espace d'hebergement

Quelque chose ne fonctionne pas alors qu'il vous semble que le soucis ne vient pas de vous ? Vous avez des questions sur nos services et vous pensez que vos préoccupation peuvent intéresser d'autres hébergés ? N'hésitez pas à nous contacter.
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Bonjour
est il possible de transferer un domaine d'un utilisateur à un autre ?
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Tout dépend ce que vous entendez par "utilisateur".

Il est possible de changer l'identité du propriétaire d'un nom de domaine à l'aide d'une opération payante, mais ça ne changera pas le domaine de compte client.

Si c'est pour déplacer un domaine à un autre compte client, jusqu'à la migration d'octobre 2021, il était possible dans certains cas de le faire selon si le domaine n'était pas associé par son WHOIS à un autre domaine en interne. C'était une opération assez lourde et vraiment rare. Depuis la migration d'octobre, ce robot n'est plus à jour et n'est plus utilisé.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Je vous explique mon problème.
J'ai 21 sites sur un espace client et au moins 1 a été contaminé et a des backdoors dans son ftp.
Cette contamination s'étend aux autres sites ce qui me laisse penser que le hacker peut lire le MDP de l'espace client et ainsi accéder aux autres sites.
Je souhaiterais donc isoler ce ou ces sites le temps de les nettoyer en profondeur.

Si je change le propriétaire et que je cree un nouvel espace au nom du nouveau est ce que c'est jouable ?

PS: disposez vous en interne d'outils susceptibles de repérer les backdoors ?
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Les sites sont déjà isolés entre eux par défaut dans un même compte client (si on n'active pas les fonctions shell PHP et que l'on n'ajoute pas d'exceptions). Par contre, il vous faut utiliser un mot de passe différent sur chacun de vos sites se connectant à leurs bases de données MySQL et pas le mot de passe général de votre compte client.

Pour ce faire, je vous recommande de vérifier ces 2 points dans la configuration de chacun de vos sites Internet :

1) Dans l'onglet "Sécurité", vous trouvez l'option "Sécurité PHP (fonctions shell PHP et open_basedir / interactions PHP entre sites)". Je recommande de laisser cette option à "Non" comme il est recommandé et de ne mettre aucune "Exceptions choisies".

2) Utiliser des comptes MySQL supplémentaires avec des mots de passe différents en accordant les permissions aux seules bases de données nécessaires. Surtout, n'utilisez pas le mot de passe général de votre compte client. Je vois que vous n'avez qu'un seul compte MySQL supplémentaire alors que dans le meilleur des cas, il en faudrait un par site. Ce compte MySQL supplémentaire n'a pas de permissions spécifiques et donne par conséquent un accès à toutes vos bases de données MYSQL ce qui réduit fortement la sécurité.

Si tout est déjà isolés et que les mots de passe sont uniques et que vous avez activé la double authentification avec la restriction par IP, mais que vous pensez qu'il y a toujours une propagation, il est possible que vous utilisiez une même extension/solution sur plusieurs sites et que son code ne soit pas à jour et/ou qu'il possède une faille de sécurité.

Les antivirus ne sont pas exhaustifs, notamment sur les backdoors PHP.

Vous pouvez m'indiquer le site en question si vous souhaitez que je regarde si je peux trouver l'origine du hack.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Je pense (mais je peux me tromper) que le problème ne vient pas des accès aux BDD mais au FTP qui permet d'accéder à tous les répertoires avec le même MDP.
Malheureusement les backdoors etant présents, le pirate a la main sur les sites qu'il modifie environ 1 fois par semaine les rendant inaccessibles.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Lovpuppy a écrit : 20 juillet 2022 à 12:09 Je pense (mais je peux me tromper) que le problème ne vient pas des accès aux BDD mais au FTP qui permet d'accéder à tous les répertoires avec le même MDP.
C'est pour cette raison que je vous recommande de changer le mot de passe général de votre compte (FTP/SQL/MAIL) et d'utiliser un mot de passe SQL différent de celui du mot de passe général. Par défaut, le mot de passe FTP permet de modifier la partie SQL et inversement vu que c'est un mot de passe général unique. En utilisant des comptes MySQL supplémentaires (dissociés du FTP), vous n'utilisez plus le mot de passe général pour vos accès SQL.

Lovpuppy a écrit : 20 juillet 2022 à 12:09Malheureusement les backdoors etant présents, le pirate a la main sur les sites qu'il modifie environ 1 fois par semaine les rendant inaccessibles.
Avec les journaux Web, il est possible de trouver le chemin d'accès du pirate.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Ah ?
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Et on peut bloquer une IP ?
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Lovpuppy a écrit : 20 juillet 2022 à 12:19 Et on peut bloquer une IP ?
Ça ne servira à rien, le pirate utilisera une autre IP et la recherche dans les logs sera encore plus complexe pour nous. Ce n'est pas ainsi qu'il faut raisonner.

Vérifiez les journaux FTP et Web pour localiser la faille de sécurité. Si vous avez l'adresse IP, je peux aussi regarder dans les journaux comme indiqué précédemment.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Lovpuppy
Messages : 207
Inscription : 11 avril 2012 à 13:56

Finalement j'ai fait l'état des lieux !!!!
Sur 17 sites actifs présents sur cet hébergement, 11 ont été ou sont infectés dont au moins un par 3 hackers qui ont laissé leur signature sous forme d'un fichier texte dans le répertoire image.
Tous les sites sont sous joomla, la seule extension commune etant le SP PAGE BUILDER de JOOMSHAPER qui est aussi utiliisé sur les sites non infectés.
a priori aucune base de données n'est altérée et l'infection ne touche que les fichiers auxquels les hackers ont eu accès en trouvant le mot de passe FTP de l'espace d'hébergement.
D'ou ma question de savoir s'il est possible que chaque site dispose de sont MDP pour son accès FTP.
Cette situation est extremement dangeureuse puisqu'on peut imaginer qu'en lisant un des fichiers "config" les hackers ont accès au répertoire FTP général ce qui, à mon sens leur à permis de propager l'infection entre les sites qui, normalement, ne sont pas interactifs.
Je suis également surpris que vos logiciels anti virus ne décélent aucune infection sur un espace infecté depuis plusieurs mois alors que mes propres AV bloquent entre 10 et 15 fichiers à chaque transfert de site par FTP....
Je suis en train de refaire les sites contaminés en repartant d'une base saine et cherche un moyen de garantir leur sécurité autre que créer 17 comptes différents ....
Répondre