OVH Community, votre nouvel espace communautaire.

Envois bloqués pour spam


hyperion66
19/12/2013, 15h18
Non, plus d'accès, OVH a tout bloqué.

fritz2cat
19/12/2013, 15h07
Dans la racine ton hébergement, renomme /www en /zzz et /cgi-bi en /cgi-zzz

Normalement tu n'auras plus d'accès à ton site.

Et puis, tu n'as toujours pas montré les en-têtes d'un de ces messages. Est-ce possible ?

hyperion66
19/12/2013, 14h36
Depuis mardi, OVH a bloqué tous les sites de l'hébergement. Problème, lorsque je vais sur mon compte, il y a toujours 20000 à 26000 mails qui partent chaque jour de mon domaine. Normal vu que tout a été bloqué par OVH ?

Manespo
14/12/2013, 14h57
...

hyperion66
14/12/2013, 07h29
Comment dois-je faire pour trouver ce potentiel script ?
Car mon fichier log web pèse déjà 14Mo ce matin.

fritz2cat
13/12/2013, 23h06
les erreurs ne m'intéressent pas dans un premier temps.
Par contre dans les accès www "normaux" il faudrait examiner quel script est appelé répétitivement sur base des échantillons de mail qui ont certainement été retournés. Voir si ce script n'est pas un intrus (dans un répertoire uploads, cache, temp, etc)

Après il faudra voir pourquoi toutes ces erreurs. On peut soupçonner un script hacké ou hostile.

hyperion66
13/12/2013, 20h45
Le fichier log "error" du site où j'ai trouvé cette ligne pèse 26Mo rien que pour aujourd'hui !

hyperion66
13/12/2013, 20h40
Et ça ?
[Fri Dec 13 21:14:33 2013] [error] [client 79.85.210.96] ModSecurity: Warning. Operator LT matched 20 at TX:inbound_anomaly_score. [file "/usr/local/apache2/conf/modsecurity/base_rules/modsecurity_crs_60_correlation.conf"] [line "32"] [msg "Inbound Anomaly Score (Total Inbound Score: 10, SQLi=, XSS=10): IE XSS Filters - Attack Detected"] [hostname "www.xxxxx.fr"] [uri "/function (e){var t,n,i,r,o,s,a;if(null===this)throw new TypeError;if(t=Object(this),\\"function\\"!=typeof e)throw new TypeError;for(i=[],r=arguments[1],n=s=0,a=t.length;a>s;n=++s)o=t[n],\\"undefined\\"!=typeof o&&e.call(r,o,n,t)&&i.push(o);return i}"] [unique_id "UqtqqQoAhzIAAAX-a5QAAABB"]

fritz2cat
13/12/2013, 20h29
Ce sont 2 adresses IP françaises Orange. Peu probable que ces deux lignes identifient un hack. Plutôt un gros bug sur ton site.

Dans l'access log, chercher ce qui correspond avec les envois massifs de spam. (date et heure)
Tu trouveras peut-être un script pirate dans un répertoire /uploads... ou une crasse du genre.

hyperion66
13/12/2013, 20h10
Le problème, c'est que je suis blogueur, pas développeur ou codeur.
J'ai récemment fait les mises à jours dotclear...ça n'aurait pas écrasé les fichiers qui ne vont pas ?

fritz2cat, en log, j'ai par exemple ça en error :

[Fri Dec 13 00:00:13 2013] [error] [client 90.4.50.2] [host www.xxxxxxx.fr] (36)File name too long: access to /function(e,t){var n,i,r,o,s,a,l;if(null===this)throw new TypeError(" this is null or not defined");if(l=Object(this),s=l.length>>0,"functio n"!=typeof e)throw new TypeError(e+" is not a function");for(t&&(i=t),n=new Array(s),r=0;s>rr in l&&(o=l[r],a=e.call(i,o,r,l),n[r]=a),r++;return n} failed, referer:

[Fri Dec 13 19:58:59 2013] [error] [client 92.136.150.115] ModSecurity: Warning. Operator LT matched 20 at TX:inbound_anomaly_score. [file "/usr/local/apache2/conf/modsecurity/base_rules/modsecurity_crs_60_correlation.conf"] [line "32"] [msg "Inbound Anomaly Score (Total Inbound Score: 10, SQLi=, XSS=10): IE XSS Filters - Attack Detected"] [hostname "www.matosvelo.fr"] [uri "/function(e){var t,n,i,r,o,s,a;if(null===this)throw new TypeError;if(t=Object(this),\\"function\\"!=typeof e)throw new TypeError;for(i=[],r=arguments[1],n=s=0,a=t.length;a>s;n=++s)o=t[n],\\"undefined\\"!=typeof o&&e.call(r,o,n,t)&&i.push(o);return i}"] [unique_id "UqtY8woAc8MAAB93QHMAAAD6"]

Normal ?
J'ai des milliers de lignes !

fritz2cat
13/12/2013, 19h48
Je me répète
Citation Envoyé par fritz2cat
Il y a des logs web -> les as-tu regardés ?

Nowwhat
13/12/2013, 16h53
Citation Envoyé par hyperion66
....
Je n'ai trouvé aucun fichier étranger.
Désolé, tu l’as pas vu, tout simplement.
Je te lance un défi et une explication simple :
Il suffit de publier ton nom de domaine ici, et tu va voir les tentatives d'envoi des mails passer de 10 à 20 mille à plus de 100K mails / jour.
OVH fermera ton hébergement .....
Donc: ne le fait pas.

Pour dire: pour l'instant il n'est pas très important ce que tu trouve, mais qu'on trouvé les autres sur ton site. Puis, c'est exploité.
T'as fait une sauvegarde de ton site et tes bases des données ? Bien !
SUPPRIME en suite tous ce qui existe dans le répertoire /www et tes autres répertoires des tes autres domaines.
L'envoi des mails s'arrêtera. Sinon, c'est moi qui vais arranger tes sites - gratuitement - avec résultat garantie sinon c'est moi qui payerai toi.
Et voila ce qui prouve que les mails viennent de du code sur ton hébergement.
Maintenant, remet en place UNE par UNE tes sites – de préférences le CMS à partir de la source chez dotclear. N’ajoute pas score les modules / plugins – active (importe) tes bases un par un.
Un moment donné, les mails commencent à être envoyés en nombre. Tu viens d'uploader le fichier contaminé.
Il est normal que tu ne trouve pas vraiment le code qui est responsable pour l'envoie des mails - il faut avoir une sacre expérience déjà avec PHP (et autres) pour reconnaitre ce qui ce passe - trouver une faille dans le PHP est encore plus 'difficile car ça demande une maitrise quasiment totale de cette langage.

hyperion66
13/12/2013, 15h35
Alors j'utilise le CMS dotclear. Il est à jour ainsi que tous les plugins.
Je n'ai trouvé aucun fichier étranger.

Nowwhat
13/12/2013, 14h52
Citation Envoyé par hyperion66
....
Je veux donc faire le nécessaire pour résoudre le problème (installation d'un CAPTCHA sur formulaire de contact ??), mais sur quel site dois-je agir ??
Si c'est toi qui gère tes sites: t'as pas le choix.
Il faut faire que tout admin devrait faire, tu t’échappe plus.
Garder à jour tes scripts.
Fait des sauvegardes.
Surveille la présence des fichiers "étranger" sur ton hébergement (en dehors du répertoire ou sont stocké les avatars, le upload des utilsateurts, etc)
Ne garde pas les vieilles versions - même si ça l'air de fonctionner.
Vérifie bien se qu'on peut uploader vers tes sites.
Chercher à comprendre ce que c'est, ces fichiers des logs - comprendre les erreurs qui sont mentionné - chaque erreur.
Ne travaille pas avec des formulaires de contact sauf si c'est lui du CMS d'origine (ou: toi et PHP sont des bonnes amies).
Ne jamais utiliser des 'truc' d'une source non-sur, donc n'active ou utilise JAMAIS de plugis/addons/mods/etc venant des tiers. L'exception est possible quand t'as vérifié les scripts toi même.

De plus, en tant que admin il existe une règle de base: il faut savoir et comprendre plus de ton site - les scripts - que le hackeur potentiel. Sinon, ton site va disparaitre, ce n'est qu'une question de temps.

Tout ça à l'ait chiant, mais disons que c'est comme rouler une voiture: c'est simple.
Mais fait la liste avec tous ce qu'il faut faire (et payer) pour avoir ce droit - et garder ce droit. Juste conduire une voiture .....
Avec un site, c'est pire, car tu expose ton code au monde entier.

Je te l'accorde que c'est beaucoup de boulot et peut être le temps te manque. De plus, on se forme au même moment, dès l'installation d'un site, on arrête pas de fouiller, de chercher à comprendre "comment ça marche" et "pourquoi ça marche". S'il faut faire ça dès que tu constate que quelque chose a foiré, c'est trop tard. On est 2013 donc l’assistanat est bien accepté maintenant: passe à la caisse "infogérance".

fritz2cat
13/12/2013, 14h51
Avec des centaines de milliers de sites hébergés, je comprends que l'intervention soit payante.
Même pour 20€ je refuserais de le faire.
C'est à toi de rechercher où est la passoire dans tes sites.
Il y a des logs web -> les as-tu regardés ?

hyperion66
13/12/2013, 12h36
Citation Envoyé par Nowwhat
4 sites - 18-25K mails par jour.
Sur un Mutu, qui, eux, sont limités à 1k (mille) mails par jour max (tout site confondus sur un même hébergement).
Normal que OVH te bloque.

Ce 25k mails sont tous des mails légitimes des tes 4 sites ou il s'agit des sites hacké et que tout le monde s'amuse avec pour faire du free-relay ?
Il s'agit malheureusement de hacks ! J'utilise légitimement via mail() 10 mails par jour maxi, tous sites confondus.
Je veux donc faire le nécessaire pour résoudre le problème (installation d'un CAPTCHA sur formulaire de contact ??), mais sur quel site dois-je agir ??

Nowwhat
13/12/2013, 12h28
4 sites - 18-25K mails par jour.
Sur un Mutu, qui, eux, sont limités à 1k (mille) mails par jour max (tout site confondus sur un même hébergement).
Normal que OVH te bloque.

Ce 25k mails sont tous des mails légitimes des tes 4 sites ou il s'agit des sites hacké et que tout le monde s'amuse avec pour faire du free-relay ?

hyperion66
13/12/2013, 08h51
Bonjour à tous et toutes,

Depuis plus d'une semaine, j'ai des problèmes d'envois bloqués récurrents sur mon hébergement. Je débloque tous les jours, mais tous les jours, ça rebloque..
Lorsque je vais dans Suivi des Emails (WEB), je vois qu'il y a entre 18000 et 25000 messages par jours qui sont envoyés. Problème, j'ai 4 sites hébergés sur ce domaine...avec 4 noms de domaine différents.

J'ai demandé au support OVH à partir de quel(s() site(s) était envoyé tout ce SPAM, ils m'ont dit que je devais payer 20€ de diagnostic pour le savoir :-(

Ce matin, à nouveau bloqué, mais avec le mention Envois bloqués pour spam.

Alors je veux bien essayer de régler le problème (je suppose que ça vient de la fonction mail() d'un de mes sites, mais aucune certitude), mais payer 20€ juste pour le savoir....

Auriez-vous une solution pour essayer de résoudre ce problème ?

Merci