cette question, de si il est important ou non de déposer une plainte, mais là pas de réponse.

2. j'ai un probleme avec la modification du mot de passe de ma database, parce que j’étais passé par l'installation d'un module qui lui empêche à présent de modifier ce mot de passe., encore là pas de réponses.

3. Je n'ai pu déterminer avec pertinence, la cause de ce hack, personne n'est en mesure de m'en dire plus sur cette attaque ?

4. que fais ovh contre ces hackeurs ? si jveux porter plainte ?, jme brosse ou ovh preservent l'identité de ces gens ?

Gaston > dans les conditions générale de vente il n'est pas préciser que je doivent protéger le serveur .
donc merci gaston t'as fait la gaffe..

Gaston_Phone
14/10/2014, 13h07
Et ... penses-tu que quelqu'un va perdre 10 minutes pour lire et digérer tes n pages ?

OVH te permet de mettre ton site sur un de leurs serveurs, mais c'est à toi de prendre toutes les mesures pour assurer la sécurité de ton site..

fuzzzzzz
14/10/2014, 12h05
Note: désolé mais le forum refuse les URLs...

Je rend ma conversation avec le support technique public, puisse que ce dernier ne répond a aucun message via le système de ticket.

Juste pour résumer rapidement mon hébergement a été attaqué via une faille de wordpress, du moins c'est ce que j'en conclus.

Je n'ai pu identifier la faille qui a servit a injection de fichiers php sur mon FTP, mais j'ai opéré un bon nombre de correction et le problème est semble t-il réglé.

l'historique de la discussion :

Bonjour,

Actuellement, vous avez confie l'hebergement de votre
domaine puppet-master.net a notre societe OVH sur une offre
mutualisee.
Nous vous informons que l'envoi des mails, depuis votre
hebergement, a ete passe en etat DESACTIVE suite a un grand
nombre de mails envoyes detectees comme des SPAMS.

La raison de ce changement d'etat est la suivante:

Detected as sending "too much spam emails in the last hour"
by our outgoing antispam mail gateways (467 spam emails
sent in the last 1 hour(s))


Pour remettre l'envoi des mails sur votre hebergement, vous
devez contacter le support via ce ticket.

Nous vous remercions de votre rapide intervention.


Support client OVH.
Bonjour,
je suis effectivement victime d'une attaque de hacker sur
mon ftp, la méthode employée est la suivante :

somewebgeek.com/2014/wordpress-remote-code-execution-base64_decode/ ( desolé mais le forum refuse les urls)

j'ai tenté de nettoyer "proprement" les fichiers
injectés sur mon ftp, mais un fichier a échappé à ma
vigilance. Après le déblocable de mon site via chmod
705, il semble que l'attaque ce soit répété lorsque
j"ai accéder à l'admin de mon site Wordpress, ou j'ai
updaté en version wordpress 4.0 mais après l'update le
site a été rebloqué.


Pour le moment je suis rassuré de savoir que le serveur
mail est désactivé, j'aurai cependant une question au
sujet des mails de spams qui on pu être envoyés via mon
serveur mail. dois je déposer une plainte contre X au
commissariat ?

J'ai réinstaller une version propre de wordpress 4.0 que
j'ai télécharger sur le site officiel de wordpress.org
afin d’être sur de n'oublié aucun fichier et pour être
spur que aucun code malicieux n'est été copier dans les
fichier de wordpress.
Je ne pense pas que d'injection sql est été faite, et
pour le moment mon site est complètement bloqué malgré
que le répertoire root soit en mode 705. Je ne peux par
conséquent vérifier si le problème est complètement
résolu.

De plus j'ai un autre site wordpress, un mediawiki,
phpbb3, un bugtracker et un autre site web no wordpress.
Bref je ne peux être complétement sûr si tout ces modules
ont été infecté ou si l'un d'entre eux a permis au
hacker de pirater mon site web et mon serveur mail, ce
qui semblerai avoir été le réel objectif du hacker,
puisque des mails de spam on été envoyer via mon
serveur.

J'ai modifié le mot de passe de l'acces FTP , mais je
n'ai pas réussi a modifier le mot de passe de ma database
sql et j'obtiens le message suivant :
You cannot change password for puppetmalmain, because
module(s) is/are installed on it
je suppose qu'il fait référence à l'installation de
Mediawiki, alors comment faire pour que media wiki reste
installé mais qui ne soit plus associé au module
installés depuis l'interface du manager d'ovh, car je
peux changer la config de mediawiki manuellement. mais il
semble que le gestionnaire de module pose un problème pour
modifier mon mot de passe.

Cependant, Je n'ai pu identifier assurément qu'elle est la
faille qui a servit à pirater mon site web, je suis très
pointilleux sur la sécurité et je tiens mes sites a jour
pour éviter ce genre de désagréments sur lequel je
souhaite, par ailleurs m'excuser.

Une dernière question : que puis je faire de plus pour
augmenter la sécurité et et réduire ce genre de
situations ?

Le mode sécurité est activé depuis le fichier
.ovhconfig, et j'ai activé le firewall applicatif depuis
le manager, j’espère avoir fais mon possible pour
résoudre ce problème, et je me tiens à votre
disposition pour toutes informations complémentaires.

Cordialement
Suite : qui demontre que la personne n'a pris le soin de lire mon message :

Date : 2014-10-08 11:09:23

Bonjour,

Merci pour votre réactivité.

Votre accès web sera réouvert dans quelques instants.


Cordialement,
Aurélie T
Abuse team
Date : 2014-10-08 11:10:25

Bonjour,

Nous sommes intervenus sur votre Hebergement Web lie au nom
de domaine puppet-master.net chez OVH.

Nous avons re-ouvert votre hebergement Web pour la raison
suivante :

corrections performed.

Cordialement,

Le support OVH Web.
OVH réactives mon accès alors que je soupçonne que le virus ne sois que partiellement effacé. :/

Donc evidement qu'es-ce qui se passe ensuite :

Date : 2014-10-09 15:17:11

Bonjour,
Le problème est survenus une nouvelle fois,

Cette fois çi je pense avoir trouvé le plugin wordpress
qui aurai pu servir d'exploit pour infecter mon
hébergement.
il pourrait 'agir de wp_special-textboxes qui utilise une
lib dont mon antivirus/malware détecte une backdoor,
et wp_meta_keywords qui est le seul plugin qui semble
avoir été contaminer par ce virus.
J'ai supprimé ces deux plugins de l'hébergement et ne je
compte surtout pas les réinstaller.

Par mesure de sécurité, j'ai également effacer TOUT les
plugins wordpress de mon hébergement et j'ai ensuite
re-uploader tout les plugins depuis un backup data du 11
février 2014 à l'exception des deux plugins qui
pourraient avoir permis l'exploit qui a injecter du code
php sur mon ftp.

Il reste cependant plusieurs autres installations dont je
ne pense pas qu'ils aient été infecté ( flyspray,
mediawiki, phpbb3) mais ceci représente tout de meme
plus de 24000 fichiers a vérifier un par un.

Existe t-il une méthode pour vérifier localement que mon
site ne soit pas re-bloquer une nouvelle fois après le
déblocage de ce dernier ?
Puisse que le cas ou j'aurai oublié, par mégarde, de
supprimer un fichier php malveillant de mon ftp, le
blocage s’actionnerait de nouveau. Comment puis-je
prévenir que cela arrive une quatrième fois ?

Cordialement
pour info supplémentaire j'ai ajouté ce message :

Date : 2014-10-09 16:09:50

Informations complémentaires sur le Virus qui mon FTP :

Je viens tout juste de faire une comparaison avec winmerge
:
1. une version wp clean télécharger sur le site de
wordpress ' celle que j'ai télécharger lorsque j'ai
tenté de réparer la première fois mon installation de
WP .
2. Etant donner que mon erreur a été de ne pas
vérifier correctement le répertoire des plugins de WP et
qui ma valut un second blocage du site. j'ai
télécharger cette version du site,ayant a l'esprit que
certain virus lorsque mal nettoyer , peuvent régénérer
automatiquement les éléments supprimés par
l'utilisateurs.
Partant de ce postulat, faire une comparaison avec
WinMerge
avec ces deux copy de WP , me permet d'affirmer que le
code le virus et la ré-injections de code php sur le ftp
ne se régénère pas.

C'est à dire que ce qui prevaut de faire pour nettoyer
correctement Wordpress.
1. backup sql
2. effacer son installation wordpress completement du ftp
( garder son wp-config.php
3. installation la derniere version de wordpress sur le
site
4. mettre a jour le wp-config.php ( 3.9 > 4.0 )
5. vérifier tout les plugins wordpress et les reinstaller
un par un en prenant soin de comparer avec les versions
d'origine des plugins.
6. ne pas installer les plugins suivant :
- wp-special-texboxes ( backdoor)
- wp_meta-keywords

Cordialement
Et là sa part en sucette :
Date : 2014-10-10 12:44:22

Bonjour,

En cas de piratage, il est important de modifier dans un
premier temps vos différents mots de passe (Ftp, Mail,
...):
guides.ovh.com/perdu
Il faut également savoir que si votre site a été
piraté, c'est qu'il y a une faille de sécurité dessus
(Mot de passe trop simple, faille dans le code de vos
pages). Il faut donc corriger cette faille.
Si votre site est sous Joomla ou WordPress, il faut mettre
à jour ces CMS régulièrement et les différents modules
qu'ils contiennent régulièrement.
Vous pouvez aussi examiner les logs d'accès à votre site
(web, ftp, ...) dans votre manager dans "Mutualisé"
"Hébergement" "Statistiques" pour connaître toutes les
manipulations effectués par le pirate.
Il est possible de restaurer votre espace web pour remettre

en place votre site tel qu'il l'était à jour-1, jour-2,
jour-3, semaine-1, semaine-2 ou semaine-3.
Cette manipulation peut se faire dans votre manager dans
"Mutualisé" "Hébergement" "Restaurer mon espace web".
Cette restauration sera ensuite effective dans un délai de

30 à 45 minutes et vous recevrez un mail de confirmation
sur votre adresse mail de contact.
Voici également un guide qui décrit comment récupérer
la sauvegarde de votre hébergement manuellement :
guide.ovh.com/backupssurplanweb
En ce qui concerne la sauvegarde de la base de données à
une date antérieure, vous pouvez choisir à jour-1 ou
semaine-1 dans votre manager dans "Mutualisé"
"Hébergement" "Gestion SQL" "Sauvegarde".
Cette sauvegarde vous sera ensuite renvoyée par mail sur
votre adresse mail de contact dans un délai de 30 minutes.

Il faudra donc ensuite vous connecter à votre base de
données puis importer cette sauvegarde.
Vous trouverez un complément d'information sur le piratage

d'hébergement sur le lien suivant :
guides.ovh.com/AlerteHackMutu
forum.ovh.com/showthread.php?19263-S%E9curiser-son-site-web-des-attaques-des-pirates-et-hackers&page=3


Cordialement,
Aurélie T
OVH Abuse team
Pardonnez moi mais la personne à encore une fois pris le soin d'ignorer le contenu de mes messages, limpression de parler a un robot vraiment. donc ma réponse ne sera pas des plus délicates :
Date : 2014-10-10 13:39:13

Bonjour,
Je crois que vous ne lisez même pas mes messages tout ce
qui a été mentionné a été déjà réalisé.
mais étant donné que je ne PEUX PAS pas lancer un scan
par moi même je dois attendre que vous débloquiez le
site pour me rendre compte si le site est clean ou non.
Selon le guide je suis sensé pourvoir lancer un scan
mais voila :

puu.sh/c6HD5/5f6f4b9ee2.png

pas d’icône pour opérations en cours, le scan est donc
impossible.
Avec cette option disponible, le problème aurait été
réglé en moins d'une demi journée, mais là c'est le
quatrième jours ou mon hébergement est bloqué, je
commence a m'agacer , car vous ne répondez toujours pas
aux questions que je vous ai posés.

1. comment je change le mdp de ma base sql car il est
associer a un module ( mediawiki) ?
2. comment lancer un scan de mon espace web avant de vous
confirmer que le problème est réglé ?

j'ai modifier le mots de passe que j'ai pu édité mais je
n'ai pas pu changer le passe de ma base sql, ce qui est
l'une des questions dont j'ai posé dans mon premier
message mais qui semble avoir été ignoré.

Cordialement
Nicolas Kirsch
et trois jours plus tard mon hébergement est toujours bloqué , donc là j'en ai marre :

De : KN1146-OVH
Pour : OVH Help desk
Date : 2014-10-13 17:37:15

auriez vous l'amabilité de bien vouloir faire votre
travail , je vous rappelle que je paie pour un service qui
ne met pas rendu.

Donc ma question ici , c'est de savoir si quelqu'un de compétent pourrait reprendre mon dossier.