Bonjour,
Je viens de recevoir un message de mon hébergeur OVH indiquant ceci :
Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque. Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.
Vous trouverez ci-dessous les détails techniques de cette opération :
Domaine : monclient.com
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php5.6/lib/php-extensions:/images/x86.r3/lib php-fpm: pool decals
Exécutable utilisé : /bin/bash
Horodatage: 2017-10-31 19:10:05
Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.
J'ai tenté de retrouver cette commande 'ld-linux.so.2' (une [fausse ?] librairie plutôt...)
find -type f -exec grep "ld-linux.so.2" {} \; -print
Sortie :
Binary file ./www/site/core/vendor/ensepar/tcpdf/fonts/utils/ttf2ufm matches
./www/site/core/vendor/ensepar/tcpdf/fonts/utils/ttf2ufm
Binary file ./www/site/core/vendor/ensepar/tcpdf/fonts/utils/pfm2afm matches
./www/site/core/vendor/ensepar/tcpdf/fonts/utils/pfm2afm
J'ai étudié les logs bruts. La différence au moment du problème avec tous les autres logs (j'ai comparé sur 2 mois), c'est cette ligne, qui se répète environ 200 fois avec une IP différente dans un laps de temps d'environ 5h tous les 2/3 minutes environs.
[Tue Oct 31 19:05:59 2017] [crit] [client 109.212.129.23] [host www.monclient.com] (13)Permission denied: AH00529: /homez.652/client/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/homez.652/client/' is executable, referer: http://www.monclient.com/courses-et-rallyes.html?category_id=3&page=26
Je précise que l'hébergement (OVH 90plan, oui, y'en a encore...) est utilisé uniquement par ce site. Pas de scripts, CMS ou autres. Je précise qu'il s'agit d'une installation récente de Thelia (2.3.3 ou 2.3.2, j'ai plus accès au BO). Je n'ai installé aucun module. J'utilise le template par défaut. Pas de bidouillage. Le client n'a aucune connaissance technique et ne sais pas accéder à son hébergement pour cette raison. J'ai effectué seulement quelques modification dans le CSS. Je n'ai pas vu de script cron dans l'interface de l'hébergeur (OVH).
Je suis très surpris par cette affaire. Je pensais réellement que la probabilité de piratage d'un outil basé sur des symfony, plus robuste q'un Joomla ou un WordPress étais très très faible. Il s'agit plus la d'une vraie incertitude plutôt qu'un jugement de valeur sur THELIA.
J'ai besoin d'aide. Si vous avez une piste, n'hésitez pas.
Merci d'avance !