OVH Community, votre nouvel espace communautaire.

envoi de mails non sollicités


Svae
20/02/2012, 19h21
Je vais lire cela mais malheureusement nous sommes plusieurs à avoir l'accès à ce FTP... ça va pas être simple...

ddtddt
20/02/2012, 07h54
merci Nowwhat pour ce lien ;-)

Nowwhat
20/02/2012, 07h51
A lire: un histoire de WP .... http://forum.ovh.com/showthread.php?t=77300
Attention: 11 pages ... avec un bon fin.

spykeer
20/02/2012, 07h39
Download la racine du site et fait un scan aussi, certains c99Shell ou autres on pu passer aussi.

D'autre pars, vérifies les CHMOD de tous les fichiers/dossiers et compares avec ceux qui sont indiqués et recommandés par le créateur du CMS

La clause de fritz2cat est plus que probable, cela viens souvent du PC de l'utilisateur des services et non des services.

fritz2cat
20/02/2012, 07h35
Change le mot de passe FTP et demande toi comment le pirate l'a obtenu. Probablement ton Pc infecté.

Frédéric

Svae
19/02/2012, 14h13
Pas d'idée ? Je trouve ça quand même inquiétant de voir ces logs, comment savoir par quel moyen il est possible de venir lancer de telles requêtes ftp sur mon serveur ?

Svae
18/02/2012, 11h39
Et en regardant les vieilles logs je vois que le bot a tenté différents répertoires qui n'existent pas sur mon site

[2012 Feb 15 21:42:30] pure-ftpd: (mondomaine@83.69.233.128) [INFO] Can't change directory to httpdocs: No such file or directory
[2012 Feb 15 21:42:30] pure-ftpd: (mondomaine@83.69.233.128) [INFO] Can't change directory to public_html: No such file or directory
[2012 Feb 15 21:42:32] pure-ftpd: (mondomaine@83.69.233.128) [NOTICE] /homez.131/monrepertoire//www/dt.php uploaded (33 bytes, 0.07KB/sec)
[2012 Feb 15 21:42:34] pure-ftpd: (mondomaine@83.69.233.128) [NOTICE] Deleted dt.php
[2012 Feb 15 21:42:34] pure-ftpd: (mondomaine@83.69.233.128) [INFO] Logout.

Svae
18/02/2012, 11h29
Sachant que je l'aisupprimé, et qu'il vient de réapparaitre...

Je vois ça dans les logs ftp (mal datée mais c'est bien les logs d'il y a 5 minutes)

[2012 Feb 17 11:35:14] pure-ftpd: (?@83.69.233.128) [INFO] mondomaine is now logged in
[2012 Feb 17 10:35:16] pure-ftpd: (mondomaine@83.69.233.128) [NOTICE] /homez.131/monrepertoire//www/images/themessm4.php uploaded (2715 bytes, 5.37KB/sec)
[2012 Feb 17 11:35:17] pure-ftpd: (?@83.69.233.128) [INFO] mondomaine is now logged in

Svae
18/02/2012, 11h21
oui c'est aussi ma première piste en cours, sauf que je n'ai normalement pas installé de tel plugin car je ne propose pas cette fonctionnalité aux utilisateurs...

Abazada
18/02/2012, 11h20
Bonjour.
Je ne connais pas wordpress et Cie, mais voir le dossier /images/ me fait tout de suite penser à une appli qui autoriserait le téléchargement d'images (dans ce dossier) mais qui ne ferait pas de contrôle de ce que les internautes lui demandent de télécharger ! C'est très dangereux, et hélas encore très courant...

Svae
18/02/2012, 11h09
Salut,

Mon envoi de mail à été bloqué et je suis donc allé le débloquer avant de me rendre compte que des milliers de mails de spam étaient en attente d'envoi, j'ai donc cherche comment c'était possible.

Grâce aux indications sur le forum j'ai trouvé la cause dans les logs, un fichier themessm4.php présent dans mon dossier "images" à la racine de mon site.

Code:
87.218.10.109 mondomaine.com - [17/Feb/2012:21:49:04 +0100] "POST /images/themessm4.php HTTP/1.1" 200 34 "-" "-"

Du coup maintenant j'aimerai savoir comment c'est arrivé là, quelqu'un a une idée sachant que j'ai un wordpress et un prestashop...

Merci,
+