[Résolu] Fichier test.functions.php-Supprimé par hébergeur

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
#1
Un gros soucis sur un hébergement d'un copain
- hébergeur https://www.axanti.com/  CANADA
- 5 cms v 1.12.2
- utiliser avec PHP 5.4.45 
je viens de lui filer un coup de main pour remettre quelques pages en état
et j’aperçois que le les fichiers /lib/test.functions.php avait disparu.
- je renvois ces fichiers en FTP vendredi dernier
- samedi fichiers supprimés
- et ce dimanche RE les fichiers test.functions.php on été supprime soit disant par un script 'maldet' qui trouve ces fichiers "douteux".
je contacte cet hébergeur et il me dis
"Si ce fichier est supprimé à chaque fois que vous le mettez c'est notre script 'maldet' qui doit le supprimer car il doit détecté un bout de code malveillant."

je lui fais passer le fichier et son antivirus trouve une alerte
" Écoutez, le script utilisé en arrière est CLAM Antivirus qui est
 installé sur la plupart des serveurs dédiés utilisant CPanel......"

Avez vous déjà renter ce problème ? peut être est un faux positif ?
mais dans ce cas pourqpui l'hébergeur supprime le fichier.
J-C Etiemble v 2.2.xx
#1
Un gros soucis sur un hébergement d'un copain
- hébergeur https://www.axanti.com/  CANADA
- 5 cms v 1.12.2
- utiliser avec PHP 5.4.45 
je viens de lui filer un coup de main pour remettre quelques pages en état
et j’aperçois que le les fichiers /lib/test.functions.php avait disparu.
- je renvois ces fichiers en FTP vendredi dernier
- samedi fichiers supprimés
- et ce dimanche RE les fichiers test.functions.php on été supprime soit disant par un script 'maldet' qui trouve ces fichiers "douteux".
je contacte cet hébergeur et il me dis
"Si ce fichier est supprimé à chaque fois que vous le mettez c'est notre script 'maldet' qui doit le supprimer car il doit détecté un bout de code malveillant."

je lui fais passer le fichier et son antivirus trouve une alerte
" Écoutez, le script utilisé en arrière est CLAM Antivirus qui est
 installé sur la plupart des serveurs dédiés utilisant CPanel......"

Avez vous déjà renter ce problème ? peut être est un faux positif ?
mais dans ce cas pourqpui l'hébergeur supprime le fichier.
J-C Etiemble v 2.2.xx
#2
Salut,

j'ai déjà rencontré ce type de suppression mais pour des scripts "maison", chez OVH. Cependant, jamais eu de suppression sur du CMSMS.
J'ai moins d'expérience sur du CPanel, mais pour en avoir quand même déjà utilisé avec CMSMS, jamais eu non plus de soucis ...

Peut-être tenter une mise à jour vers la 2.x ? Tu as possibilité de voir quel bout de code provoque la suppression dans l'antivirus ?
#2
Salut,

j'ai déjà rencontré ce type de suppression mais pour des scripts "maison", chez OVH. Cependant, jamais eu de suppression sur du CMSMS.
J'ai moins d'expérience sur du CPanel, mais pour en avoir quand même déjà utilisé avec CMSMS, jamais eu non plus de soucis ...

Peut-être tenter une mise à jour vers la 2.x ? Tu as possibilité de voir quel bout de code provoque la suppression dans l'antivirus ?
#3
Donc hébergeur compréhensif et intelligent

> Peut-être tenter une mise à jour vers
pas de mise à jour version PHP trop ancienne et les sites sont en fin de vie Wink

alors j'ai eu une réponse plus circonstanciée de l’hébergeur
Il s'agit NON pas de l'antivurius mais de leur script qui se sert de réglés ara-Rules
et donc la détection est {YARA}multiple_webshells_0018
Trouvé sur https://forum.cmsmadesimple.org/viewtopi...38#p334438
changié $owner en $fowner dans la function permission_octal2string( $mode )

Aussi corrigé préventivement par CG en 2.2.x
Par précaution sur le fichier a été modifié en version 2.2.x
- Prévention des faux positifs sur "multiple_webshells_0018" rule webserver virusscanner (https://github.com/Yara-Rules/rules/blob....yar#L4764)
- Prevent false-positive hit for "multiple_webshells_0018" rule webserver virusscanner by calguy1000 23/10/2018
/trunk/lib/test.functions.php
http://viewsvn.cmsmadesimple.org/diff.ph...&peg=11775

Bref c'est résolu (enfin j'attends la réponse définitive) , mais cela pourrait servir Wink
J-C Etiemble v 2.2.xx
#3
Donc hébergeur compréhensif et intelligent

> Peut-être tenter une mise à jour vers
pas de mise à jour version PHP trop ancienne et les sites sont en fin de vie Wink

alors j'ai eu une réponse plus circonstanciée de l’hébergeur
Il s'agit NON pas de l'antivurius mais de leur script qui se sert de réglés ara-Rules
et donc la détection est {YARA}multiple_webshells_0018
Trouvé sur https://forum.cmsmadesimple.org/viewtopi...38#p334438
changié $owner en $fowner dans la function permission_octal2string( $mode )

Aussi corrigé préventivement par CG en 2.2.x
Par précaution sur le fichier a été modifié en version 2.2.x
- Prévention des faux positifs sur "multiple_webshells_0018" rule webserver virusscanner (https://github.com/Yara-Rules/rules/blob....yar#L4764)
- Prevent false-positive hit for "multiple_webshells_0018" rule webserver virusscanner by calguy1000 23/10/2018
/trunk/lib/test.functions.php
http://viewsvn.cmsmadesimple.org/diff.ph...&peg=11775

Bref c'est résolu (enfin j'attends la réponse définitive) , mais cela pourrait servir Wink
J-C Etiemble v 2.2.xx
#4
Ah, j'ai eu une alerte antivirus aussi chez PHPNET sur une version 2.2.x, et ça a été corrigé sur la 2.2.9 :
"Prevent false-positive hit for "multiple_webshells_0018" rule webserver virusscanner (https://github.com/Yara-Rules/rules/blob....yar#L4764)."
#4
Ah, j'ai eu une alerte antivirus aussi chez PHPNET sur une version 2.2.x, et ça a été corrigé sur la 2.2.9 :
"Prevent false-positive hit for "multiple_webshells_0018" rule webserver virusscanner (https://github.com/Yara-Rules/rules/blob....yar#L4764)."
#5
En fait c'est pas l’antivirus en direct qui alerte mais un script de contrôle Wink qui est souvent mal configuré
J-C Etiemble v 2.2.xx
#5
En fait c'est pas l’antivirus en direct qui alerte mais un script de contrôle Wink qui est souvent mal configuré
J-C Etiemble v 2.2.xx


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)