espace d'hebergement
Tout dépend ce que vous entendez par "utilisateur".
Il est possible de changer l'identité du propriétaire d'un nom de domaine à l'aide d'une opération payante, mais ça ne changera pas le domaine de compte client.
Si c'est pour déplacer un domaine à un autre compte client, jusqu'à la migration d'octobre 2021, il était possible dans certains cas de le faire selon si le domaine n'était pas associé par son WHOIS à un autre domaine en interne. C'était une opération assez lourde et vraiment rare. Depuis la migration d'octobre, ce robot n'est plus à jour et n'est plus utilisé.
J'ai 21 sites sur un espace client et au moins 1 a été contaminé et a des backdoors dans son ftp.
Cette contamination s'étend aux autres sites ce qui me laisse penser que le hacker peut lire le MDP de l'espace client et ainsi accéder aux autres sites.
Je souhaiterais donc isoler ce ou ces sites le temps de les nettoyer en profondeur.
Si je change le propriétaire et que je cree un nouvel espace au nom du nouveau est ce que c'est jouable ?
PS: disposez vous en interne d'outils susceptibles de repérer les backdoors ?
Pour ce faire, je vous recommande de vérifier ces 2 points dans la configuration de chacun de vos sites Internet :
1) Dans l'onglet "Sécurité", vous trouvez l'option "Sécurité PHP (fonctions shell PHP et open_basedir / interactions PHP entre sites)". Je recommande de laisser cette option à "Non" comme il est recommandé et de ne mettre aucune "Exceptions choisies".
2) Utiliser des comptes MySQL supplémentaires avec des mots de passe différents en accordant les permissions aux seules bases de données nécessaires. Surtout, n'utilisez pas le mot de passe général de votre compte client. Je vois que vous n'avez qu'un seul compte MySQL supplémentaire alors que dans le meilleur des cas, il en faudrait un par site. Ce compte MySQL supplémentaire n'a pas de permissions spécifiques et donne par conséquent un accès à toutes vos bases de données MYSQL ce qui réduit fortement la sécurité.
Si tout est déjà isolés et que les mots de passe sont uniques et que vous avez activé la double authentification avec la restriction par IP, mais que vous pensez qu'il y a toujours une propagation, il est possible que vous utilisiez une même extension/solution sur plusieurs sites et que son code ne soit pas à jour et/ou qu'il possède une faille de sécurité.
Les antivirus ne sont pas exhaustifs, notamment sur les backdoors PHP.
Vous pouvez m'indiquer le site en question si vous souhaitez que je regarde si je peux trouver l'origine du hack.
Malheureusement les backdoors etant présents, le pirate a la main sur les sites qu'il modifie environ 1 fois par semaine les rendant inaccessibles.
C'est pour cette raison que je vous recommande de changer le mot de passe général de votre compte (FTP/SQL/MAIL) et d'utiliser un mot de passe SQL différent de celui du mot de passe général. Par défaut, le mot de passe FTP permet de modifier la partie SQL et inversement vu que c'est un mot de passe général unique. En utilisant des comptes MySQL supplémentaires (dissociés du FTP), vous n'utilisez plus le mot de passe général pour vos accès SQL.
Avec les journaux Web, il est possible de trouver le chemin d'accès du pirate.
Ça ne servira à rien, le pirate utilisera une autre IP et la recherche dans les logs sera encore plus complexe pour nous. Ce n'est pas ainsi qu'il faut raisonner.
Vérifiez les journaux FTP et Web pour localiser la faille de sécurité. Si vous avez l'adresse IP, je peux aussi regarder dans les journaux comme indiqué précédemment.
Sur 17 sites actifs présents sur cet hébergement, 11 ont été ou sont infectés dont au moins un par 3 hackers qui ont laissé leur signature sous forme d'un fichier texte dans le répertoire image.
Tous les sites sont sous joomla, la seule extension commune etant le SP PAGE BUILDER de JOOMSHAPER qui est aussi utiliisé sur les sites non infectés.
a priori aucune base de données n'est altérée et l'infection ne touche que les fichiers auxquels les hackers ont eu accès en trouvant le mot de passe FTP de l'espace d'hébergement.
D'ou ma question de savoir s'il est possible que chaque site dispose de sont MDP pour son accès FTP.
Cette situation est extremement dangeureuse puisqu'on peut imaginer qu'en lisant un des fichiers "config" les hackers ont accès au répertoire FTP général ce qui, à mon sens leur à permis de propager l'infection entre les sites qui, normalement, ne sont pas interactifs.
Je suis également surpris que vos logiciels anti virus ne décélent aucune infection sur un espace infecté depuis plusieurs mois alors que mes propres AV bloquent entre 10 et 15 fichiers à chaque transfert de site par FTP....
Je suis en train de refaire les sites contaminés en repartant d'une base saine et cherche un moyen de garantir leur sécurité autre que créer 17 comptes différents ....