Comment nettoyer mon site de cette intrusion ?

Bonsoir à tous,

Je résume la situation (pour ceux que ça intérsse, j'ai déjà exposé les détails dans le post "Fiabilité de Google pour détecter les codes malveillants ?!").


De : noreply@google.com
Objet : Phishing notification regarding mon_site.fr

[...]
Dear site owner or webmaster of mon_site.fr,
[...]
Below are one or more example URLs on your site which may be part of a phishing attack:

http://mon_site .fr/~centreon/verifier/etap1.html

[...]

Google Search Quality Team


J'ai d'abord cru à un message bidon, mais le lien indiqué conduit sur une page valide qui contient un formulaire de saisie immitant à s'y méprendre un contrôle Visa-MasterCard. Avant d'y arriver, Firefox m'affiche un avertissement.

Je n'aurais peut-être pas dû le faire, mais j'ai testé le faux formulaire de vérification bancaire (avec des données bidon), et j'ai obtenu une pleine page de messages d'erreurs.

Ce qui m'étonne, c'est que j'ai cherché avec un client FTP sur mon site, et je n'ai rien trouvé à part les fichiers de WordPress (qui sont trop nombreux pour que je les scrute tous), et des répertoires dont le nom commence par "_vti_" (et dont je n'ai pas la moindre idée de ce à quoi ils peuvent bien servir 8O )

J'ai fait les tests des 3 sites suivants:
http://www.unmaskparasites.com/
http://sitecheck.sucuri.net/scanner/
http://soswebscan.com


Mais aucun d'entre eux n'a révélé quoi que ce soit d'anormal (à part une mise à jour de WP à effectuer car je n'ai pas encore la toute dernière version qui est encore un peu trop récente à mon goût).

Je précise que cette "anomalie" ne bloque nullement mon site, mais Google me demande de le nettoyer et de renforcer sa sécurité. Pour la sécurité, je viens de lire quelques unes de vos contributions, et j'ai compris que mon site est probablement une vraie passoire (du moins que j'ai beaucoup de choses à faire pour le sécuriser d'avantage).

Par contre, comment nettoyer cette page de phishing ?
(je n'ai aucune envie de participer à une arnaque :calim2: )

Merci de m'éclairer

Cordialement

Alain

Peux-tu activer l'affichage des fichiers cachés sur ton client FTP ?
Ou bien accéder autrement aux fichiers de ton serveur ? SSH ?

Citation:

---

Envoyé par dsy

Peux-tu activer l'affichage des fichiers cachés sur ton client FTP ?
Ou bien accéder autrement aux fichiers de ton serveur ? SSH ?

---

Oui, et les fichiers qui apparaissent alors sont des ".htaccess" (dans la partie web). Dans le niveau au dessus (celle qui contient le répertoire "public.html" alias "www"), je trouve d'autres fichiers cachés (je ne sais pas si je peux sans risque les citer ici).
Je me suis également connecté via le cpanel, et je vois les mêmes fichiers qu'avec mon client FTP.

Le problème c'est que cpanel ou le ftp sont limités pour travailler sur les fichiers. Il te faudrait un accès SSH pour faire une recherche de fichiers.

Merci !

J'ai voulu, pour l'accès à distance en SSH d'utiliser Putty. Je suis allé voir le site qui propose cet utilitaire, et il ne propose que des versions pour Linux ou Windows (or j'utilise un Mac) !

Quel utilitaire gratuit pourrais-je télécharger ?

(mille excuse pour mes questions naïves)

Sous Mac OSX tu peux utiliser la commande ssh :

• Ouvrir l’application « Terminal »
• Puis taper la commande suivante :

ssh [nom de login]@[adresse IP du serveur]
Dans ton cas, cela devrait ressembler à ssh root@mon_site.fr

http://www.ehow.com/how_5088544_use-ssh-mac-os-x.html
http://kb.mediatemple.net/questions/...+%28Mac+OSX%29

Sinon il existe des utilitaires comme www.rbrowser.com ou cyberduck.ch

Sous un système Unix tu as une commande en mode console nommée ssh ;)
Putty sous linux ne fait qu'apporter une interface graphique par dessus.

Edit: grillé :calim2:

Citation:

---

Envoyé par dsy

Sous Mac OSX tu peux utiliser la commande ssh :

• Ouvrir l’application « Terminal »
• Puis taper la commande suivante :

ssh [nom de login]@[adresse IP du serveur]
Dans ton cas, cela devrait ressembler à ssh root@mon_site.fr

http://www.ehow.com/how_5088544_use-ssh-mac-os-x.html
http://kb.mediatemple.net/questions/...+%28Mac+OSX%29

Sinon il existe des utilitaires comme www.rbrowser.com ou cyberduck.ch

---

Merci beaucoup, mais c'est vraiment trop compliqué pour moi.
J'ai donc ouvert un ticket d'assistance auprès de mon hébergeur (PlanetHoster). Je verrai bien s'ils veulent bien m'aider ou pas.

C'est paradoxal, on voudrait faire croire à l'utilisateur lambda qu'il peut tout faire lui-même en lui fournissant des outils à l'interface simplifiée. On oublie juste de nous prévenir qu'en cas de pépin, nous seront aussi démunis que les pilotes d'avion qui pensaient pouvoir se fier à leur pilote automatique.


Merci à tous ceux qui m'ont partagé leur expertise.

Cordialement

alain

Bonsoir à tous,

voici l'épilogue de mon histoire.

Après avoir constaté que sur un autre site que j'administre, et situé chez le même hébergeur, avec une config très semblable, il n'y avait aucun répertoire dont le nom commence par "_vti_", j'ai entrepris de "faire le ménage", cad de supprimer tous ces répertoires là. Une fois ce ménage effectué, l'alerte "page malveillante" subsiste, mais on n'arrive nulle part (en fait on est redirigé sur "page non trouvée").

J'en déduit donc que cette page malveillante existait bel et bien, et se trouvait ds un des dossiers "_vti_" (qui renseignements pris sont des fichiers utiles pour le logiciel Frontpage de Microsoft).

Je n'ai malheureusement pas pensé à garder une copie locale sur mon ordi de ces dossiers inutiles (et potentiellement nuisibles), si bien que je n'ai pas pu analyser plus finement l'origine de cette incursion.

Suite à cette mésaventure, j'ai blindé mon site autant que j'ai pu !

Merci à ceux qui m'ont répondu (dont PlanetHoster, mon hébergeur).

Bien cordialement

Alain