[Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - Version imprimable +- Forum CMS Made Simple FR (https://forum.cmsmadesimple.fr) +-- Forum : Général (https://forum.cmsmadesimple.fr/forum-3.html) +--- Forum : Installation (https://forum.cmsmadesimple.fr/forum-8.html) +--- Sujet : [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. (/thread-2316.html) |
[Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~ Bonjour, Il y a un mois mon hebergeur avait bloqué le site car un fichier posait une surcharge (il parlait de piratage ...). le fichier indiqué était: hebergeur a écrit :Le fichier qui pose problème se situe dans le dossier /admin/ et s'appelle stcp.php J'élimine tout et je réinstalle. cmsmadesimple. Aujourd'hui de nouveau bloqué, la raison: hebergeur a écrit :Bonjour, Ce que je n'ai pas fait c'est nettoyer la base de donnée, peut être une erreur de ce coté. Quelqu'un à t'il une idée de la source du soucis? Merci. [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - heriquet - 25/10/2012 Salut, Non aucune idée. Par contre 780000 fichiers dans le tmp, ca fait beaucoup et c'est pas normal. Tu utilises des modules additionnels au CMS en lui-même ? As-tu une copie de ton site afin de le tester ailleurs ? [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 haaa c'est toi qui a saturé le mutu de FH ??? :lol: Je vais voir avec Caaaptus le responsable pour te redonner les accès en lui expliquant que je vais prendre les choses en main avec toi car il faut s'assurer que cmsmadesimple soit pas incompatible avec cet hébergeur. Par contre /admin/stcp.php n'est pas un fichier cmsmadesimple ce qui me laisse penser que effectivement tu t'es fait pirater ton site d'une manière ou d'une autre ... http://www.persianlab.com/shellscan.php recherche y stcp.php pourras tu me laisser les full accès (SQL/FTP/compte admin) quand ils le remettront sur pieds ? (par email) [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 Il y avait il d'autres softs installé sur le site ? des codes php perso ? [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Bonjour, merci de l'aide, j'avais éliminé tout ce qui n'était pas cmsmadesimple. Je viens de nettoyer la base de donnée des restes de vieux trucs installés. Par contre effectivement, je viens de comparer ma sauvegarde à une installation fraîche, je trouve un fichier indx.php avec ce code qui me semble suspect: Code : [== PHP ==] [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 en quelle version était cmsmadesimple durant le premier piratage ? [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Version 1.10.3 D'après les sauvegardes de l'époque. édit: vue la tête de la sauvegarde j'ai du installé une 1.11.2 par dessus. Donc changement de la base de donnée mais pas nettoyage total des fichiers. (un vrai travail de sagouin pressé). [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 et il y avait d'autres soft à l'époque ? lequels et quelles version stp (1.10.3 n'était pas déclaré faillé à l'époque, ça peut pas venir de cmsms lui même) [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - Jean le Chauve - 25/10/2012 Il s'est sans doute fait hacker le ftp. [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Il y avait un reste de site test dans un autre dossier en 1.6.x mais obsolète, il n'affichait plus qu'un message d'erreur, le nom du cms et la version n’étaient pas visible directement. ce qui était plus risqué: jcb explorer qui n'évolue plus et n'est donc plus sécurisé (désinstallé suite au premier soucis).http://www.jbc-explorer.info/?action=news phpfilenavigator: http://pfn.sourceforge.net/index.php?opc=1&lg=ing Tout 2 éliminés depuis. Jean le Chauve a écrit :Il s'est sans doute fait hacker le ftp. Pas certain vue les 2 éléments sus mentionnés Depuis le temps jcb explorer doit être devenu une vrai passoire. Ce qui surprend c'est que là ces 2 scripts sont absents, à partir de l'un 2 il a fallu remonter à la racine du site et tout les dossiers et fichiers ne sont pas accessible en écriture. [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Voici le contenu du fichier déclaré comme étant la cause du problème lors du premier "piratage": /admin/stcp.php Code : [== PHP ==] Voici la liste des modules présents: [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 non, voilà ce qui a du se passer je pense : * tu as cmsms 1.10.x + d'autres softs dépassés * le pirate te pête ton hébergement via l'un des softs dépassés * il t'infecte tout, y compris cmsmadesimple 1.10.x, c'est facile il est déjà dans la place * tu supprime les traces et tous les softs dépassés mais tu oublies de nettoyer cmsmadesimple 1.10.x * reste une backdoor sur un hébergement "sain" à priori * le mec repasse te dire bonjour fin de l'histoire.... [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 C'est probable. J'ai fait une M à J de 1.10 vers 1.11. Je n'ai pas tout effacé sur cmsms en me disant ça fera moins de boulot :lol: La solution est donc: 1) convaincre l’hébergeur de réactiver mon compte. 2) vider entièrement la racine du site. (sauvegarde des images et pdf?) 3) puis réinstallation complète. 4) tout reconfigurer. Du boulot en vue surtout pour le thème, les articles j'ai la base de donnée, les images et fichiers je les ai (possibilité qu'il y est une image un pdf ou autre qui est été corrompu?) [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 Un tout grand merci pour l'aide! Je vais reprendre contact avec mon hébergeur. Je t'envoie les infos courriel après Bess. ps: stcp est bien dans la liste, mais il doit y en avoir d'autre car je l'avais éliminé. D'ailleur le fichier indx.php appel stcp.php et j'ai trouvé d'autres fichiers qui font de même. [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 sauvegarde ton FTP en entier (files + bdd) sur un support figé à côté de cela : supprime tout sauf le répertoire uploads dans le répertoire /uploads fait des recherches et vire tout ce qui n'est pas jp?eg, gif, png, ... vérifie que les éventuels fichiers .htm?l sont bien vide vérifie qu'aucun fichier php, exe, ou autre extension chelous soient restées, y compris en fichier cachés Une fois un /uploads nettoyé : tu fait une nouvelle installation standard en local avec la version que tu utilisais avant le crash. Tu vas jusqu'au bout de l'installation. Tu remplace le contenu de la bdd locale par la sauvegarde que tu as fait (normalement ils ne s'attaquent pas à la bdd) et remplace le contenu de /uploads par ta sauvegarde nettoyée. Vérifie que tout tourne correctement, ajuste tes paramétres. Balance tout sur FTP. Pour persuader les équipes FH je te conseil de jouer carte sur table et d'expliquer que ce n'est pas une erreur de ta part ou de cmsms mais bien un reste malheureux de l'ancien piratage de ton site et qu'on l'on est tous sur le pont pour t'aider à résoudre le truc [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 J'ai deja ouvert un ticket, j'attends la réponse. Bonne fin d'après midi. ps: Je trouve des fichiers suspect dans le dossier admin. le dossier uploads présente un fichier php nommé : article5.class.php que je n'ai jamais mis là. Code : [== PHP ==] [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 25/10/2012 tu sais ce qu'il faut faire : supprime, supprime [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - Jean le Chauve - 25/10/2012 J'utilise un fichier php pour vérifier s'il y a eu intrusion dans mon système de fichier comme notre ami geantick (trouvé sur le forum ovh). Je vous le conseille fortement : nommez-le modifFile.php et placez-le à la racine de tous vos sites. Pour l'utiliser, il suffit de taper nomdedomaine.com/modifFile.php dans la barre d'adresse du navigateur et de suivre les instructions. Il vous dit si un fichier a été modifié ou ajouté dans un dossier et tous ses sous-dossiers sur une période de temps à définir. Ne vérifiez pas le dossier tmp. Code : [== PHP ==] [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - jce76350 - 25/10/2012 Citation :J'utilise un fichier php pour vérifier s'il y a eu intrusion dans mon système de fichierça existe en standard dans l'admin du CMS depuis longtemps le contrôle [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - Jean le Chauve - 25/10/2012 @Jean-Claude : si je ne me trompe, ce contrôle ne vérifie que les fichiers du cms, il ne vérifie pas si de nouveaux ont été ajoutés comme c'est le cas pour geantik (j'ai eu le coup également). [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - jce76350 - 25/10/2012 Citation :si je ne me trompe, ce contrôle ne vérifie que les fichiers du cms, il ne vérifie pas si de nouveaux ont été ajoutésOui mais c'est déjà pas mal et dans la cas présent c'est suffisant car le mal... était dans /admin [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 25/10/2012 En réalité dans admin et quasi tout les dossiers avec ou sans htaccess. Ils portent des noms qui peuvent faire penser qu'ils appartiennent au système, mais un fichier nommer acticle5.class.php dans image je ne vois pas ce qu'il fait là. J'ai récupérer mes images et documents, encore que je me demande si je ne devrais pas en mettre des fraîches, di le petit malin en a trafiqué une. Demain je refais une installation toute neuve. Merci pour le script Jean le Chauve, je l'ajouterai. Enfin la blague a failli me coûter le compte et sur les 2 fois je pense avoir raté quelques clients :lol: [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 26/10/2012 Voila base de donnée vierge et racine du site aussi. Je comptes utiliser la sauvegarde de la BD pour le gabarit, les modifs du thème et les articles. Dois recréer le site avec une BD dont les tables ont la même identification puis importer toutes ma sauvegarde ou je peux être sélectif dans les tables que j’importe? Merci. Bess veux tu toujours les infos demandées plus haut par courriel? Si oui il va me falloir une adresse pour expédier [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - bess - 26/10/2012 si tu t'y connais, tu peux importer de manière sélective en évitant les modules Tiers que tu es prêt à abandonner ou à réinstaller de zéro. Si t'as des doutes, et après un Nieme Backup, tu importes tout ton sql en remplacement (et non juste en insert), vérifie que ton préfixe de base est toujours le même : cms_ pour les accès ça ne me semble plus impératif, tu as l'air de te débrouiller très bien [Résolu] Site bloqué par l'hebergeur suite à surcharge du /tmp. - geantick - 26/10/2012 Le préfixe des tables j'ai pris pour habitude de le personnaliser. merci. Ok, je vais faire plus simple, je vais ouvrir les 2 phpmyadmin et faire des copiés collé de ce qui est indispensable et des modifs dans les tables (cela ne concerne que 3 ou 4 tables ça va vite). Par contre je ne parviens pas à restituer mon ancien site en local, manifestement un problème de configuration (err 500). Je dois modifier les accès à la BD ailleurs que dans config.php? |