OVH Community, votre nouvel espace communautaire.

Okillerd


cosdathle
18/12/2014, 20h44
Bonjour à tous

j'ai reçu il y a quelques jours un mail d'OVH m'avertissant d'un problème sur notre site de club d'athlé.

"Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

cosd-athletisme.fr

Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /homez.605/cosdathl/www/libraries/joomla/session/storage/.nfs0000000014339e7b00000232
Horodatage: 2014-12-16 23:55:06

Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guides.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).

NOUVEAU : Vous pouvez à présent activer le firewall applicatif
"mod_security" dans votre manager pour mieux protéger votre site
contre les piratages. Pour plus d'informations, consultez ce lien :
http://www.ovh.com/fr/hebergement_mu...d_security.xml

Contactez notre support si vous ne parvenez pas à rouvrir l'accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance. "

via fillezilla j'ai trouvé le fichier "memcache.php" qui aurait été modifié ou ajouté ce soir là.
l'assistance ne m'a pas répondu encore et mes connaissances en php sont nulles.
je ne sais plus que faire pour rétablir la situation. j'ai tenté de repasser le rep www en 705
mais ça ne marche pas. si un membre du forum a une solution ça nous rendrait bien service
merci.