WordPress tuto

Bon, hier tout allait bien, sur mes sites hébergés sur un serveur mutualisé chez OVH (service Premium) et je n’ai pas bricolé dans les plugins ni fait de mise à jour de wordpress (cela dit, j’ai fait quelques mises à jour il y a 3 jours).

Voici donc mon beau message d’erreur :

403 Forbidden  – You don’t have permission to access / on this server.

Log de mes actions et réflexions

Dans la journée, je n’ai pas accès ni au FTP ni à la consôle d’admin de mes sites.

Une petite recherche sur internet donne des réponses du genre « changer les droits sur les répertoire au niveau du ftp (chmod)… » mais cela ne tient généralement que pour des nouvelles installations de WordPress ou d’autres programmes.

Un autre cas possible est un cafouillage dans les DNS mais je n’ai rien touché dans cette partie de l’admin de mon hébergeur ces derniers temps.

J’apprends aussi qu’une erreur 403 de ce genre est apparemment liée à Apache.

Je crois que le problème vient d’OVH. Il semble que dans certains cas, OVH mette hors lignes des sites hébergés sur des mutualisés si ces derniers consomment trop de CPU et surchargent leurs serveurs.

Pour le moment, je viens de poster un article sur le forum d’ovh (section hébergement mutualisé) pour essayer d’en savoir plus de leur côté.

Le réponse d’OVH sur leur forum arrive très rapidement et envisage soit une erreur de ma part soit une intervention de leur système automatisé anti-hack.

Le soir même, de retour à la maison.

J’ai bien un mail dans ma messagerie. Ce mail contient des liens dont celui donné par Jeremy dans le premier commentaire sur cet article. et en voici un extrait :

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

Problème rencontré : Hidden PERL script
Commande apparente : /sbin/klogd -c 1 -x -x
Exécutable utilisé : /usr/bin/perl
Horodatage: Mon Sep 19 23:47:31 CEST 2011

Ceci n'est pas autorisé sur nos installations,car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui peuvent poser problème. Pensez également à mettre à jour les logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
-  http://guides.ovh.com/AlerteHackMutu
-  http://guides.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez rouvrir votre site en remettant les bons droits sur le répertoire racine (chmod 705 .).

NOUVEAU : Vous pouvez à présent activer le firewall applicatif "mod_security" dans votre manager pour mieux protéger votre site contre les piratages. Pour plus d'informations, consultez ce lien :
http://www.ovh.com/fr/hebergement_mutualise/mod_security.xml

Contactez notre support si vous ne parvenez pas à rouvrir l'accès web par vous-même. Notez que les équipes du support ne peuvent pas rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance.

J’essaie une petite recherche avec la commande qui pose problème (/sbin/klogd -c 1 -x -x) mais cela ne me mène nulle part.

Je vérifie par le FTP ce qui pourrait clocher et à part 2 WordPress standalone et un WPMU, je n’ai qu’un forum PunBB et un vieil annuaire  sur cet hébergement. En essayant de trouver des nouveaux fichiers  dans mes répertoires, je ne trouve rien.

J’active le « mod_security » sur cet hébergement après avoir mis pas mal de temps à trouver comment faire. En fait il semble que ça s’appelle « pare feu applicatif » dans la terminologie OVH et cela s’active,

Et maintenant après le repas.

J’ai appris, après des années de galères de ce genre, qu’il ne fallait jamais se précipiter dans ce genre de situation. Je fais donc tranquillement une sauvegarde complète (FTP + BDD) de tout ce qui se trouve sur cet hébergement.

Il me semble que je suis maintenant prêt pour lancer le chmod qui tue (voir le lien donne par Jeremy ci dessous).

Ce chmod a tout remis en place. Je vais faire une mise à jour de Punbb et espère que le problème ne va pas resurgir.

La suite du lendemain : nouveau blocage.

Cette foi ci je contacte le support OVH qui me répond d’aller voir dans mes logs.

Je n’y comprend rien aux logs mais en essayant de trouver aux alentours de l’heure de la première mise hors ligne de mon site je me rend compte d’une activité suspecte émanant de mon site sur les water mites.

J’installe alors le plugin « exploit scanner » qui me trouve assez rapidement des problèmes dans mon thème Arras.

Je tombe ensuite sur cette discussion « Zero Day Security Vulnerability in timthumb script » et je me jette sur mon FTP pour supprimer le fichier incriminé : timthumb.php (d’autant qu’apparemment Arras fonctionne très bien sans ce plugin).

Tags : hébergement, probleme