OVH Community, votre nouvel espace communautaire.

piratage


janus57
09/09/2015, 20h19
Citation Envoyé par blt38
Le problème ce que je n'arrive pas à accéder aux logs récents. Les derniers logs accessibles datent de juillet et les logs en temps réel sont toujours vides.
En attendant, j'ai supprimé tout le contenu du site via ftp, tout recompilé, et tout re-uploadé sans oublier de rebloquer l'accès ftp une fois ces opérations effectuées.
Bonjour,

sans correction vos actions n'auront sans doute aucun effet car le pirate ve de nouveau rentrer par la même faille que les fois précédente, jusqu'au jour ou il commence à vraiment mettre des script "dangereux" et que OVH vous coupe purement et simplement votre site.

Comme dit faut trouver la faille et la patcher.

Cordialement, janus57

blt38
09/09/2015, 16h28
Le problème ce que je n'arrive pas à accéder aux logs récents. Les derniers logs accessibles datent de juillet et les logs en temps réel sont toujours vides.
En attendant, j'ai supprimé tout le contenu du site via ftp, tout recompilé, et tout re-uploadé sans oublier de rebloquer l'accès ftp une fois ces opérations effectuées.

m4rc
09/09/2015, 16h17
tu peux commencer par étudier tes logs d'accès web, s'ils présentent qqch d'intéressant à l'heure de la dernière modification de ton fichier config.
tu verras peut etre par quel fichier + commande cela se produit
à l'évidence, ca en passerait par une faille de ton code, qui permet d'uploader et donc modifier du contenu sur le serveur.

Nowwhat
09/09/2015, 14h52
Bonjour,

Si la contamination n'est plus possible par le FTP (webdav, autre) il ne reste qu'une possibilité :
Un de tes scripts permet un 'tiers' de modifier/ajouter des scripts (fichiers) sur ton hébergement.
A partir de la, il prend la contrôle de ton site (serveur web) et il l'utilise pour ces propres besoin.

Je te conseille fortement d'engager un pro (info gérant) qui s'occupe des tes sites pour éviter ce genre d'activités.
A court terme, pour toi, le risque est double : t'es responsable pour le continu que se trouve sur ton hébergement - imagine-toi se qui se passe quand que quelqu’un trouve une image 'pédophilie' sur ton hébergement (site).
De deux, le proprio (OVH) te met à la porte (sans procès).

blt38
09/09/2015, 14h24
Mauvaise nouvelle: mon fichier web.config a été de nouveau modifié alors que j'avais désactivé l'accès ftp et webdav.
Je ne sais plus quoi faire afin d’éviter que cela continue. L'un de vous aurait une idée ?

Cordialement,
Bruno.

blt38
08/09/2015, 16h34
J'ai enfin reçu une réponse d'ovh

Veuillez nous excuser pour notre délai de réponse.

Je transmets actuellement vos informations à nos administrateurs afin qu'ils puissent faire des recherches complémentaire.

Je vous ferai un retour à ce sujet dès que possible.

Cordialement,

Coralie
Conseiller WEB

Nowwhat
03/09/2015, 11h39
Citation Envoyé par blt38
C'est vrai que d'autres hébergeurs proposent un ftp sécurisé et je pense qu'OVH aurait tout intérêt à le proposer aussi.
OVH le propose déjà : https://www.ovh.com/fr/hebergement-w...gement-pro.xml (Le Pro possède son accès SSH donc le SFTP)
De mémoire, l'accès FTP (donc SFTP, donc SSH) est verrouillable dans le Manager.

La sécurité n'est pas "offert" par définition (commerciale) d'OVH. C'est comme la différence entre une assurance "au tiers" et "tout risque" : à vous de choisir.

Le Perso est parfait pour le petit site vitrine "sans risque" qui ne tire l'attention de personne - un bon mot de passe FTP à XX signes fait l'affaire (ne garde surtout pas le mot de passe initialisée par OVH, très aléatoire, mais un peu court à mon avis).

blt38
03/09/2015, 11h30
C'est vrai que d'autres hébergeurs proposent un ftp sécurisé et je pense qu'OVH aurait tout intérêt à le proposer aussi.
Sinon, pour l'instant pas de nouveau piratage de mon site ... à suivre ....
Toujours pas non plus de réponse d'OVH. Leur dernier message date du 13 août :

Bonjour,

Je me permets de vous mettre en relation avec le service concerné afin d'avoir la bonne solution.

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

m4rc
31/08/2015, 20h44
un "s" avant ou après le "FTP" me conviendrais parfaitement, beaucoup plus, plutot que "tout nu". bien des hébergeurs offrent au moins cet accès.

et après tout, on peut très bien utiliser l'accès SSL via sslxx.ovh.net/~tonsite/ pour l'accès web; alors de bénéficier d'un acces FTP sécurisé serait pas du luxe du tout, et meme prioritaire. a mon sens.

janus57
31/08/2015, 19h52
Citation Envoyé par m4rc
certes, ben c'est pas possible chez ovh mutu perso, et je trouve ca c'est très dommage.. :/
Bonjour,

après c'est une offre "perso" relativement limité donc OVH adapte le tout, bien que FTP(E)S serait le stricte minimum (SSH je dis pas, mais FTP(E)S en2015 ce serait pas mal).

Cordialement, janus57

m4rc
31/08/2015, 17h49
a priori le site belge, cible des redirections semble aussi piraté ; il n'a rien à voir avec la bourse. et tiens, il est sur du mutu ovh aussi
Bacoma Créations - Accueil
Description Bacoma Créations, grossite spécialisé dans les articles de naissance, communion et mariage.
IP Server 213.186.33.145
Reverse DNS winweb9.ovh.net
Server Location France France - OVH SAS, Shared Hosting Servers
- - - Mise à jour - - -

Citation Envoyé par janus57
Sinon bah vous vous êtes peut être connecté en FTP via une connexion non sécurisé ou alors quelqu'un sniff votre wifi ou autre, car oui en FTP les données transite en claire (login+password), donc le premier qui sniff la trame de connexion et FTP y a accès vu qu'il a les logs (vive FTP(E)S voir mieux SFTP).
certes, ben c'est pas possible chez ovh mutu perso, et je trouve ca c'est très dommage.. :/
port : 21 (pour connexion SSH : 22 - à partir de l'offre Pro)

blt38
30/08/2015, 21h37
Je n'ai rien trouvé via google.
Je vous tiendrai informé, si j'ai de nouvelle modification de mon web.config.
Merci en tout cas.

Bonne soirée,
Bruno.

janus57
30/08/2015, 21h18
Bonjour,

Ce qui est curieux, c'est qu'une recherche google ne m'a pas permis de trouver d'autres personnes impactés par ce fichier "investors.asp".
Et donc ? vous avez trouvez une solution ? un point commun entre eux ?

Pour moi cela veux juste dire que le hacker utilise la même faille sur votre site/PC, si le PC est bien clean il faut examiner les logs du site et trouver une requête anormal qui a pu permettre un remote.
Sinon bah vous vous êtes peut être connecté en FTP via une connexion non sécurisé ou alors quelqu'un sniff votre wifi ou autre, car oui en FTP les données transite en claire (login+password), donc le premier qui sniff la trame de connexion et FTP y a accès vu qu'il a les logs (vive FTP(E)S voir mieux SFTP).

Cordialement, janus57

blt38
30/08/2015, 20h50
Bonjour,

Je ne rejette la faute sur personne. J'essaie juste de trouver l’origine de ce problème.
J'ai avira comme anti-virus et il n'a rien trouvé non plus. J'ai également désactivé le remote IIS sur l'extranet.
Par contre, je n'ai pas réussi à accéder aux logs ftp. Les seuls logs que j'ai trouvé sont ceux du site avant le 08 juillet.

Ce qui est curieux, c'est qu'une recherche google ne m'a pas permis de trouver d'autres personnes impactés par ce fichier "investors.asp".
J'ai contacté par email le site web belge présent dans mon fichier web.config.

Si mon web.config est de nouveau modifié, je modifierai mes mots de passe comme indiqué via un live CD.

Cordialement,
Bruno.

janus57
30/08/2015, 19h28
Citation Envoyé par blt38
c'est site basique en asp.net
j'ai un autre site sur un autre hébergeur et il n'est pas impacté par ce problème.
Bonjour,

un autre ou exactement le même à 100%

Car on peu très bien avoir plusieurs site mais 1seul impacté par une faille (car c'est le seul qui l'a par exemple).

Sinon comme dit faut vérifier tout les logs (FTP/IIS/autres) pour trouver l'origine, cela ne sert à rien de rejeter la faute directement sur OVH si on n'a aucun preuve que cela ne viens pas du fait d'un accès au site a été corrompu ou que celui-ci possède une faille de sécurité qui est exploité par un attaquant.

De plus plus haut vous avez dit avoir lancé une analyse anti-malware, et une analyse anti-virus et tout le reste quand est-il ?
Car mis à part le FTP il existe l'accès IIS Remote (si activé) et webdav qui visiblement utilise également le password FTP, donc même si vous avez changer les passwords, si le PC est infecté cela ne change rien.

Dans ce genre de situation méthode simple pour tester si c'est le PC : booter en live CD (Ubuntu/DEbian ou autre, y a le choix), se connecter au manager et changer tous les passwords possible.

Puis ne plus se connecter pendant 1-2 semaines depuis le PC que l'on estime infecté, si pas de nouveau trucs "bizarre" le PC est sans doute infecté par quelques choses de non reconnu par votre anti-virus (possible déjà eu le cas).

Cordialement, janus57

blt38
30/08/2015, 19h03
c'est site basique en asp.net
j'ai un autre site sur un autre hébergeur et il n'est pas impacté par ce problème.

Gaston_Phone
30/08/2015, 18h22
Et s'il s'agit d'un CMS :
  • Celui-ci est-il à jour ?
  • Les plugins sont-il de source sérieuse ?

padpad
30/08/2015, 17h56
la piste évoquée par Janus (faille de sécu dans le cms/ le spft/ etc ...permettant la prise de contrôle à distance SANS passer par le serveur FTP) me semble avoir été évacuée un peu vite.

Il y a quoi sur le site comme soft/CMS etc ... en quelle version ?

janus57
30/08/2015, 14h19
Bonjour,

L'autre possibilité c'est que ce soit le serveur qui soit infesté. C'est pour ça que je voulais savoir si d'autres personnes avait le même soucis.
en mutualisé, peu probable, ce sont les techs de OVH qui gère la sécurité des mutualisé de A à Z, si un serveur se fait compromettre des milliers de sites serait touchés (sinon aucun intérêt de compromettre un serveur mutualisé pour 1site), si cela se limite à votre seul compte/site cela viens d'un élément lié à votre compte (donc le site/ftp ou autre accès possible comme IIS remote ou autre technologie lié aux mutualisés windows).

Existe-t-il un log des accès ftp pour savoir si une autre ip s'est connectée ?
d'après les guides, sur du linux oui (dans la section statistiques), donc avec un peu de chance c'est pareil pour les windows (si y a lien/onglet statistiques).

Cordialement, janus57

blt38
30/08/2015, 14h10
Bonjour,

L'autre possibilité c'est que ce soit le serveur qui soit infesté. C'est pour ça que je voulais savoir si d'autres personnes avait le même soucis.
Mon pc est en wifi, et j'upload en ftp. Je n'utilise pas de hotspot.
Existe-t-il un log des accès ftp pour savoir si une autre ip s'est connectée ?

Cordialement,
Bruno.

janus57
30/08/2015, 13h24
Bonjour,

si avec l'accès FTP bloqué vous avez toujours des fichiers qui apparaissent sur votre site c'est que celui-ci possède une faille de sécurité qui permet du remote upload/Controle.

Votre PC est connecté en wifi ou ethernet ? FTP ou FTP(E)S ? Vous utilisez des hotspot public de temps à autre ?

Cordialement, janus57

blt38
30/08/2015, 11h43
Merci pour ta réponse.
Je pense que mon pc est bien sécurisé même si l'on n'est jamais à l'abri complétement.
J'ai lancé un anti malware, et il n'a rien trouvé.
Je viens de bloquer l’accès ftp depuis l'extranet, on ne sais jamais.

Gaston_Phone
30/08/2015, 11h19
Ton PC est-il bien sécurisé ?
Télécharges-tu des vidéos de toutes part ?
Ton outil de messagerie affiche-t-il systématiquement les images dans les MAILS ?
Etc.

blt38
30/08/2015, 09h19
Bonjour à tous,

J'ai un problème de piratage sur mon hébergement mutualisé :
Début aout, je reçois un email de google intitulé : "Avis de retrait DMCA de la recherche Google"
Après vérification, je m’aperçois des fichiers "investors.asp" avait été ajoutés sur mon site. Je les supprime, change mes mots de passe (ftp, extranet, ...) mais le lendemain, ils sont réapparus. J'ouvre un ticket au support et supprime l'extension asp (je me sert que de .net) via iis remote.
Au bout d'une semaine, je recois un email du support m'indiquant "Je me permets de vous mettre en relation avec le service concerné afin d'avoir la bonne solution." Puis plus rien ....

Aujourd'hui, je reçois de nouveau un email "Avis de retrait DMCA de la recherche Google".
Et cette fois ci c'est le fichier web.config qui a été modifié ainsi :





Je viens de renvoyé un email au support.
Quelqu'un a t-il déjà eu ce problème ?

Bruno.