hack
J'ajoute que tu peux avoir les versions récentes de php directement sur ton hébergement actuel.
Pour un webmaster, je t'invite simplement à consulter notre annuaire sur ovh.biz et de contacter les personnes qui répondent à tes critères, à toi de voir après si le service te correspond ou non.
Bonjour,
il suffit juste de mettre le .ovhconfig et le tout en PHP5.6 et voilà
Cf :
https://www.ovh.com/fr/g1175.activer..._mutualise_ovh
Cordialement, janus57
lalizabe
21/04/2015, 19h40
autre question : j'ai un hébergement basique. Est-ce qu'en prenant l'hébergement au dessus, j'aurai un php + moderne ?
lalizabe
21/04/2015, 19h35
"Votre serveur utilise la version 4.4.9 de PHP mais WordPress 3.4.2 nécéssite au moins la version 5.2.4."
comment je dois faire pour avoir la version 5.2.4 de php ?
lalizabe
21/04/2015, 19h28
@edticket
@julien ah d'accord ! je croyais que tu l'étais webmaster .. zut alors
si tu as qqn à me recommander ? merci
je vais essayer d'importer ma base mince je dois pouvoir y arriver.. je te donne une reponse sur le ticket avant fin de semaine si je n'y arrive pas. promis.
j'ai 36000 trucs à m'occuper en ce moment c'est pô facile.
bonne soirée.
- - - Mise à jour - - -
Envoyé par
lalizabe
Sachant aussi que je ne comprends pas un truc : j'ai 4 sites hébergés chez ovh, dont 3 en noms de domaine chez vous.
Les 3 sites qui ont déconné : j'en ai récupéré un, qui fonctionne, en ligne complet.
Vu que j'ai fait la même manip qu pour les autres, pourquoi les 2 autres ne fonctionnent pas ?
est-ce que tu as une réponse stp ?
@lalizabe C'est gentil de me choisir, mais ça ne sera pas possible, car je ne suis pas webmaster, et ce n'est pas notre métier au support. C'est pour cela que je t'invite à contacter l'un de nos partenaires pour le développement de ton site.
Pour l'import de ta base SQL via ce guide :
http://www.ovh.com/fr/g1393.importat...re_hebergement
Il te faudra créer le fichier via notepad sur ton pc, le déposer sur ton ftp, et lancer le script depuis un navigateur Internet pour exécuter le script.
Edticket
21/04/2015, 12h40
@lalizabe désolé tu as raison on sait écarté de ton sujet premier !
Amicalement
lalizabe
21/04/2015, 09h29
@edticket : ne peux tu pas ouvrir un post pour ton problème stp ? ce serait plus judicieux pour que je m'y retrouve dans les infos qui me concernent ? merci de ta compréhension.
@julien : je comprends ta réponse sur l'infogérance pour importer ma base de données. ce que j'accepte.
Mais comprends aussi que je ne saisis pas tout en informatique, et que je ne voudrais pas qu'après importation de ma base, je me retrouve avec un site toujours pas en ligne. tu comprends ? j'aurai l'impression d'avoir payé un truc qui ne fait pas avancer le schmilblik.
Tu m'avais proposé de choisir un webmaster sur ovh.biz.
Je te choisis toi pour avoir un site réparé complet. c'est possible ça ? j'aimerais un fonctionnement de mon site garanti.. quelle est la solution ?
Merci de ta patience et de ta compréhension.
Sachant aussi que je ne comprends pas un truc : j'ai 4 sites hébergés chez ovh, dont 3 en noms de domaine chez vous.
Les 3 sites qui ont déconné : j'en ai récupéré un, qui fonctionne, en ligne complet.
Vu que j'ai fait la même manip qu pour les autres, pourquoi les 2 autres ne fonctionnent pas ?
Daniel60
21/04/2015, 08h26
-> logs.ovh.net/
Cela peut être normal s'il y a absence de logs.
Edticket
20/04/2015, 21h49
C'est normal que je ne peux pas télécharger les logs cgi, ssh et cron sur mon interface ?
Merci d'avance pour me dire comment faire.
Bonjour lalizabe.
J'ai répondu directement sur le ticket, je t'invite à le consulter.
lalizabe
18/04/2015, 17h34
bon.. ça me paraît simple mais je ne sais pas faire...
Mon site n'est toujours pas réparé.. (en fait 2 ne sont plus en ligne)
Je n'ai pas assez de connaissances pour aller plus loin. ALORS
Soit Julien se propose de tout réparer car je lui fais confiance (commande de webmastering payée), soit j̶e̶ ̶m̶e̶ ̶t̶i̶r̶e̶ ̶u̶n̶e̶ ̶b̶a̶l̶l̶e̶ ̶ je déprime pour 3ans de boulot perdus et ma vitrine professionnelle sans laquelle je ne peux pas trouver de missions pros, soit quoi ? ça me bouffe les nerfs..
Bonjour,
== envoyer le fichier par FTP tout simplement.
prend un bon éditeur (notepad++ sous windows pour modifier ce genre de fichiers), et d'y coller le code et de le modifier selon ce que l'on souhaite.
Exemple pour PHP 5.4 :
Code:
app.engine=php
app.engine.version=5.4
http.firewall=none
environment=production
Cordialement, janus57
lalizabe
18/04/2015, 09h09
Envoyé par
Alex.P
je voulais inclure une capture d'écran mais on peut pas :
omment choisir sa version PHP ?
Il vous suffit de
déposer le fichier .ovhconfig à la racine de votre espace disque, via FTP.
Pour utiliser PHP 5.5 par exemple, ce fichier .ovhconfig devra
contenir le code :
app.engine=php
app.engine.version=5.5
http.firewall=none
environment=production
*** j'ai mis en gras ce que je ne sais pas faire. comment on fait svp ?
Edticket
17/04/2015, 20h10
J'ai vérifié mais mon PC est rien d'anormal dans system.ini ! donc je cherche ailleurs
- - - Mise à jour - - -
Merci Nowwhat, je vais explorer dans ce sens !
Edticket
17/04/2015, 19h44
Merci janus57, je vais explorer dans ces directions. Je viens de modifier le mot de passe, je renouvelle un nettoyage et mise à jour wp puis je vais inspecter mon PC ne sait on jamais mais bizarre car mes autres sites ne sont pas touché alors qu'un autre a une vieille version wp donc plus fragile. Bonne soirée
lalizabe
17/04/2015, 10h32
ce matin ,j'ai supprimé monsite de ftp et j'ai réinstallé une version saine de décembre 2014.
On me dit maintenant
"Votre serveur utilise la version 4.4.9 de PHP mais WordPress 3.4.2 nécéssite au moins la version 5.2.4." donc rien ne s'affiche en ligne.
COMMENT JE FAIS POUR AVOIR UN SITE EN LIGNE COMPLET !!! COMME AVANT la mise en détention "hack" de ovh.
Yen a assez maintenant !
Envoyé par
janus57
....
Normalement vous y avez accès depuis le manager OVH.
Même mieux: ces logs existe, et nous avons accès (astuce: le doc d'OVH -
https://www.ovh.com/fr/g1344.statistiques-et-logs )
Et pas que les logs Apache, mais aussi les logs "error" et le log "connections sortie" (i.e. votre site qui se connecte à i.e. Facebook pour la mise à jour d'un plugin).
Le nec-ultra : les logs FTP pour que vous voyez qu'un IP (de i.e. de la chine) se connecte à votre hébergement .... dans ce cas, ne cherche plus le faille sur votre hébergement, la faille est dans votre ordi !! (car le type a récupéré votre mot de passe FTP !!))
L'analyse et exploitation de ces logs n'est pas une option, mais carrément une passage obligatoire pour surveiller un peu le type des requêtes que le monde entier balance vers votre site.
Si on sais le reconnaitre, on y vois même le hacker faire son salle travail.
lalizabe
16/04/2015, 21h57
Envoyé par
thierryla
Cela signifie qu'OVH a coupé l'hébergement sans aucune raison, pendant plusieurs jours ?
Et qu'il a fallu leur demander une prestation pour qu'ils comprennent leur erreur et rétablissent le service ?
Cela me semble très grave... je suis étonné que (sauf erreur de ma part) personne n'ait relevé ce point et que tout le monde se contente d'applaudir la résolution du problème.
Je ne sais pas répondre à ta question.
je peux maintenant accéder à mes sites (3) mais je ne comprends pas : 1 est nickel, 2 sont des coquilles vides : plus de pages, plus d'articles, plus d'onglets...
je ne comprends rien alors que le site principal s'affichait bien tout à l'heure et je n'ai absolument pas touché au contenu !
lalizabe
16/04/2015, 21h49
Envoyé par
shirokoweb
Lorsque tu te trouves dans le mode d'édition de la table concernée, à gauche du champ qui contient le mot de passe, tu as une liste déroulante dans laquelle tu dois choisir MD5, lorsque tu cliques sur exécuter, ça va convertir ton mot de passe en qqe chose qui va ressembler à ce que tu y as trouvé ( rthkykhtyk%$* )
Un GRAND merci ! je ne connaissais pas cette manip et ça marche !
Bonjour,
Enfin, sans les accès a vos logs il ne peut confirmer son sentiment, pourriez vous nous autoriser d'accéder aux logs apache par exemple ?
normalement vous y avez accès depuis le manager OVH.
Et sinon le pirate aurais très bien pu passer par le FTP.
Un pirate peu :
- passer par une faille sur le site (sql/php/upload etc.)
- passer par un login FTP (aussi vrai pour SSH/SFTP si c'est le même que FTP et si le hacker à trouvé celui du FTP)
- passer directement par les serveur de OVH.
Par contre si le hacker serait passer par les serveur OVH, honnêtement je ne pense pas qu'il se serait arrêter seulement à votre site mais aurai fait tomber l'intégralité du cluster qui pour lui aurait été beaucoup plus bénéfique (mais si temporaire) que de pirater quelques sites au hasards (les cluster de mutualisé c'est plusieurs machines et surement plusieurs Gbps en terme de capacités vs quelque sites pris au hasrad avec sans doute de la QoS un peu partout pour limiter les abus).
Perso le seule cas de hack que j'ai croisé sur un de mes sites est le PC d'une personne qui avait un accès FTP qui c'est fait vérolé, du coup le serveur FTP + login + pass ont été volé sur son PC, sauf que moi le hacker à tout simplement supprimé le site plutôt que de lancer des attaques avec (vive les backups).
Cordialement, janus57
Edticket
16/04/2015, 19h21
@JuGU il a supprimé les fichiers qui n'avaient pas l'air d'être créé par Wordpress ensuite il a tout simplement demandé à Wordpress de se remettre à jour (il écrase toujours les anciens fichiers).
Pour ta deuxième question le fait qu'il y avait des fichiers présents à la racine du dossier : soit quelqu'un a trouvé le moyen d'uploader des fichiers par wordpress (mais j'ai un capcha qui a la fonction du moins de les stopper) soit quelqu'un a eu accès au serveur d'OVH par un autre moyen (meme un vers/virus) et a déposé/modifié des fichiers. Enfin, sans les accès a vos logs il ne peut confirmer son sentiment, pourriez vous nous autoriser d'accéder aux logs apache par exemple ?
Merci en tout cas de votre réactivité, j'apprécie !
fritz2cat
16/04/2015, 19h00
Envoyé par
thierryla
Cela signifie qu'OVH a coupé l'hébergement sans aucune raison, pendant plusieurs jours ?
Et qu'il a fallu leur demander une prestation pour qu'ils comprennent leur erreur et rétablissent le service ?
Cela me semble très grave... je suis étonné que (sauf erreur de ma part) personne n'ait relevé ce point et que tout le monde se contente d'applaudir la résolution du problème.
Dans le message #6, je disais
3) dans la notification de hack, OVH t'a certainement donné plus d'infos (envois de mails, ouverture de connexions sortantes, ... ?)
C'est par là que JuGu aurait dû commencer. Voir les pièces à conviction qui ont déclenché la fermeture du site.
Envoyé par
thierryla
Cela signifie qu'OVH a coupé l'hébergement sans aucune raison, pendant plusieurs jours ?
Et qu'il a fallu leur demander une prestation pour qu'ils comprennent leur erreur et rétablissent le service ?
Cela me semble très grave... je suis étonné que (sauf erreur de ma part) personne n'ait relevé ce point et que tout le monde se contente d'applaudir la résolution du problème.
Bonjour,
non cela veux juste que que le snapshot fait par OVH et que @lalizabe a restauré ne contenez pas le fichier infecté/faille et/ou que le plugins ou autre qui contenez la faille a été installé
après le snapshot
Sinon @lalizabe tu as un exemple de site qui ne fonctionne plus (lien vers le site) ?
Cordialement, janus57
thierryla
16/04/2015, 17h51
Envoyé par
lalizabe
réponse de mon conseiller à l'instant :
Bonjour,
Je reviens vers vous concernant le diagnostic de votre
hébergement.
Après analyse aucun contenu malveillant n'a été décelé
sur votre hébergement.
Je viens donc de procéder à la réouverture de votre
hébergement et aucune facturation ne sera donc effectuée.
Cordialement"
Cela signifie qu'
OVH a coupé l'hébergement sans aucune raison, pendant plusieurs jours ?
Et qu'il a fallu leur demander une prestation pour qu'ils comprennent leur erreur et rétablissent le service ?
Cela me semble très grave... je suis étonné que (sauf erreur de ma part) personne n'ait relevé ce point et que tout le monde se contente d'applaudir la résolution du problème.
shirokoweb
16/04/2015, 17h24
Je suis ravi de voir que le sujet avance. Bravo en tout cas à la team OVH et particulièrement JuGU pour son implication dedans.
En ce qui concerne wordpress, les mots de passe sont cryptés dans la base de données en MD5.
Lorsque tu te trouves dans le mode d'édition de la table concernée, à gauche du champ qui contient le mot de passe, tu as une liste déroulante dans laquelle tu dois choisir MD5, lorsque tu cliques sur exécuter, ça va convertir ton mot de passe en qqe chose qui va ressembler à ce que tu y as trouvé ( rthkykhtyk%$* )
La table wp_users (wp_ est le préfixe de base, il peut être différent chez toi) tu as user_login / user_pass / user_nicename / user_email)
Ton identifiant de connexion est soit user_login soit user_email, essaye avec l'un puis l'autre une fois que tu auras modifié ton mot de passe en MD5
lalizabe
16/04/2015, 16h58
je suis allée dans phpmyadmin, dans la table user : et là j'ai vu un mot de passe qui n'était pas du tout le mien du genre "rthkykhtyk%$*"
j'ai alors remis le mien.
je n'arrive toujours pas à accéder mais comme j'ai un système de protection qui empêche +de 3 erreurs en 1h, j'attends 1h... et je verrai si ça marche.
As-tu essayé de faire tout de même une procédure de mot de passe perdu ?
lalizabe
16/04/2015, 16h14
je parle des identifiants d'administration wordpress.
la bdd a l'air ok.
pour le formulaire de mdp perdu oui je le vois mais je ne l'ai pas perdu. Juste il ne fonctionne plus... c'est peut-être l'identifiant qui n'est pas reconnu aussi, pas simplement le mot de passe..
je ne comprends pas bien ce qui se passe.
Est-ce que tu parles du mot de passe qui te permet d'accéder à ta base de données SQL, ou du mot de passe pour accéder à ta console d'administration WordPress ?
Tu évoques la base de données sur le ticket incident.
Pour les accès à la base de données, je remarques que tu as bien recréé le fichier wp-config et pour l'accès à ta console d'administration, tu as un formulaire de mot de passe perdu.
lalizabe
16/04/2015, 15h40
mes sites sont en ligne mais je n'accède plus au
http://monsite/wp-login.php
j'ai alors regardé dans ftp : le fichier wp-config a disparu, il restait le wp-config sample. je l'ai donc recréé et renseigné avec bdd_name etc...
par contre mes identifians et mot de passe sur le lien pour se loguer ne sont pas reconnus... je ne peux donc pas accéder à mon site pour gérer l'admin. pourquoi ??
où puis-je retrouver les identifiants de mon site dans mon espace ftp ? je pense que c'est le fichier qu'il faut renseigner à nouveau, tout comme j'ai fait pour le wp-config, mais où est-il et pourquoi a-t-il sauté... mystère..
merci de votre aide, je m'épuise.
- - - Mise à jour - - -
Envoyé par
fritz2cat
Et maintenant on se rend compte qu'il n'y a rien.
J'espère pour toi que l'analyse était correcte.
j'ai demandé l'analyse mais c'est là qu'on m'a répondu qu'il n'y avait rien, et donc je n'ai pas payé.
J'avais exporté mes fichiers ftp sur le bureau et j'en avais fait une analyse bitdefender, pas de virus ou autre détecté.
Maintenant j'aimerais accéder à mon admin !
Envoyé par
fritz2cat
S'il y avait eu plus de détails comme des dates et heures où des attaques sortantes ont été détectées, on aurait eu des éléments de début de preuve, et ç'aurait été mieux de la part d'OVH.
Ces éléments sont présents dans le ticket ouvert par le robot de détection.
fritz2cat
16/04/2015, 14h32
OVH a dit:
Envoyé par
lalizabe
Ceci est dû au fait que vous avez une activité
malveillante consistant à réaliser des attaques en
requêtes TCP vers des IPs distantes et externes.
Votre site abrite un contenu illicite.
Merci donc de corriger vos fichiers et vos données.
S'il y avait eu plus de détails comme des dates et heures où des attaques sortantes ont été détectées, on aurait eu des éléments de début de preuve, et ç'aurait été mieux de la part d'OVH.
En croisant l'info avec les logs web on aurait pu détecter s'il y avait de l'activité, des visiteurs venant d'où, quels scripts invoqués.
Et maintenant on se rend compte qu'il n'y a rien.
J'espère pour toi que l'analyse était correcte.
Bonne continuation.
lalizabe
16/04/2015, 13h55
réponse de mon conseiller à l'instant :
Bonjour,
Je reviens vers vous concernant le diagnostic de votre
hébergement.
Après analyse aucun contenu malveillant n'a été décelé
sur votre hébergement.
Je viens donc de procéder à la réouverture de votre
hébergement et aucune facturation ne sera donc effectuée.
Cordialement"
c'est à n'y rien comprendre mais HO QUE JE SUIS RAVIE DE CETTE NOUVELLE !!!!!!!!!!!!!!!!!!!
Tous mes sites sont en ligne je vais de suite revoir les plugins et renforcer la sécurité comme je peux !!!
Mille mercis Julien pour ton assistance au top.
- - - Mise à jour - - -
Envoyé par
fritz2cat
Ca se fait en quelques clics avec FileZilla ; si tu ne comprends pas cela, je t'encourage (encore une fois) à t'adjoindre les services d'un professionnel du web.
Tout comme pour apprendre à conduire une pelleteuse, parfois c'est mieux d'avoir un instructeur qui te montre et t'explique, plutôt que d'essayer par toi-même de la sortir du hangar juste en demandant dans un forum comment on procède.
Je ne suis pas d'accord avec toi car je ne connais RIEN au web mais j'ai quand-même réussi à TOUT faire moi-même pour mes sites, de Aà Z. Même si j'estime mes connaissances basiques, mon site principal est tout de même pas mal pour une néophyte et il fait assez pro.
Les tutos c'est pas fait pour les chiens, et avec un bon pédagogue on peut arriver à beaucoup de choses.
Bien à toi,
fritz2cat
16/04/2015, 13h22
Envoyé par
lalizabe
ah ça m'intéresse ça j'exporte mes dossiers ftp pour récupérer mes données ? (je crois que non en fait mais je sais plus comment on fait)
Ca se fait en quelques clics avec FileZilla ; si tu ne comprends pas cela, je t'encourage (encore une fois) à t'adjoindre les services d'un professionnel du web.
Tout comme pour apprendre à conduire une pelleteuse, parfois c'est mieux d'avoir un instructeur qui te montre et t'explique, plutôt que d'essayer par toi-même de la sortir du hangar juste en demandant dans un forum comment on procède.
lalizabe
16/04/2015, 13h04
Envoyé par
JuGU
Si tu ne sens pas capable de corriger ce site là, tu es tout à fait libre de récupérer les données présentes sur ton hébergement, et de retravailler un nouveau site. Tu pourras alors le mettre en ligne dans le dossier www/ et remettre les droits d'accès en 705.
ah ça m'intéresse ça j'exporte mes dossiers ftp pour récupérer mes données ? (je crois que non en fait mais je sais plus comment on fait)
Une fois que tu as donné ton accord sur le ticket, mon collègue fera la diagnostique qui te sera fourni en pdf. Pour régler l'intervention, cela se fera une fois l'intervention terminée, tu auras un lien qui te redirigera sur notre site pour la régler.
Je comprends ton ressenti, et en effet, à chacun son métier et ses attributions. Il te faudra alors faire appel à une personne qui pourra faire cette modification à ta place.
Si tu ne sens pas capable de corriger ce site là, tu es tout à fait libre de récupérer les données présentes sur ton hébergement, et de retravailler un nouveau site. Tu pourras alors le mettre en ligne dans le dossier www/ et remettre les droits d'accès en 705.
lalizabe
16/04/2015, 10h54
Julien je viens de demander le diagnostic au conseiller de mon ticket. Ca se passe comment concrètement ? pour payer ? pour le recevoir ?
j'ai lu tous les liens que tu m'as envoyés hier, franchement je me sens pas capable de modifier les fichiers...
c'est ni mon métier ni une passion.
Sur le fond je partage le même ressenti qu'Edticket malheureusement.. je pense que je vais revoir mes sites et peut-être en fermer à terme. trop de complications pour une site basique de chez basique...
Je prends chacun de tes posts avec le plus grand sérieux Rizz, la forme est parfois brute (tu seras d'accord avec moi sur ce point), mais le fond est toujours intéressant,.
@Edticket Pour la personne qui est intervenue sur ton site, après avoir supprimé les fichiers vérolés, a-t-elle corrigé les failles de sécurité du site ?
Il affirme également que la faille viendrait de nous, est-ce que tu as plus de détail à ce sujet ?
Concernant les incidents que tu as rencontré, un hébergement mutualisé est toujours soumis à l'usage des utilisateurs qui partagent la même infrastructure. Néanmoins, nous faisons le maximum pour optimiser l'infrastructure. Si tu as des remontés, je suis toujours preneur.
@lalizabe Le problème est que si on remet le site en ligne avec ton backup, les failles de sécurités seront probablement toujours présentes, et ton site risque d'être attaqué de nouveau, et donc de faire des opérations illégales. Voilà pourquoi il vaut mieux corriger directement les fichiers en modifiant leur code, puis une fois propre et sécurisé, on relance l'accès http.
Edticket
16/04/2015, 09h35
Tout à fait Rizz, si seulement mdr
Ha si seulement j'avais écris un livre.. on me prendrai au sérieux
Edticket
15/04/2015, 19h23
Bonjour à vous deux,
Je constate que depuis quelques semaines, je rencontre le même soucis enfin presque parce que mon site est encore accessible. J'ai fait intervenir l'un de mes contacts experts en hébergement et en hacking, il a supprimé se qui posé problème mais quelques jours plus tard c'était de nouveau présent sur le site. D'après lui, cela vient d'OVH et non d'une faille d'un plugin ou du CMS. Etant un expert reconnu et il est auteur d'un livre sur la question donc je préfère le croire.
Le conseiller que j'ai eu sur mon ticket m'a répondu la même chose 40€/15mn, je trouve regrettable se genre de réponse. Je trouve aussi qu'OVH se dégrade de plus en plus, des lenteurs plus souvent au niveau de l'hébergement, problème de boite mail etc, le prix du succès qui sait, plein de mes partenaires également chez OVH ont le même sentiment ces derniers temps. Pour info mon ticket est le 2049126 (toujours ouvert).
Voyant que je partage le même soucis que lalizabe, ne pensez-vous pas que vous pourriez un instant croire que cela viendrai de vous ? Je me souvient déjà de votre dernière attaque en 2013.
Sachez que je serai très sensible de voir qu'OVH prenne la peine d'étudier la question. Malheureusement je pense de plus en plus à vous quitter si rien ne change, dommage car je suis un fidèle client depuis plusieurs années.
Bien à vous
Ed
lalizabe
15/04/2015, 16h32
Envoyé par
JuGU
Si tu ouvres ton hébergement en accès http avant de corriger les failles, ton site va s'afficher, mais le risque c'est que ton hébergement soit désactivé de nouveau du fait que le hackeur ait utilisé la faille de sécurité..
justement avec ma nouvelle version snap, j'aurais aimé qu'ovh remette mes sites en ligne, que dans la minute qui suit j'enlève tous les pugins inutiles, j'enlève la section commentaires et que là on voit ce qui se passe.
je sais pas pourquoi mais il me semble que ça marcherait comme ça.
Soit...
En effet, c'est bien l'hébergement global, mais si le hackeur a pu accéder à l'hébergement via l'un des sites, il a pu potentiellement accéder aux autres sites sur ce même hébergement.
Bonjour,
c'est le pack d'hébergement qui est fermé et pas seulement le site touché (il me semble).
Cordialement, janus57
Pour commander le diagnostique, tu n'as qu'à simplement en faire la demande via le ticket incident.
Inutile de me prévenir, une fois la faille corrigée, tu pourras ouvrir toi-même l'accès au site via une commande ftp qui est décrite dans le guide que je t'ai communiqué.
Tu trouveras ça dans cette section :
http://www.ovh.com/fr/g1392.procedur...e_en_etat_hack
Si tu ouvres ton hébergement en accès http avant de corriger les failles, ton site va s'afficher, mais le risque c'est que ton hébergement soit désactivé de nouveau du fait que le hackeur ait utilisé la faille de sécurité.
Confirme simplement sur le ticket que tu souhaites l'intervention, je transmets de mon côté à l'équipe concerné pour la mise en place de l'infogérance.
lalizabe
15/04/2015, 15h08
bon alors je vais regarder en détails ce soir les liens que tu m'as envoyés.
et je crois que je n'ai pas le choix que de payer un diagnostic....... ça me met vraiment en colère. pas le choix ! je suis coincée.
Ensuite je vais essayer de réparer moi-même, si je trouve ça compliqué, je fais appel à un de vos webmaster.
Questions :
- comment je fais pour commander ce diagnostic ?
- ensuite je corrige directement dans ftp et je te préviens ensuite que c'est fait ?
- Qui pourra valider si c'est sain ou pas ?
Est-il possible de prévenir le conseiller de mon ticket que tu t'occupes de mon assistance ?
Tu es super efficace, c'est ça que j'attends d'un service que je paye, vip ou pas.
Merci beaucoup Julien. Je crois que je ne vais pas te lâcher jusqu'à ce que je vois mon site en ligne.
Difficile de répondre à ta dernière question, seule l'analyse des fichiers pourra le déterminer.
Pour revenir sur nos partenaires, il s'agit de sociétés, clientes OVH, qui connaissent nos infrastructures et nos solutions (tout comme les piliers du forum), et sont référencés sur notre site du fait qu'ils travaillent avec. Mais OVH n'intervient pas dans les actions qu'effectue ces partenaires. Tu devras voir directement avec lui ce qu'il te propose, et dans quel cadre.
Tu pourras trouver de nombreux développeurs/intégrateurs sur l'annuaire du site.
Il faudra en effet que tu fasses ces étapes pour corriger les fichiers de ton site.
lalizabe
15/04/2015, 14h50
oui je sais accéder à mon ftp.
Pour modifier je l'ai déjà fait, je pense qu'il faut :
- afficher/éditer
- corriger l'erreur
- fichier > enregistrer
- et tranfert ? ou traiter la liste d'attente je crois ?
Au pire je peux envoyer le diagnostique à votre webmaster partenaire pour qu'il s'occupe de tout ? en toute sécurité ?
autre question, sais tu si j'ai un seul site concerné (lbsde si tu vois lequel c'est) ou plusieurs ? car les 4 sont fermés (ils dépendent du principal c'est pour ça ?)
Tout dépend de tes connaissances en web encore une fois.
Si je prend un diagnostique, tu auras la liste des fichiers impactés par le hack, (fichiers à supprimer, et fichier à modifier, on te donnera le code malveillant à supprimer) et les fichiers que tu devras modifier pour corriger la faille concernée.
Est-ce que tu sais accéder en ftp à ton hébergement et modifier les fichiers présents dessus ?
Encore une fois, si tu penses ne pas avoir les compétences pour appliquer cela, je t'invite aussi à consulter la liste de nos partenaires pour trouver un webmaster qui pourra effectuer cette action pour toi.
lalizabe
15/04/2015, 13h36
ticket 1829926.
merci pour tes réponses claires, détaillées et pro ! c'est normal que tu sois beaucoup plus pro que le conseiller de mon ticket?
tu apportes des réponses précises, on sait à quoi s'en tenir.
si avec l'analyse on m'explique COMMENT corriger en étant NON professionnelle du web du tout, alors je prends.. mais tu es sûre que j'arriverai à corriger toute seule ?
Je veux bien le numéro du ticket s'il te plaît.
En mettant en place l'analyse de ton site via l'infogérance, tu reçois un rapport détaillé des failles de sécurités, et comment les corriger.
Tu peux retrouver plus de détails sur la commande du support vip depuis ce lien :
http://www.ovh.com/fr/support/inform...upport_vip.xml
Le support VIP te permet d'avoir accès à une cellule dédiée (dont je fais parti), qui prend en charge les tickets sous 15 minutes, et te permet une résolution des incidents en priorité 24/7. Les infogérances sont aussi étudiées en cas par cas.
lalizabe
15/04/2015, 13h09
Envoyé par
fritz2cat
Je te recommanderais quand même de partir à la recherche de fichiers php dans les répertoires d'upload et d'images ; et de chercher le string "Base64_decode" à travers tous les fichiers de ton site.
Ce sont deux indicateurs d'une possible infection.
Pour faire ces recherches utiliser find et grep dans une console ssh.
je ne sais pas faire ça.
- - - Mise à jour - - -
Envoyé par
JuGU
Bonjour lalizabe.
Pourrais-tu me communiquer le numéro de ton mail envoyé au support s'il te plaît ? Ainsi je pourrai consulter ton dossier.
Pour information, nos robots ne détectent pas la faille de sécurité (la cause) mais l'activité malveillante qui a eu lieu depuis l'hébergement (la conséquence).
L'analyse de la faille de sécurité est de la charge du webmaster du site, et le support de OVH n'est pas à même d'apporter cette réponse, sauf infogérance pour analyse des fichiers du site au tarif de 40€HT/15minutes d'intervention (généralement, cette intervention ne dure pas plus de 15 minutes justement).
Ton site est certainement propre à la date que tu mentionnes, mais rien n'indique que la faille ne soit pas toujours présente, ou tes fichiers infectés. De ce fait, en rouvrant les droits en 705 sur ton hébergement, le hackeur pourra accéder à ton hébergement à distance, et effectuer de nouvelles attaques à ton insu.
Cela te portera préjudice dans la mesure où les attaques viennent de ton hébergement, et peuvent potentiellement corrompre ton site, mais nous porte également préjudice dans la mesure où les attaques viennent d'un IP OVH, et nous ne cautionnons pas ces pratiques.
Je t'invite dans un premier temps à consulter cette page, qui t'explique quelques exemples de bonnes pratiques à suivre en cas de fermeture de ton hébergement pour hack : http://www.ovh.com/fr/g1392.procedur...eture-hack-ovh
Si tu ne sais pas détecter les failles présentes sur ton site, nous pouvons l'analyser via l'infogérance que je t'ai décrite ci-dessus, ou alors contacter l'un de nos partenaires disponibles sur le site ovh.biz. Tu peux faire une recherche d'un partenaire par localisation géographique, en fonction de ton besoin.
bonjour Julien,
tu veux le numéro de mon ticket ?
A quoi va me servir l'analyse des fichiers ? j'en fais quoi après si je ne sais pas réparer le site...
quelle est la solution pour ravoir un site en ligne ?
on fait comment pour devenir VIP et avoir une assistance digne de ce nom, réactive ?
Bonjour lalizabe.
Pourrais-tu me communiquer le numéro de ton mail envoyé au support s'il te plaît ? Ainsi je pourrai consulter ton dossier.
Pour information, nos robots ne détectent pas la faille de sécurité (la cause) mais l'activité malveillante qui a eu lieu depuis l'hébergement (la conséquence).
L'analyse de la faille de sécurité est de la charge du webmaster du site, et le support de OVH n'est pas à même d'apporter cette réponse, sauf infogérance pour analyse des fichiers du site au tarif de 40€HT/15minutes d'intervention (généralement, cette intervention ne dure pas plus de 15 minutes justement).
Ton site est certainement propre à la date que tu mentionnes, mais rien n'indique que la faille ne soit pas toujours présente, ou tes fichiers infectés. De ce fait, en rouvrant les droits en 705 sur ton hébergement, le hackeur pourra accéder à ton hébergement à distance, et effectuer de nouvelles attaques à ton insu.
Cela te portera préjudice dans la mesure où les attaques viennent de ton hébergement, et peuvent potentiellement corrompre ton site, mais nous porte également préjudice dans la mesure où les attaques viennent d'un IP OVH, et nous ne cautionnons pas ces pratiques.
Je t'invite dans un premier temps à consulter cette page, qui t'explique quelques exemples de bonnes pratiques à suivre en cas de fermeture de ton hébergement pour hack :
http://www.ovh.com/fr/g1392.procedur...eture-hack-ovh
Si tu ne sais pas détecter les failles présentes sur ton site, nous pouvons l'analyser via l'infogérance que je t'ai décrite ci-dessus, ou alors contacter l'un de nos partenaires disponibles sur le site ovh.biz. Tu peux faire une recherche d'un partenaire par localisation géographique, en fonction de ton besoin.
fritz2cat
15/04/2015, 12h28
Je te recommanderais quand même de partir à la recherche de fichiers php dans les répertoires d'upload et d'images ; et de chercher le string "Base64_decode" à travers tous les fichiers de ton site.
Ce sont deux indicateurs d'une possible infection.
Pour faire ces recherches utiliser find et grep dans une console ssh.
Si d'aventure tu n'as qu'un perso à 2€ par mois la fonctionnalité ssh n'est pas proposée, il faut alors rapatrier tout ton site chez toi en FTP.
(et si tu n'as qu'un perso à 2€ je trouve normal que les clients qui paient des milliers par mois se voient offrir un service de support avec une priorité en conséquence.)
lalizabe
15/04/2015, 10h34
Envoyé par
fritz2cat
1) rien ne te prouve que le snap est propre. (*)
2) si tu en disais plus sur ton site ? par exemple c'est un joomla 1.5.2 que j'ai mis à jour pour la dernière fois il y a moins d'un mois.
3) dans la notification de hack, OVH t'a certainement donné plus d'infos (envois de mails, ouverture de connexions sortantes, ... ?)
(*) tu peux très bien t'être fait contaminer ton site par un trojan il y a deux mois, mais que ce trojan ait été activé pour ses sombres besognes tout récemment.
1/Mon snap doit être propre puisqu'à la date du snap, mon site était en ligne sans problème.
2/ à ce jour -3 semaines
wordpress dernière version avec mon propre thème
3/Bonjour,
Votre site est fermé avec les
permissions "chmod 700" au niveau web où il affiche le
message d'erreur «403 Forbidden».
Ceci est dû au fait que vous avez une activité
malveillante consistant à réaliser des attaques en
requêtes TCP vers des IPs distantes et externes.
Votre site abrite un contenu illicite.
Merci donc de corriger vos fichiers et vos données.
- - - Mise à jour - - -
*** Complètement d'accord avec Shirokoweb !!
ovh se moque de moi.
et en+ hier ils ont osé me dire "le délai de réponse au ticket est long car vous n'êtes pas une cliente vip". T'es bas de gamme alors tu vas attendre.. ça veut dire ça où je me trompe...
shirokoweb
15/04/2015, 09h01
@Nowwhat
Envoyé par
lalizabe
ovh ne veut pas remettre mon site en ligne car "une faille de sécurité" est toujours présente.
Visiblement, quelque chose (script ou autre) permet de dire à la cliente qu'une faille est toujours présente puisqu'ils ne veulent pas remettre son site en ligne, je ne fais que lire ce qui est écrit en bon français.
Ce qui me scandalise encore plus, c'est que pour dire à la cliente la raison du blocage (qui est certainement détecté automatiquement par un script ou autre) on lui facture 40€ les 15 min alors qu'il s'agira certainement d'une simple lecture du dump dudit script.
Je ne dis pas que le blocage du site est illégitime, je dis simplement que ce qui a permis de bloquer le site produit certainement un dump et que ce dump aurait pu être communiqué à la cliente pour qu'elle puisse éventuellement corriger la faille de sécurité.
1. Je doute que les employés d'OVH inspectent manuellement chaque fichier sur chaque site hébergé, et si ça avait été le cas, la raison serait déjà connue puisqu'une recherche manuelle aurait permis de détecter une faille, donc communicable à la cliente et par conséquent pas besoin de facturer 40€ le 1/4 d'heure.
2. S'il s'agit d'un script, il utilise des règles avec des conditions, et si l'une des conditions est positive, dans ce cas, le script tague un site comme vulnérable. Dans tous les cas, la condition positive est connue des employés d'OVH.
J'utilise de nombreux scripts pour tester la vulnérabilité des sites / serveurs / infrastructures. J'en ai codé quelques-uns et j'en utilise des tout faits.
Chacun d'entre eux sans exception m'informe des failles détectées et chacun d'entre eux archive dans un fichier log les résultats pour que je puisse les corriger.
Un simple dump à l'écran :
#!/bin/bash
EXITCODE=0
# TEST FAILLE ABC
ABC=$(mon_test)
echo -n "TEST FAILLE ABC (faille): "
if [ $ABC -gt 0 ]; then
echo -e "\033[91mVULNERABLE\033[39m"
EXITCODE=$((EXITCODE+1))
else
echo -e "\033[92mNON VULNERABLE\033[39m"
fi
exit $EXITCODE
Un exemple simple pour illustrer : un firewall, lorsqu'il bannit une IP, vous donne la raison et renseigne un fichier log pour vous en informer (telle IP a x échecs de connexion sur le service xxxx) si x est > à la règle définie pour déclencher un ban, l'IP concernée est bannie) c'est aussi simple que ça.
fritz2cat
15/04/2015, 08h57
1) rien ne te prouve que le snap est propre. (*)
2) si tu en disais plus sur ton site ? par exemple c'est un joomla 1.5.2 que j'ai mis à jour pour la dernière fois il y a moins d'un mois.
3) dans la notification de hack, OVH t'a certainement donné plus d'infos (envois de mails, ouverture de connexions sortantes, ... ?)
(*) tu peux très bien t'être fait contaminer ton site par un trojan il y a deux mois, mais que ce trojan ait été activé pour ses sombres besognes tout récemment.
donc on attend tes réponses au 2) et au 3)
Merci
lalizabe
14/04/2015, 22h15
j'ai mis le site régulièrement à jour et encore très récemment.
@nowwhat : la version snap devrait justement être suffisante puisque c'est une version propre. Où est le problème pour ovh ? je pige pas.
voici la réponse d'ovh ce soir :
""Si vous souhaitez avoir une intervention de notre coté
pour la détermination de l'origine de la faille, ceci est
bien possible mais réalisable sous le cadre d'une
prestation payante à 40€/HT par tranche de 15 MINUTES.
Le montant est donc fixé selon le temps qui lui est
consacré.
Cordialement,"
qu'est ce qui me prouve la réelle existence de la faille ??
40euros les 15 mn temps non déterminé ?? je suis choquée !
J'ai l'impression d'avoir à faire à un Hold-up !
OVH ne va pas fouiller dans ton hébergement pour voir si t'as mis, ou t'as permis que tiers puisse mettre, un fichier 'très mauvais'.
C'est le type qui a loué cet espace (vide, de mémoire), puis il a mis des fichiers script dessus.
Puis, il gère cet petit ensemble pour que ça fonctionne bien. Un premier but est, logiquement,que cet ensemble fonctionne comme un "site web", mais le boulot de ce type ne va pas s'arrêter là. Il faut également savoir qu'il faut choisir le bon code (scripts) - éviter le scripts complétement pourri ... car d'autres types peuvent venir, et exploiter tes scripts (tes "choix" de scripts) pour faire autre chose avec ....
E c'est exactement ça ce qui se passé. Ces "types" sont venus, et ils ont constaté que le "type" n'a pas fait son boulot. Il a fait le mauvais choix.
Il ont abusé un peu la situation, et voila, site hacké.
Et maintenant, tu demande si un autre type puise t'informer où t'as foiré ton coup .... Mais malheureusement, ça ne marche pas comme ça.
Voila pour le petit scénario.
Distribution des rôles:
Type = Toi, l'admin de ton site/hébergement.
Les types = Les hackeurs.
L’autre type = OVH.
shirokoweb
14/04/2015, 20h41
ce que je trouve déplorable c'est qu'on ne te dise pas quelle est la faille...
Bonjour,
Le site est-il un CMS ? Si oui est-il maintenu à jour ?
lalizabe
14/04/2015, 17h52
bonjour,
ovh a mis mon site en "hacké" et le site n'est plus en ligne.
J'ai réinstallé un snap mais ovh ne veut pas remettre mon site en ligne car "une faille de sécurité" est toujours présente.
C'est vague "une faille de sécurité"... et mon conseiller met +de 24h à répondre à mon ticket..
Le temps que je perds...............
je ne peux pas perdre 3 ans de travail..
Que puis-je faire pour récupérer mon site en ligne ??
merci d'avance.
