bon, a prioris pas d'acces aux logs pour le moment. j'essayerais plus tard.
Mais est il possible que le fait de copier un gros repertoire comme inbetween avec un script php (net2ftp) puisse generer une alerte backdoor.?
A+

je crois pas, mais les logs pourront tous vous éclaircir.

alors tu peux contacter le support OVH pour avoir les logs , c'est ton droit


Pour le Spam, ça vise les site xoops, et ça fait de grands sujets, ici comme sur Xoops.Org


CIA

Salut

regarde si tes logs sont pas ici

https://logs.ovh.net/saintfaust.info/

il te faut ton mot de passe ovh pour te connecter

ils sont bien la, mais il falais rajouté -ovh a la fin du nic-handel, mais ca ils ne le disent nul par....grrrr.
je suis en train de les lires mais je ne trouve pas de lignes correspondant a peut près a la date et l'heure ou Mr bush s'est inscrit.
qu'est-ce que je doit chercher. car si je les mets dans le post, ca risque de faire lourd.
merci
edit:
PS je n'ai pas les logs pour aujourd'hui

tu veux une simple méthode ? car ça vaut pas le coup de casser la tête avec ce Con tant que c'est globale.

Admin > Commentaires

tu auras les commentaires d'un certain pseudo genre :

- pcnax + Chiffre
- agt + Chiffre
- abond + Chiffre
- kakto + Chiffre
- agent + Chiffre
- james + Chiffre

et dans leur profiles ( même si c'est la même personne "spam rebot" ) , le site : http://george-walker-bush.info

dans ces commentaires, il poste qq chose sur Bagdad

alors tu suprimes les comptes, tu ban les IPs, et d'autres trucs à voir au début de ce sujet.


CIA

toujours pas de logs pour hier. de toute facon je ne pense pas que ce soit due a mr bush car il n'a posté aucun commentaires.
le pb est apparu a chaque fois que je me suis servi de net2ftp avec de gros repertoires. je ne m'en suis pas servi depuis hier, et pas de pb aujourd'hui.
si il y a du nouveau, j'ouvrirais un nouveau post.
en tout cas, merci pour votre aide.
A(dishatz)+

Salut

de toute facon il ne faut pas t'inquieter avec ovh,moi aussi je recois des messages de ce types des que un emails bloque ou tout autre choses

c'est sûre, mais hier j'ai constaté qu'on a arrivé à :
- uploader une page de "hacked by" dans mon répertoire /web
- uploader des fichers de shell dans la racine ( shell.txt, /r57 ... ) que j'ai netoyé.
- j'ai mis un .htaccess dans /uploads avec la ligne pour empecher l'uploads et l'exécution de ce type de fichiers dans ce dossier :

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

mais j'ai laissé en 644 alors on a pu y pénetrer avec cette requêtte : \\rtf1\\fbidis\\ansi\\ansicpg1256\\deff0\\deflang1025{\\fonttbl{\\f0\\fswiss\\fcharset0

une ligne que j'ai trouvé dedans .htaccess, mais quand j'ai mis tous mes .htaccess en 444 ça sent stable.
- Selon les logs server, on insiste bien sur Tinycontent et surtout sur un certains fichiers et qui font pas partie du module :
/modules/tinycontent/admin/spaw/lib/toolbars/sidetable/by_dom.php
/modules/tinycontent/admin/spaw/spaw_control.class.php


ça devient Chaud et c'est bien pour poucoir sécuriser Xoops

c'est normal quand ça insiste sur Tinycontent et spaw dans la mesure où des failles sont connues et reconnues avec ces modules.
de toute façon, tu as été hacké, ça c'est confirmé, mais le souci, c'est qu'en principe, en cas de hack, tu effaces tout, et tu remets une sauvegarde fiable de ton site.
car là, tu prends le risque de laisser une porte ouverte au hackeur, et tu pourras mettre toutes les protections que tu veux, si le hacker a des fichiers sur ton site, il peut potentiellement recommencer, ou utiliser ton serveur discrètement pour d'autres choses (ça c'est plus compliqué sur du mutualisé).
en cas de hack confirmé (ou suspecté), il faut aussi penser à changer tous les mots de passe (mysql, ftp, admin, etc...)

Citation :

ça c'est déjà fait, mais pour le site, tu vois que je connecte pas trop ces derniers jours à cause du travail, et j'ai pas qq'un qui peut faire ce travail à ma place, alors c'est trop compliqué de résister comme ça ^^

et en ce moment même que j'essaie de regarder le mysql :

#1203 - User Paix has already more than 'max_user_connections' active connections

même avec mot de passe changé et moi seul qui a le pass, ça fait penser à ce qu'on a eu mon mainfile.php grrrrrrrrrrrrr sauf si c un prob de cookies, on verra après ce poste

Edité : Ce sont les Cookies