Quand une erreur des robots d'OVH bloque tous mes sites pendant une semaine

 

Comme vous le savez, j'administre un annuaire de référencement. Le principe ? Les webmasters de site qui veulent des backlinks pour améliorer leur référencement soumettent leur site via un formulaire, je valide celui-ci après vérification (et corrections des fautes d'orthographe dans la description, voir mon bêtisier). Le webmaster est informé de la validation de son site via un email. Rien d'extraordinaire à tout cela, me direz-vous.

Sauf que cela fait deux fois en 6 mois que les robots d'OVHcloud, sans doute paramétrés avec les pieds par un stagiaire bourré, interprètent cela comme du phishing. La sanction est immédiate : le blocage du compte hébergement sur lequel le site fautif se trouve (erreur 403, quoi) et envoi d'une salve d'emails de ce genre :

Objet : [Abuse #FJRXXXXXC] Vous hébergez une page de phishing sur kdj-webdesign[.]com!

Bonjour,

Il a été porté à notre connaissance que vous hébergez une page de phishing (aussi appelé « hameçonnage »), sur votre service kdj-webdesign[.]com.
Une personne mal intentionnée a probablement pris le contrôle de toute ou partie de votre site web, et a injecté cette page à votre insu.
Ce type de page permet de voler des données personnelles de victimes en se faisant passer pour un site web légitime (comme un site de banque, d'e-commerce ou autre).

Si vous utilisez un gestionnaire de contenu (ou « CMS ») sur votre hébergement mutualisé ou votre serveur, comme notamment WordPress, Joomla ou Drupal, vérifiez que celui-ci est strictement tenu à jour en permanence. Ce type de logiciel est très utilisé sur Internet et donc très souvent ciblé lors de tentatives de prise de contrôle de sites web par des pirates. Veillez également à tenir à jour l'ensemble des éventuels « plug-ins » que vous pourriez avoir installé sur ces logiciels à jour, et évitez à tout prix d'installer des plug-ins peu connus ou non officiels, car ils ont beaucoup plus de chances d'être malicieux ou de ne pas être tenus à jour correctement.

Nous vous conseillons également fortement de changer votre mot de passe de connexion FTP, car il est possible que les pirates soient passés par là si votre mot de passe n'était pas assez fort, ou si vous vous êtes déjà connecté sur votre serveur FTP à travers un réseau non sûr (comme par exemple un Wi-Fi ouvert).

Ci-dessous, la liste d'URLs qui pointent vers la page de phishing que vous hébergez :

* hxxpx : / /annuaire [.] kdj-webdesign [.] com/single [.] php?id=o88xvvwpf-lqgnvo70plnuo-n39

Il est possible que ces URLs ne soient pas actuellement accessibles, car notre système anti-phishing a été activé sur ces dernières, permettant de protéger les victimes de ce type de fraude, le temps que vous corrigiez le problème.

Veuillez supprimer ces pages de phishing et sécuriser votre service (mise à jour de CMS, mises à jour système, changement de mots de passe) afin que celui-ci ne soit pas piraté à nouveau.

Merci de nous répondre une fois que le problème a été corrigé.

Cordialement,

L'Ă©quipe Trust & Safety OVHcloud

 

Il y a 6 mois, j'y avais (presque) cru. J'avais épluché les logs, changé les mots de passe, testé les URL données à titre d'exemple (pour constater que les protection anti-injection MySQL fonctionnait parfaitement bien), téléchargé l'annuaire pour le scanner à l'antivirus, et immédiatement répondu à OVH. Mais ils ont refusé de débloquer le compte hébergement. Conséquence ? Non seulement mon annuaire était inaccessible, mais aussi mon portfolio, ce blog, 3 autres (Rainbow blog, Coquettes paillettes et Roller skating blog), quelques webservices utilisés par mes applis etc. La cata.

Migration en urgence du blog, du portfolio et de quelques autres sites de petite taille chez O2switch, ouverture d'un ticket, Ă©tude poussĂ©e des offres concurrentes… Tout ça pour qu'OVH reconnaisse au bout d'une semaine qu'il s'agissait d'un faux positif.

Nos services ont détecté une source de phishing depuis votre hébergement. En conséquence, un mail vous est envoyé et votre hébergement est suspendu en conséquence. Ces opérations sont automatisées à notre niveau. Après vérification manuel de la part de notre service Abus, il s'est avéré qu'il s'agissait d'un faux positif. Je vous prie sincèrement de nous excuser quant à la gêne occasionnée.

Ben oui… Aucune autre explication, aucune compensation pour cette semaine de perdue !

Alors c'est vraiment parce que les autres hĂ©bergeurs sont atrocement chers en comparaison (eh oui, si mes sites me rapportaient suffisamment, je pourrais payer la diffĂ©rence…), sinon je vous garantis que je me serais barrĂ©e ailleurs. En tout cas, le blog est restĂ© sous O2Switch.

Afin de limiter le nombre d'emails envoyé, j'avais supprimé l'email de notification envoyé à l'admin du site lors d'une soumission gratuite, et celui généré quand je valide un site qui n'a pas été confirmé. Mais il semble que cela n'ai pas été suffisant.

C'est Ă  nouveau arrivĂ© la semaine dernière. Cette fois-ci, j'ai dĂ» tĂ©lĂ©charger l'intĂ©gralitĂ© du contenu de l'hĂ©bergement, le scanner avec mon antivirus Kaspersky et leur envoyer le rĂ©sultat (une idĂ©e que je leur avais soufflĂ©e, d'ailleurs…).

Et comme OVH n'explique toujours pas les critères sur lesquels il se base pour cataloguer les emails comme phishing, je ne suis guère plus avancée.

Il faudra donc s'attendre Ă  ce que cela arrive encore et encore…

Karine SANCHE

Partager cet article