[Résolu] Site 4.3.9 piraté (?) mais aucun fichier modifié (??) - OVH

Je me suis rendu compte quand j’ai récupéré l’accès à mon site, que je n’avais pas activé la compression des javascript dans la partie publique du site, donc mes fichiers compressés venaient de l’espace privé. J’ai désactivé le compactage des javascript dans la partie privée du site en suivant les instructions ici : Caches CSS et Javascript - Programmer avec SPIP 4 . Mon site a été remis en service et je n’ai pas reçu de nouvelle notification de « malware » (note : je suis également passé de 4.3.9 à 4.4.7).

Pour moi c’est un faux positif (dans la mesure où leur script ne relève pas de malware dans les javascript non compressés…) et j’espère que OVH règlera ce souci.

Bonjour,
Pour info : je suis hébergé chez NUXIT pour plusieurs sites SPIP, j’ai les mêmes messages assez régulièrement, même juste après des mises à jour.
Mais ils ne vont pas jusqu’au blocage des sites.
Amicalement

Sur les javascript compressés également ?

la liste des fichiers incriminés :
Liste des fichiers suspects :

• /la-fleche-pointue/ecrire/base/cachehttp.php: phpnet.php.Shx65ll
• /la-fleche-pointue/ecrire/base/delete_all-ajax.php: phpnet.{hex}php.obfuscatedBase64decode.5
• /la-fleche-pointue/ecrire/charsets/translitcomplexe.styles.php: phpnet.php.GenericMalware.130
• /la-fleche-pointue/ecrire/inc/acces-media.php: phpnet.php.hexBase64Decode
• /la-fleche-pointue/ecrire/inc/boutons.token.php: phpnet.php.webshell.5
• /la-fleche-pointue/ecrire/inc/modifier.opml.php: phpnet.{hex}php.injectedBase64.4
• /la-fleche-pointue/ecrire/inc/presenter_enfants-menu.php: phpnet.php.Shx65ll
• /la-fleche-pointue/ecrire/lang/ecrire_fa-media.php: phpnet.php.GenericMalware.50
• /la-fleche-pointue/ecrire/lang/ecrire_oc_ni_mis-tokens.php: phpnet.php.GenericMalware.50
• /la-fleche-pointue/ecrire/lang/public_co.mysql.php: phpnet.php.GenericMalware.130
• /la-fleche-pointue/ecrire/lang/public_km.tokens.php: phpnet.php.GenericMalware.130
• /la-fleche-pointue/ecrire/lang/public_my-plugin.php: phpnet.php.GenericMalware.3
• /la-fleche-pointue/ecrire/lang/spip_pl-plugin.php: phpnet.{hex}php.obfuscatedBase64decode.5
• /la-fleche-pointue/ecrire/lang/spip_pl.class.php: phpnet.php.GenericMalware.50
• /la-fleche-pointue/ecrire/public/styliser.menu.php: phpnet.php.webshell.7
• /la-fleche-pointue/ecrire/req/pg.exp.json.php: phpnet.php.injectedBase64.2
• /la-fleche-pointue/ecrire/src/Chiffrer/Cles-class.php: phpnet.php.hexBase64Decode
• /la-fleche-pointue/ecrire/typographie/fr.items.php: phpnet.{hex}php.injectedBase64.4
• /la-fleche-pointue/plugins/auto/socialtags/v3.0.3/index.php: phpnet.php.hexBase64Decode
• /la-fleche-pointue/plugins-dist/mediabox/lity/skins/_simple-dark/index.php: phpnet.php.injectedBase64.2
• /la-fleche-pointue/prive/formulaires/configurer_flux.inc.php: phpnet.{hex}php.injectedBase64.4
• /la-fleche-pointue/prive/formulaires/configurer_logos-mysql.php: phpnet.php.GenericMalware.3
• /la-fleche-pointue/prive/formulaires/dater-tokens.php: phpnet.php.GenericMalware.130
• /la-fleche-pointue/prive/formulaires/declarer_bases.module.php: phpnet.php.webshell.5
• /la-fleche-pointue/prive/formulaires/editer_article-media.php: phpnet.php.hexBase64Decode
• /la-fleche-pointue/prive/objets/liste/auteurs_associer_fonctions-token.php: phpnet.php.hexBase64Decode
• /la-fleche-pointue/prive/squelettes/contenu/navigation_fonctions.default.pdo.php: phpnet.php.injectedBase64.2
• /la-fleche-pointue/prive/squelettes/contenu/navigation_fonctions.default.tokens.php: phpnet.{hex}php.obfuscatedBase64decode.5
• /la-fleche-pointue/prive/squelettes/inclure/barre-nav_fonctions-info.php: phpnet.php.webshell.7
• /la-fleche-pointue/prive/squelettes/inclure/barre-nav_fonctions.general.php: phpnet.php.Shx65ll
• /la-fleche-pointue/prive/squelettes/inclure/menu-navigation_fonctions.block.php: phpnet.php.GenericMalware.50
• /la-fleche-pointue/spip.php: phpnet.php.wrnmb

Là, c’est très clairement des fichiers déposés par un hack.

Par exemple, /la-fleche-pointue/ecrire/public/styliser.menu.php n’existe pas dans un SPIP 4.4.7 normal

Courage !

De mon côté, OVH m’a indiqué avoir réglé leur problème de faux positif. Je vais de ce pas réactiver la compression des javascript et je reviens vers vous avec la confirmation que c’est bien réglé…

Après 2 ou 3 mails leur expliquant les mêmes choses et recevant les mêmes réponses témoignant de la non prise en compte de mes mails, ça semble en effet réglé pour OVH.

[HS] Aaah, le support technique OVH, un looooong poème (si toutefois tu as la chance d’avoir une réponse)
En tout cas sur les hébergements mutualisés, je en connais les autres.

Ils sont un peu lents mais j’ai obtenu des réponses précises à mes questions en tout cas et je les ai trouvés à l’écoute. Après, avoir posté directement sur le message de forum concernant leur nouvel outil anti-malware a sans doute aidé .

Problème résolu ! Le support OVH m’a confirmé que c’était bon.