1. Florence Rouch
  2. Support aeSecure
  3. vendredi 12 avril 2019
  4.  S'abonner via e-mail
Bonjour Christophe,

Je te communique ci-dessous l'email de mon hébergeur m'annonçant une attaque sur mon site qui les a obligés à en bloquer l'accès.
(quand on allait sur l'URL, on avait juste une page blanche avec Access denied).

Il est vrai que je n'avais pas mis à jour mon joomla depuis la 3.8.13. PAS BIEN...

Comme j'étais en train de travailler à la version suivante (à jour, elle !), j'ai fini mes développements et ai mis en ligne la nouvelle version.
Mon site actuel n'est donc PAS bloqué.

cette attaque fait suite (chronologiquement, mais pas forcément de cause à effet) à une attaque de type spoofing (usurpation de l'adresse mail générique du site, qui n'est d'ailleurs en fait qu'une simple redirection, et dont il est normalement impossible d'envoyer quoi que ce soit...)
Pour ça aussi, je reproduis ci-dessous un des (1500 et quelques) mails avec 'Mail delivery failed' pour des trucs que personne n'a jamais envoyé chez nous...

Ma demande, c'est surtout d'essayer de comprendre ce qu'il s'est passé pour éviter que ça ne se reproduise.
L'email de mon hébergeur ci-dessous te donne-t-il assez d'info pour ça ?

J'ai bien essayé de télécharger le index.php pour voir ce qu'il y avait dedans, mais WinSCP bloque avec le message suivant :

Permission insuffisante
Code d'erreur : 3
Message d'erreur du serveur : Permission denied

Il doit falloir rétablir des permissions, mais je n'ose pas trop y toucher de peur d'aggraver le problème.

J'attends ta réponse, puis je supprime purement et simplement les fichiers et dossiers de cette ancienne version (j'attends ta réponse car je me dis que tu as peut-être besoin de voir quelque chose dans ces fichiers avant que je les supprime ??)

Merci.

Bien à toi,

Florence Rouch
PS : mon panneau de contrôle sur ton site m'indique que je devrais renouveler mon abonnement, je m'étonne de n'avoir pas reçu de rappel comme l'an dernier, ni de code remise pour renouvellement hâtif (alors que le panneau de contrôle indique que je vais en recevoir un 15 à 30 j avant l'échéance laquelle est, sauf erreur, passée...)

---------- Message d'origine ---------- ====================> SUITE A L'ATTAQUE AYANT ENTRAINE LE BLOCAGE DU SITE
De : "1&1 IONOS, Service Sécurité Hébergement"
Date : 4 avril 2019 à 23:08
Sujet : Attaque sur votre contrat 1&1 IONOS: Informations de sécurité importante

Bonjour Florence Rouch,

Ce message contient des informations importantes concernant votre contrat 1&1 IONOS.

Il y a quelques minutes, nos mécanismes de sécurité ont détecté un comportement inhabituel lors de l'expédition d'e-mails depuis votre espace Web.

L'envoi a été lancé via les fichiers suivants de votre espace Web :

~/index.php

Détails à propos de l'incident :

Expéditeur : contact@mondomaine.fr, webmaster@mondomaine.fr
Date de l'envoi : 2019-04-04 21:02:54 UTC
Nombre d'e-mails : 9
Nombre de tentatives de livraison : 9
Pays de l'adresse IP expéditrice : 193.42.x.x (UA), 193.42.x.x (UA), 185.194.x.x (NL), 185.194.x.x (NL), 95.168.x.x (FR)
Domaine du destinataire : web.de, email.com, mondomaine.fr

Afin de bloquer l'envoi et d'éviter tout autre abus depuis votre contrat, nous avons bloqué les fichiers nommés ci-dessus.

Afin de pouvoir désactiver les autres fichiers dont le comportement d'expédition est atypique, notre analyse continuera même après l'envoi de cet e-mail.

Une liste complète des fichiers se trouve sur votre espace Web dans le dossier /logs/forensic/. Vous pouvez accéder à ce dossier avec n'importe quel programme FTP (comme par exemple FileZilla).

Veuillez vérifier les points suivants afin de rétablir la sécurité de votre contrat.

Avez-vous intentionnellement procédé à cet envoi ?

==============> NON !

Restaurer les droits des fichiers

Afin de débloquer les fichiers nommés ci-dessus, modifier simplement les droits du fichier par "604".
Est-ce que l'envoi a eu lieu à votre insu ?
==============> OUI !!

Vérifiez que les fichiers nommés sont utiles au fonctionnement de votre site Web. Si les fichiers ne sont pas nécessaires, veuillez les supprimer.

S'il s'agit d'une fonction requise pour le fonctionnement de votre site Web, comme par exemple le formulaire de contact ou une fonction de recommandation, veuiller le <strong><span itemscope itemtype="http://schema.org/Article"><span itemprop="keywords">sécuriser</span></span></strong> en conséquence.


L'expérience montre que l'utilisation d'un CAPTCHAs est d'une grande utilité.
=============> J'ai des CAPTCHAS (Google) sur mes formulaires

Est-ce que vous utilisez un CMS tel que Joomla! ou WordPress ? Effectuez une mise à jour vers la version la plus récente du le CMS et du plug-in utilisé ?
===============> Je n'étais effectivement PAS à jour

Utilisez exclusivement des plug-ins dont le développement continue et qui disposent de fonctionnalité anti-spam tel que des captchas.


---------- Message d'origine ---------- ======================> EXEMPLE DE MAIL RECU DEPUIS L'ATTAQUE DE TYPE SPOOFING (j'en ai plus de 1500 comme ça, et si tu as besoin de voir le mesage complet, y compris le détail indiqué à la suite de ce texte d'introduction, tu me le dis)

De : Mail Delivery System < mailer-daemon@kundenserver.de>
À : contact@mondomaine.fr
Date : 5 avril 2019 à 00:16
Sujet : Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address(es)
failed:

email@email.com:
SMTP error from remote server for RCPT TO command, host: mx01.mail.com (74.208.5.22) reason: 550 Requested action not taken: mailbox unavailable
Commentaire
Aucun commentaire n'a été posté pour le moment.


Il existe des réponses à cette discussion mais vous n'êtes pas autorisé à y accéder.

Prêt à sécuriser votre site web ? Télécharger