Bonjour,
Lors de nos analyses de sécurité régulières, nous avons détecté la présence de fichiers malveillants (malwares) sur votre hébergement ******.ovh.net.
Par mesure de protection, nous avons temporairement bloqué les requêtes sortantes ainsi que l’envoi d’e-mails via les fonctions PHP. Cela signifie que vos sites installés sur cet hébergement ne peuvent plus expédier d’e-mails ni communiquer avec des services externes, le temps que la situation soit résolue.
Que dois-je faire ?
Consultez notre guide pour stopper cette activité anormale.
Une fois la situation résolue, connectez-vous à votre hébergement et demandez la levée des mesures de sécurité. Accéder à mon hébergement
Voici les fichiers malveillants que nous avons détectés :
/***/blog/prive/formulaires/login.php
/***/blog/plugins-dist/svp/exec/admin_plugin.php
/***/blog/plugins-dist/forum/formulaires/forum.php
/***/blog/plugins-dist/forum/formulaires/forum_prive.php
/***/blog/plugins-dist/forum/inc/forum_insert.php
/***/blog/plugins-dist/urls_etendues/urls/arbo.php
/***/blog/plugins-dist/safehtml/lib/htmlpurifier/standalone/HTMLPurifier/Lexer/PH5P.php
/***/blog/plugins-dist/compresseur/lib/JavascriptPacker/class.JavaScriptPacker.php
/***/blog/plugins-dist/medias/medias_pipelines.php
/***/blog/plugins-dist/medias/medias_fonctions.php
/***/blog/plugins-dist/medias/inc/documenter_objet.php
/***/blog/local/cache-js/668ea2ec2002cd70fdd602e95f1e9ee6.js
/***/blog/local/cache-js/57bf1b3e3335fec3a7e153945f53e2ee.js
/***/blog/local/cache-js/4d376f9fbcf16a352729596b3cbc4005.js
/***/blog/local/cache-js/01e003a0e2c21d023b9cd07f60331d05.js
/***/blog/local/cache-js/6fa046918f6b2b1db604902be0963b9a.js
/***/blog/local/cache-js/c5b5a51da4465ef74b43e390db589047.js
/***/blog/local/cache-js/f3e4578118a42028dcb52c37ea5f5b6d.js
/***/blog/local/cache-js/f3027559baccd90611debd7ef784ca47.js
/***/blog/local/cache-js/a4df7855a1684666d8a10c5f80404083.js
/***/blog/local/cache-js/81bfd7a106a30aa6f98c774da54fdd78.js
/***/blog/config/ecran_securite.php
/***/blog/ecrire/balise/formulaire_admin.php
/***/blog/ecrire/inc/cvt_multietapes.php
/***/blog/ecrire/inc/securiser_action.php
/***/blog/ecrire/inc/filtres.php
/***/blog/ecrire/inc/actions.php
/***/blog/ecrire/inc/admin.php
/***/blog/ecrire/inc/editer.php
/***/blog/ecrire/inc/auth.php
/***/blog/ecrire/inc/modifier.php
/***/blog/ecrire/inc/utils.php
/***/blog/ecrire/inc/bandeau.php
/***/blog/ecrire/inc/meta.php
/***/blog/ecrire/install/etape_3.php
/***/blog/ecrire/index.php
/***/blog/ecrire/public/assembler.php
/***/blog/ecrire/public/debusquer.php
/***/blog/ecrire/req/sqlite_generique.php
/***/blog/ecrire/req/mysql.php
/***/blog/ecrire/req/pg.exp.php
/***/blog/ecrire/action/inscrire_auteur.php
/***/blog/ecrire/action/cookie.php
/***/blog/ecrire/action/activer_plugins.php
/***/blog/ecrire/action/converser.php
/***/blog/ecrire/action/logout.php
/***/blog/ecrire/exec/upgrade.php
/***/blog/ecrire/prive.php
/***/blog/tmp/cache/skel/html_e97b14cdf188f593e99f5b099bc94a47.php
/***/blog/tmp/cache/skel/html_c14dad45cdd018456ba93e0334b8acac.php
/***/blog/tmp/cache/skel/html_227c2cd1f9cf4695c6e2082164b49332.php
/***/blog/tmp/cache/skel/html_50371ad7c8b33fd287f9627879bba86b.php
Cependant quand je compare ces fichiers à une référence (ancienne sauvegarde ou même archive zip Spip 4.3.9 téléchargée depuis Spip.net) mes diff ne remontent aucune différence.
Une idée de ce qui se passe ? Mon site est à jour (j’ai toujours fait les màj de sécurité dès leur parution) par contre je me suis rendu compte que j’avais 2 plug-ins pas à jour (Brèves en version 3.1.3 au lieu de 3.2.0 et Spip-Bonux en 4.2.0 au lieu de 4.3.0). Est-ce que ces mises à jour de plug-ins sont liées à la sécurité ?
Honnetement si les fichiers sont identiques au code de spip… je ne sais pas. C’est peut être OVH qui considère le code de SPIP comme insécure… mais il faudrait nous dire en quoi.
Ou alors il se peut que ce soit une offre concu au départ pour un autre CMS que SPIP, … et du coup il est étonné
Merci pour ta réponse Maïeul. le site est hébergé sur OVH depuis 3 ans, en mutualisé tout à fait classique, et c’est la première fois que j’ai eu ce message de leur part. J’ai ouvert un ticket chez eux. Si j’ai plus d’infos je reviendrai, sinon je ferai une réinstall.
Bizarrement j’ai reçu le même message aujourd’hui pour un wordpress que nous hébergeons (également sur un mutualisé OVH car je ne fais absolument pas confiance au propriétaire du site pour faire les mises à jour nécessaires …) … OVH déploierait un nouvel outil ? pour l’instant je n’ai pas enquêté sur le Wordpress en question , le site semble fonctionner mais je n’ai plus accès au back-office sans savoir si le souci vient du compte en lui-même ou d’un vrai piratage …
@Pierr0t si tu ouvres un ticket chez OVH peux-tu me tenir au courant de leur réponse ? Je continue à chercher de mon côté mais je ne trouve rien… la seule chose que je vois dans mes logs c’est le passage du crawler Facebook ces derniers jours (donc beaucoup de trafic entrant)
Aucune réponse de leur part, je vais essayer de réinstaller. Problème, je ne peux pas utiliser spip_loader (car ils ont bloqué les fonctionnalités permettant à PHP d’écrire dans le dossier local), je cherche donc une doc pour faire une réinstall via FTP pur, si ça existe encore ?
Si d’autres personnes ont le même problème que moi avec OVH je vous invite à ouvrir des tickets de support chez eux en mentionnant ce fil de conversation.
J’ai fait moi-même un ticket à OVH en référençant cette discussion … dans mon cas il s’agit d’un Wordpress dans lequel je n’ai rien trouvé d’anormal en dehors du fait qu’il n’était (pas du tout) à jour (v5.9.12) … j’en ai profité pour le mettre à jour ainsi que ses plugins et mettre en place un plugin de sécurité, changer quelques mots de passe … mais bon c’est un peu la même situation, j’ai l’impression qu’ils n’ont peut-être pas de signature pour cette version très ancienne ce qui déclenche leur outil … Bref à suivre.
PS: bizarrement quand je crée un message je ne peux pas aller à la ligne, ça remarche quand je l’édite. Sur Firefox à jour et MAcOS26, ça marchait avant.
PS2: OVH m’a répondu en re-faisant un scan et en me redonnant une liste de fichiers soi-disant hackés … j’ai fait un diff avec la distri officielle pour un fichier (le premier de leur liste), rien à signaler le fichier est identique et clean … donc je leur ai encore répondu pour leur demander de vérifier leur outil car il patine dans la choucroute … (si ça dure je migre sur un de mes serveurs).
Et j’ai aussi ouvert un fil dans les forums OVH pour voir si je peux glaner d’autres infos …
Quand je vais dans ce dossier cache-js et que j’ouvre les fichiers ce sont des gros javascript de 300+ko qui semblent contenir des scripts « compresssés » (espaces supprimés etc.), dont jquery. Je suppose qu’il s’agit de la fonctionnalité « compresser les javascript » qui se trouve quelque part dans l’administration du site. Est-ce que si je désactive cette fonctionnalité je peux ensuite supprimer ces fichiers et tout va bien ? Ou bien ça risque de faire bugger quelque chose ?
Mais dans un premier temps ça marcherait (le temps qu’ils corrigent leur bug) ? Moi ça me permettrait de récupérer l’accès complet à mon site, de faire mes mises à jour de plugins et de faire la migration de la 4.3.9 à la 4.4.7
Je reviens vers vous pour vous informer qu’après vérifications, il y a eu une mise à jour de notre système de scan qui a eu lieu de le 22 décembre dernier. Cela a affecté plusieurs clients et les a détecté comme faux positifs à des malwares.
Une correction a donc été apportée le même jour et le problème a donc été résolu. Votre hébergement n’est donc plus bloqué depuis ce jour.
Comme indiqué dans mes mails précédents, ce ne sont pas des fichiers dangereux et ils ont été considérés comme faux positifs. Vous n’avez donc aucune action à mettre en place de votre côté.
Merci pour votre compréhension, je vous souhaite une agréable journée.
Certains robots de OVH faignent s’intéresser à mes signalements, mais d’autres robots continuent à me signaler des faux positifs dans les js compactés…
