Affichage des résultats 1 à 12 sur 12

Discussion: Quota dépassé sur le niveau d'utilisation du disque

  1. #1
    Date d'inscription
    February 2010
    Messages
    109
    Version de vBulletin
    4.2
    Hébergeur
    Net-solution.ca
    Billets dans le blog
    1
    Pouvoir de réputation
    52

    Quota dépassé sur le niveau d'utilisation du disque

    Bonjour,

    Je suis le seul à écrire dans mon forum et je n'y ai rien écrit depuis plusieurs jours.

    Pourtant, aujourd'hui, j'ai lu un message qui m'a été envoyé le 15 septembre 2013 à 4:47.

    Ce message me disait en gros que j'utilisais plus d'espace disque que ce qui m'était alloué. J'ai vérifié par cPanel et c'est bien vrai.

    Voici ce que j'ai trouvé en tentant de voir quel fichier pouvait expliquer cette utilisation extrême de l'espace disque qui m'est alloué par l'hébergeur de mon forum.

    Sous cPanel > Niveau d'utilisation du disque > clic sur le "+" du répertoire public_html car c'est de loin le plus volumineux > clic sur le "+" du répertoire forum car c'est de loin le plus volumineux > clic sur le "+" du répertoire admincp car c'est de loin le plus volumineux > clic sur le répertoire loc car c'est de loin le plus volumineux.

    Il y a dans ce répertoire, 3 fichiers modifiés hier, d'environ 600 Mo au total et qui ont été modifiés hier entre 1h36 et 1h56.

    Voici les noms de ces fichiers : core.238444, core.259104, core.271988.

    Est-ce normal que ces fichiers existent dans ce répertoire ?

    N.B.: J'ai remarqué que dans mon forum de test, le répertoire loc n'existe pas.

    ajout:
    Ici on indique qu'un fichier core est un fichier créé lorsqu'il y a un segmentation fault. Il montre comment on peut interpréter le contenu de ce fichier. Je n'ai jamais utilisé ces outils et je ne me sens pas en mesure d'utiliser cette méthode présentée pour trouver la cause.

    Je peux bien tenter de détruire le répertoire loc si vous me confirmez qu'il n'est pas nécessaire pour le fonctionnement de mon forum, mais j'ai bien peur qu'il réapparaisse étant donné que la cause de son apparition n'a pas été adressé.

    Dois-je vous envoyer en annexe les 4 fichiers contenu dans le répertoire loc ?

    Les 2 plus gros fichier de ce répertoire ont 268 767 232 octets chacun !

    Merci d'avance.
    Dernière modification par Semeur ; 16/09/2013 à 05h43.

  2. #2
    Date d'inscription
    August 2004
    Localisation
    vaucluse
    Âge
    56
    Messages
    283
    Version de vBulletin
    4.2
    Hébergeur
    maven
    Pouvoir de réputation
    73
    essair de renommer ce dossier core en autre chose avant de le supprimer et observe s'il y a un dysfonctionnement de ton forum par la suite

  3. #3
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Il n'y a pas de répertoire « loc » dans « admincp » par défaut.

    Je suis sur ton FTP suite à notre ticket précédent et je vois 3 fichiers core.xxx (nombres aléatoires) et un fichier db de 13Ko. Je les récupère et vais tenter de visualiser leur contenu.

    Par ailleurs, il semble qu'il y ait un exploit sur ton admincp, je te conseille vivement de vérifier que tous tes fichiers soient correct.

    Liste des fichiers à retirer :

    • bindshell.pl
    • exp_abacus.c
    • exploit.c
    • sa.php

    Ils ont tous été placés le 13 septembre dernier. Supprime-les afin de sécuriser ton installation.
    Dernière modification par Pitchoune ; 16/09/2013 à 14h46.
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  4. #4
    Date d'inscription
    February 2010
    Messages
    109
    Version de vBulletin
    4.2
    Hébergeur
    Net-solution.ca
    Billets dans le blog
    1
    Pouvoir de réputation
    52

    J'ai donc été hacké

    Citation Envoyé par Pitchoune Voir le message
    Il n'y a pas de répertoire « loc » dans « admincp » par défaut.
    Je vais donc (je n'ai rien ajouter au forum qui expliquerait la nécessité de ce répertoire) les détruire lorsque tu m'auras confirmé que tu les a récupéré.

    Citation Envoyé par Pitchoune Voir le message
    Je suis sur ton FTP suite à notre ticket précédent et je vois 3 fichiers core.xxx (nombres aléatoires) et un fichier db de 13Ko. Je les récupère et vais tenter de visualiser leur contenu.
    Merci !

    Citation Envoyé par Pitchoune Voir le message
    Par ailleurs, il semble qu'il y ait un exploit sur ton admincp, je te conseille vivement de vérifier que tous tes fichiers soient correct.
    Je le ferai avec l'option de vérification des fichiers fournit par vBulletin.

    Citation Envoyé par Pitchoune Voir le message
    Liste des fichiers à retirer :

    • bindshell.pl
    • exp_abacus.c
    • exploit.c
    • sa.php


    Ils ont tous été placés le 13 septembre dernier. Supprime-les afin de sécuriser ton installation.
    Il est pour moi 10h16, je le ferai ce soir à mon retour à la maison.

    Dans quel répertoire ce retrouve ces fichiers ?

    As-tu une idée de comment retracer par quel porte ils sont apparus afin de tenter de bloquer cette porte ?

    Shalom !

    - - - Mise à jour - - -

    N.B.: Ce message devrait ce retrouver sous le premier message de Pitchoune dans ce fil.
    Dernière modification par Semeur ; 16/09/2013 à 17h45.

  5. #5
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Citation Envoyé par Semeur Voir le message
    Dans quel répertoire ce retrouve ces fichiers ? As-tu une idée de comment retracer par quel porte ils sont apparus afin de tenter de bloquer cette porte ?
    Dans « /admincp/ ». Regarde si tu n'as pas de nouvel administrateur en dehors de toi ou d'un ou plusieurs autres que tu connais.

    Je vois que tu as renommé ton répertoire « /install/ ». Bonne idée mais le fichier upgrade.php y est toujours présent, la faille découverte récemment n'est de ce fait toujours pas corrigée sur ton installation.

    PS : j'ai récupéré les fichiers
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  6. #6
    Date d'inscription
    February 2010
    Messages
    109
    Version de vBulletin
    4.2
    Hébergeur
    Net-solution.ca
    Billets dans le blog
    1
    Pouvoir de réputation
    52

    J'ai détruit ce qui devais être détruit

    Citation Envoyé par Pitchoune Voir le message
    Il n'y a pas de répertoire « loc » dans « admincp » par défaut.
    Je détruis le répertoire « loc ».

    Citation Envoyé par Pitchoune Voir le message
    Par ailleurs, il semble qu'il y ait un exploit sur ton admincp, je te conseille vivement de vérifier que tous tes fichiers soient correct.
    Par rapport au logiciel vBulletin de base, j'ai en plus le package de traduction français et le mod qui permet de faire un post en changeant le nom de l'auteur du post (product-change_author_and_date-3.0.2.xml).

    Étant donné le résultat suivant que me conseilles-tu ?

    Voici le résultat :
    ./clientscript
    vbulletin-forumhome.js Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    vbulletin-read-marker.js Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    vbulletin-threadbit.js Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    vbulletin_global.js Ce fichier n'est pas reconnu comme faisant partie de vBulletin

    /clientscript/jquery
    jquery-1.3.min.js Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    ./includes
    adminfunctions_backup.php Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    class_editor_override.php Ce fichier n'est pas reconnu comme faisant partie de vBulletin
    functions_wysiwyg.php Ce fichier n'est pas reconnu comme faisant partie de vBulletin

    ./includes/api
    commonwhitelist.php Ce fichier n'est pas reconnu comme faisant partie de vBulletin


    ./includes/cron
    vbcms_dailycleanup.php Ce fichier n'est pas reconnu comme faisant partie de vBulletin

    Citation Envoyé par Pitchoune Voir le message
    Liste des fichiers à retirer :

    • bindshell.pl
    • exp_abacus.c
    • exploit.c
    • sa.php

    Ils ont tous été placés le 13 septembre dernier. Supprime-les afin de sécuriser ton installation.
    C'est fait.

    Shalom !

  7. #7
    Date d'inscription
    March 2003
    Localisation
    Sur mon coussin
    Messages
    5 556
    Version de vBulletin
    4.2
    Hébergeur
    localhost
    Pouvoir de réputation
    106
    Vérifie que ces fichiers "ne faisant pas partie de vBulletin" ne font pas partie de ton produit ajouté.
    Miaouuu... ne me caressez pas à rebrousse-poils, ça fait de l'électricité !
    Aucune demande d'aide par mp ne sera prise en compte !

  8. #8
    Date d'inscription
    February 2010
    Messages
    109
    Version de vBulletin
    4.2
    Hébergeur
    Net-solution.ca
    Billets dans le blog
    1
    Pouvoir de réputation
    52

    Il y avait un code d'administrateur créé par un hacker

    Citation Envoyé par Pitchoune Voir le message
    Dans « /admincp/ ». Regarde si tu n'as pas de nouvel administrateur en dehors de toi ou d'un ou plusieurs autres que tu connais.
    toor a été créé par un hacker le 13 sept. 2013. Son adresse de courriel est root@yahoo.com et le compteur de message est à 0.

    J'ai détruit cet utilisateur.

    Citation Envoyé par Pitchoune Voir le message
    Je vois que tu as renommé ton répertoire « /install/ ». Bonne idée mais le fichier upgrade.php y est toujours présent, la faille découverte récemment n'est de ce fait toujours pas corrigée sur ton installation.
    Ce fichier ce trouvait sous /public_html/forums/haxor . Je l'ai renommé upgradeRenomme.php.

    Je trouve bizarre ce répertoire «haxor» car il n'est pas présent dans le package initial que j'ai conservé sur mon poste. Qu'en penses-tu ?

    Shalom !

    - - - Mise à jour - - -

    Citation Envoyé par Eve_Ra Voir le message
    Vérifie que ces fichiers "ne faisant pas partie de vBulletin" ne font pas partie de ton produit ajouté.
    Comment puis-je savoir cela ?

    Voici le lien vers le mod en question : http://www.vbulletin.org/forum/showt...t=241481#posts
    Dernière modification par Semeur ; 17/09/2013 à 03h18.

  9. #9
    Date d'inscription
    March 2003
    Localisation
    Sur mon coussin
    Messages
    5 556
    Version de vBulletin
    4.2
    Hébergeur
    localhost
    Pouvoir de réputation
    106
    Ce répertoire haxor correspond au répertoire install de ton archive vB. Supprime-le purement et simplement pour éviter toute intrusion dans ton système.

    Pour ce qui est de ton produit, il ne s'agit pas d'une archive mais d'un seul fichier .xml, donc pas de fichiers ajoutés.

    - - - Mise à jour - - -

    NB: aucun des fichiers non reconnus par le diagnostic vBulletin ne font partie de l'archive vBulletin, donc très certainement ajoutés par ton hackeur... qui a manifestement aussi un accès à ton ftp. Vérifie la date d'écriture de ces fichiers, et si c'est le 13 septembre, efface-les.
    La meilleure des choses à faire, en urgence, c'est changer ton mot de passe.
    Miaouuu... ne me caressez pas à rebrousse-poils, ça fait de l'électricité !
    Aucune demande d'aide par mp ne sera prise en compte !

  10. #10
    Date d'inscription
    February 2010
    Messages
    109
    Version de vBulletin
    4.2
    Hébergeur
    Net-solution.ca
    Billets dans le blog
    1
    Pouvoir de réputation
    52
    Citation Envoyé par Eve_Ra Voir le message
    Ce répertoire haxor correspond au répertoire install de ton archive vB. Supprime-le purement et simplement pour éviter toute intrusion dans ton système.
    C'est fait.

    Citation Envoyé par Eve_Ra Voir le message
    Pour ce qui est de ton produit, il ne s'agit pas d'une archive mais d'un seul fichier .xml, donc pas de fichiers ajoutés.
    Ok.

    Citation Envoyé par Eve_Ra Voir le message
    aucun des fichiers non reconnus par le diagnostic vBulletin ne font partie de l'archive vBulletin, donc très certainement ajoutés par ton hackeur... qui a manifestement aussi un accès à ton ftp. Vérifie la date d'écriture de ces fichiers, et si c'est le 13 septembre, efface-les.
    J'ai regardé les 2 premiers fichiers, le premier date du 5 mars 2012 et le second de 2010. J'ai vérifié, ces fichiers n'existent pas dans l'extraction du logiciel sur mon poste. Peut-être que c'est des vieux fichiers de vieille version de vBulletin qui ne sont pas détruit lorsque je passe à une nouvelle version ?

    J'ai l'intention de détruire tout ces fichiers de trop listé dans un message précédent. Que ferais-tu à ma place ?

    Citation Envoyé par Eve_Ra Voir le message
    La meilleure des choses à faire, en urgence, c'est changer ton mot de passe.
    C'est fait.

    Merci !

  11. #11
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Citation Envoyé par Eve_Ra Voir le message
    NB: aucun des fichiers non reconnus par le diagnostic vBulletin ne font partie de l'archive vBulletin, donc très certainement ajoutés par ton hackeur... qui a manifestement aussi un accès à ton ftp. Vérifie la date d'écriture de ces fichiers, et si c'est le 13 septembre, efface-les.
    La meilleure des choses à faire, en urgence, c'est changer ton mot de passe.
    Ce sont des anciens fichiers de vB4
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  12. #12
    Date d'inscription
    March 2003
    Localisation
    Sur mon coussin
    Messages
    5 556
    Version de vBulletin
    4.2
    Hébergeur
    localhost
    Pouvoir de réputation
    106
    Donc à supprimer sans souci.
    Miaouuu... ne me caressez pas à rebrousse-poils, ça fait de l'électricité !
    Aucune demande d'aide par mp ne sera prise en compte !

Informations de la discussion

Utilisateur(s) sur cette discussion

Il y a actuellement 1 utilisateur(s) naviguant sur cette discussion. (0 utilisateur(s) et 1 invité(s))

Les tags pour cette discussion

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •