Bonjour,
J’ai eu un site hacké. J’ai voulu tout vider, et impossible… supprimé tous les dossiers sauf… www/wp-content
D’abord supprimé le dossier www, pas facile, les droits étaient à 555, si je repassais à 777, il repassait à 555 dans les 3 secondes.
Donc en jonglant avec Filezilla, dans la seconde, j’arrivais à le supprimer.
Mais il est réapparu dans les 2 secondes !
Changé les mots de passe ftp.
Encore pareil, impossible de supprimer les nombreux fichiers créés.
Quand je supprimer .htaccess et index.php à la racine, ils réapparaissent !
Comment est-ce possible ?
Merci
Comme d’autres ont pu déjà l’indiquer : une tâche cron qui remet le hack ?
Bonjour,
J’imaginais ça. Mais je supprime tous les fichiers.
Ça veut dire que la tâche CRON a été créée en chargeant le programme en mémoire, et qu’elle n’a pas besoin de recharger le fichier .php exécuté chaque fois qu’elle est relancée ?
C’est sur un serveur OVH mutualisé. Comme arrêter la tâche ?
Merci
Il a été aussi suggéré de redémarrer le serveur (pour hack restant en mémoire).
Il est possible que chez OVH, ça puisse se faire en changeant la version de PHP (2 fois : 1 fois pour une autre, 1 fois pour revenir à la version souhaitée).
Bonjour,
J’ai réussi à stopper la régénération virale des fichiers en créant un fichier .ovhconfig définissant une version PHP 4.3 et pare-feu activé…
Merci du tuyau pour le changement de version PHP.
1 « J'aime »
Bonsoir,
PHP 4.3 ? Ne serais ce pas 8.3 ?
et je lisais plus haut un « wp-content » c’est pas du SPIP cela donc un erreur ?
Merci
Non non, bien 4.3, pour avoir une chance que le script actuel ne fonctionne plus avec une vieille version de php
C’est bien un site SPIP qui a été hacké, mais le script crée le dossier racine www et un sous-dossier wp-content, même sur un site SPIP, et même s’il n’y a plus aucun autre fichier sur l’hébergement !
Donc version de SPIP très ancienne non ?
NNAANNNNN !
Je ne faisais pas tourner SPIP sur ce PHP.
Il n’y avait plus AUCUN fichier sur l’hébergement !
Juste les 2 dossiers et 5 fichiers qui se régénéraient par une tâche CRON après chaque vidage complet…
L’objectif du PHP vieille version était de faire planter le script en tâche CRON (voire de créer une erreur 500 du serveur), donc d’arrêter la tâche.
1 « J'aime »
Bonjour, il me semble avoir le même problème avec un site SPIP (en 4.1) - impossible d’effacer des fichiers sur l’espace sous mon FTP, réapparition des fichiers supprimés ou modifiés dans les 3 secondes… etc. J’ai suivi (enfin j’espère) la méthode décrite ici qui consiste à la racine du site à modifier le fichier .OVHconfig. Mais que faut-il faire ensuite ? j’ai le sentiment que le problème persiste. J’ai compris que le site était totalement à refaire et à réinstaller sous une plage blanche… mon souci est d’avoir cette page blanche !!! Si tu pouvais me communiquer quelques conseils à partir de la démarche que tu as engagée. Merci beaucoup.
Bonjour,
Voici la config .ovhconfig que j’ai mise :
container.image=legacy
http.firewall=security
environment=production
app.engine=php
app.engine.version=5.4
(J’ai même mis une version 4.3 qui n’est probablement plus installée, en espérant provoquer une erreur 500)
Essaie de changer le max de paramètres :
- container.image=stable64 → =legacy
- app.engine.version=8.1 → =5.4
- app.engine=phpcgi → =php
- http.firewall=none → =security
Tu attends 10 minutes, tu vides ton hébergement (ou les mauvais fichiers), et tu repasses avec la version .ovhconfig d’origine.