Geler un site web dont je suis client

Résolu/Fermé
jimsa - 29 nov. 2010 à 07:21
 jimsa - 7 déc. 2010 à 20:44
Bonjour,

Je suis propriétaire d'un site web marchand et j'ai constaté qu'un utilisateur malfaisant apparemment informaticien tentait de modifier, sinon de supprimer carrément les contenus de mes pages ! Comment m'y prendre pour geler temporairement l'accès à la banque de données de mon site (sinon au site en lui-même) sans en détruire les pages encore indemnes, c'est-à-dire, quitte à devoir renoncer pour quelque temps à des connexions de clients éventuels, être le seul en tant qu'administrateur à pouvoir avoir accès à mon site à partir d'un code ?
Une simple requête au niveau de mon hébergeur de site suffit-elle, ou puis-je déjà personnellement entreprendre quelque chose, sachant que je suis complètement profane en programmation ?

Merci pour votre aide,

Un administrateur de site inquiet



A voir également:

8 réponses

ratikuss Messages postés 1996 Date d'inscription vendredi 8 juin 2007 Statut Membre Dernière intervention 14 décembre 2016 262
29 nov. 2010 à 08:47
As tu accès à ton hébergeur par ftp ?
0
jjsteing Messages postés 1670 Date d'inscription vendredi 11 mai 2007 Statut Contributeur Dernière intervention 21 mai 2012 181
Modifié par jjsteing le 29/11/2010 à 09:54
Bonjour,

Ton hébergeur accepte t il le htaccess ?? si je parle chinois, quel est le nom de ton hébergeur, et quelle formule d hébergement tu as ?
0
Bonsoir jjsteing

Merci pour ton aide !
Tu comprendras que par précaution je ne puisse pas te divulguer le nom de l'hébergeur ni la formule. Mais sache qu'il s'agit d'un site marchand avec tout ce qu'il faut pour faire tourner des fonctionnalités telles que log in, formulaire d'inscription, auto-notifications, passage à la caisse, etc.
Sur l'espace client de mon hébergeur, j'ai accès à la gestion ftp et je viens de me faire guider téléphoniquement par une assistante pour ne serait-ce que modifier mes noms d'utilisateurs et mots de passe correspondants pour l'accès aux fichiers ftp. Cependant, je souhaiterais pour augmenter encore la sécurité "sortir" mon site de l'internet, c'est-à-dire en langage profane être le seul internaute qui, nanti d'une adresse URL cryptée que lui seul connaît, peut visualiser son site. C'est seulement après, lorsque j'aurai eu la certitude que le programmeur malveillant s'est "calmé", que je me hasarderai à remettre l'adresse URL courante de mon site à la disposition de tout internaute.
Comment m'y prendre ? La "redirection" est-elle une solution ? Sachant que le programmeur malveillant s'y connait assez pour que je puisse redouter qu'il trouve accès à mes fichiers ftp même si j'en ai verrouillé l'accès.

Dans l'attente de ta réponse,
Bien à toi
Jimsa
0
Bonsoir Ratikuss et merci d'avoir été le premier à me répondre ;)

Sur l'espace client de mon hébergeur, j'ai accès à la gestion ftp et je viens de me faire guider téléphoniquement par une assistante pour ne serait-ce que modifier mes noms d'utilisateurs et mots de passe correspondants pour l'accès aux fichiers ftp. Cependant, je souhaiterais pour augmenter encore la sécurité "sortir" mon site de l'internet, c'est-à-dire en langage profane être le seul internaute qui, nanti d'une adresse URL cryptée que lui seul connaît, peut visualiser son site. C'est seulement après, lorsque j'aurai eu la certitude que le programmeur malveillant s'est "calmé", que je me hasarderai à remettre l'adresse URL courante de mon site à la disposition de tout internaute.
Comment m'y prendre ? La "redirection" est-elle une solution ? Sachant que le programmeur malveillant s'y connait assez pour que je puisse redouter qu'il trouve accès à mes fichiers ftp même si j'en ai verrouillé l'accès.
A titre d'exemple, je dispose en tant qu'administrateur d'un log in qui me permet dans une certaine mesure d'éditer des contenus des pages de mon site (en particulier pour les traductions). Or il se trouve que c'est le programmeur malveillant lui-même qui m'avait installé cette fonctionnalitl, donc que lui-même connait évidemment ce log in et que donc rien ne l'empêche par de venir s'enregistrer tout simplement pour détériorer ou détruire systématiquement tous les contenus que je crée (même si évidemment je les ai sauvegardé), m'obligeant à chaque fois à les remettre, rien que pour m'ennuyer en remplissant mes clients potentiels de perplexité devant un site au contenu lisible toujours fluctuant et donc non fiable.
C'est pourquoi un simple blocage de l'accès ftp ne me suffit pas et je souhaiterais réellement savoir s'il existe une méthode pour "désactiver" temporairement l'adresse URL courante de mon site tout en me garantissant l'accès à moi exclusivement en tant qu'administrateur, soit à partir de mon espace client chez mon hébergeur, soit tout simplement à l'aide d'une autre adresse URL connue de moi-seul depuis la toile.
En effet, je préfère perdre quelque clients durant la période de "mise hors-ligne" que de voir mon site marchand imprévisiblement saccagé.
A ce sujet, dernière question, y aurait-il un moyen pour notifier poliment à mes clients sur une page internet vierge à l'adresse URL que je veux désactiver temporairement "le site est momentanément hors-ligne, merci de patienter quelques jours" ?

Merci d'avance pour tes lumières

Bien à toi,

Jimsa

Dans l'attente de ta réponse,
Bien à toi
Jimsa
0
ratikuss Messages postés 1996 Date d'inscription vendredi 8 juin 2007 Statut Membre Dernière intervention 14 décembre 2016 262
Modifié par ratikuss le 30/11/2010 à 08:15
Il suffit de télécharger ton site avec FileZilla (par exemple) grâce à tes notifications FTP pour le mettre en sécurité sur ton pc et tu le supprimes de ton hébergeur.
Ensuite pour faire simple tu copies un fichier "index.html" à la racine de ton site (où tu l'as pris) qui avertira tes visiteurs que ton site est indisponible.

Pour faire "index.html", tu créé sous windows un fichier .txt, tu l'ouvres avec bloc-notes, et tu écris ce que tu veux informer. Ensuite tu mets comme extension .html au lieu de .txt
0
Merci Ratikuss

Je viens de télécharger gratuitement la nouvelle version de FileZilla pour Mac OSX (ma plateforme).

Qu'appelles-tu "notifications ftp" ?
0
ratikuss Messages postés 1996 Date d'inscription vendredi 8 juin 2007 Statut Membre Dernière intervention 14 décembre 2016 262
30 nov. 2010 à 08:33
c'est tes identifiants ftp, ils vont permettre de te connecter à ton hébergeur.
0
Est-ce que ces "identifiants ftp" sont ceux d'accès à mes fichiers ftp ?
Parce que mes hébergeurs me proposent une procédure de backup sur un espace de sauvegarde inclus dans mon pack de e-commerce "Pro +" à partir d'un l'adresse URL où se trouveraient mes fichiers ftp, laquelle est du type :
www.ftp.monnomde domaine.com
Mais lorsque j'essaye d'y accéder soit par "l'identifiant backup" (dont j'ai du modifier le mot de passe), soit par "l'identifiant à mes fichiers ftp" (appelés par défaut chez mon hébergeur "public"), la boîte de dialogue de login rejette systématiquement. Il est du reste notifié dans cette.même boîte : "le mot de passe est envoyé tel quel non encrypté". Tout cela dépasse mes compétences...
Bref, je voudrais juste "visualiser" quelque part à partir de la toile les fichiers de mon site, c'est-à-dire dans mon esprit des pages de scripts PHP, C++, Joomla, etc ... Ce serait déjà ça ...
Et justement un soupçon m'assaille : Serait-il possible que mon "programmeur malfaisant" se soit déjà arrangé pour me barrer l'accès à mes fichiers ftp par un quelconque encryptage lorsque celui-ci disposait encore de mon code d'accès client ?
Car si c'est le cas, j'ai bien peur qu'il ne me reste plus que l'option de téléphoner au service clientèle de mes hébergeurs pour exiger d'eux, preuves d'identité de client-payeur à l'appui, qu'ils me "déverouillent" l'accès à mes fichiers ftp ...
0
ratikuss Messages postés 1996 Date d'inscription vendredi 8 juin 2007 Statut Membre Dernière intervention 14 décembre 2016 262
30 nov. 2010 à 09:06
Ton problème dépasse mes compétences également, désolé mais je ne sais plus comment t'aider.
0
jjsteing Messages postés 1670 Date d'inscription vendredi 11 mai 2007 Statut Contributeur Dernière intervention 21 mai 2012 181
30 nov. 2010 à 12:38
Bonjour,

Si tu veux bloquer complètement l'accès à ton site (excepté toi), un simple fichier htaccess suffit.

pour ce faire :

1) va sur http://www.mon-ip.com/
2) relève l'adresse : "Mon adresse ip est : XXX.XXX.XXX.XXX où XXX sont des numéros
3) Créer un fichier htaccess (cf : http://forum.macbidouille.com/lofiversion/index.php/t104120.html ) sinon, redemande moi, je t'enverrais un fichier vide
4) mettre dans le fichier .htaccess :

order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX

où tu change bien sur les XXX par les numéros relevés sur mon-ip.com ;)

5) Envoyer le fichier .htaccess créé et enregistré à la racine de ton site (via ftp ou l utilitaire de ton hébergeur)

Et voila.. personne ne pourra aller sur ton site excepter le pc connecter via l ip XXX c'est à dire toi :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Salut jjsting et d'ores et déjà un grand merci pour cette aide providentielle ;)

J'ai donc été sur le lien que tu m'as indiqué pour y connaître mon adresse ip.

Par contre, je suis vraiment trop profane en informatique pour comprendre ce qui se dit sur le forum macbidouille.com à propos de la création d'un fichier .htaccess :, donc je ne saurais trop te prier de m'en envoyer un vierge, ainsi que tu me le proposes aimablement. (sachant que je suis utilisateur Mac OSX 10.6.4.)

mon adresse email est jimsa@alice-de

Une fois nanti de ce fichier vierge, j'espère qu'il ne me sera pas trop difficile d'en repérer les champs de paranétrage d'autorisation : order deny, allow / deny from all / allow from (mon adresse ip), sinon si tu peux aussi me les "surligner" ...

Dernière chose : sans te demander de m'expliquer ce qu'est une "racine de site", je voudrais que tu me dises ce qu'est "l'utilitaire de mon hébergeur". Tout ce que je sais en effet est que je suis client d'un hébergeur pour un type de site de commerce en ligne appelé "pack pro+" où je dispose d'un accès espace client avec mot de passe ainsi que d'un accès à un espace ou je peux à l'aide d'un identifiant codé supplémentaire gérer l'accès aux fichiers ftp de mon site. Mais je ne suis pas parvenu à me connecter à l'URL "ftp.monnomdesite.com" où mon hébergeur dit que mes fichiers ftp se trouvent, car l'accès par nom d'utilisateur + mot de passe m'est dénié (?) (voir ma réponse précédente à Ratikuss qui n'a pas pu continuer à m'aider).

En conséquence j'espère que ce que tu nommes "l'utilitaire de mon hébergeur" n'est pas cet URL là, sinon il ne me reste qu'à essayer de contacter mon hébergeur par téléphone (ce qui n'est pas gagné) pour résoudre le problème ...

Quoi qu'il en soit, je pense avoir saisi dans son principe la démarche que tu me suggères et je serais très satisfait de pouvoir régler mon affaire par ce biais.

Bien à toi,

Jimsa
0
jjsteing Messages postés 1670 Date d'inscription vendredi 11 mai 2007 Statut Contributeur Dernière intervention 21 mai 2012 181
Modifié par jjsteing le 1/12/2010 à 07:51
Bonjour,

Voici le lien pour télécharger ton fichier htaccess : http://www.jjsteing.com/AEL/Dld.php?Fichier=Download/htaccess%20bloque.zip

télécharge, ouvre, enregistre le fichier sur ton bureau
Edite le (ouvre avec notepad) , change les XXX, enregistre

via filezilla, envoie le dans sur ton site internet.

La racine de ton site est le répertoire de base de ton site, lorsque tu te connect via filezilla, c'est généralement le répertoire qui s affiche en premier ou si il y a un répertoire htdocs, met le fichier htacces dans le répertoire htdocs.

Pour vérifier que ca marche, au lieu de mettre par exemple 123.456.123.456 (ton adresse ip) met 123.123.123.123 et essaye d aller sur ton site tu ne devrais pas avoir l acces vu que l adresse ip ne correspond pas à ta machine ;) si c'est bon, refait la procédure avec ta vrai adresse ip (celle qui apparait dans mon-ip.com).

Je pourrais te confirmer que c'est bon en me donnant via un mp le lien vers ton site web :)

@++

ps: modifie ton dernier message... ce n est pas top de mettre son adresse mail en claire sur le site. Pour la prochaine fois, envoie la en mp (petite enveloppe en haut de CCM à coté de lon nom)
0
Je dois te paraître bien profane. Car si oui, j'ai réussi à télécharger ton fichier, je suis incapable de l'ouvrir. Je suis utilisateur Mac. J'ai vérifié, je n'ai pas l'application Note Pad. Je dispose de Simple Text et de Stickies (des pense-bête). Pour l'instant, le fichier est sur mon bureau sous la forme d'un classeur qui ne contient rien, la fiche informative disant : 4KB on disk (122 bytes) for 0 items. (0 articles, donc le fichier est vide ?)
Je viens de télécharger Filezilla hier, je sais à peine m'en servir. Je serais déjà content de pouvoir ouvrir ce fichier que tu m'as envoyé à partir d'une application quelconque. Après j'apprendrai à le faire dans Filezilla.
Ensuite je ne comprends pas lorsque tu dis "change les XXX". Veux-tu dire, remplace les X par ton adresse ip ?
Enfin, encore toutes mes excuses pour avoir donné l'adresse mail inconsidérément sur mon message de forum et un grand merci quoi qu'il arrive.
0
jjsteing Messages postés 1670 Date d'inscription vendredi 11 mai 2007 Statut Contributeur Dernière intervention 21 mai 2012 181
2 déc. 2010 à 09:07
ok, Il doit etre 'caché', suis cette procédure :

http://www.mar1e.fr/afficher-les-fichiers-caches-sous-mac-5

Une fois que tu verra le fichier tu pourra l editer avec simple text.. et tu change xxx avec ton adresse ip ;)

Profane peut etre, mais on est la pour donner le coup de pouce ;)
0
Cher jjsteing,

Tu es vraiment très sympa mais je pense que tu vas finir par te lasser au regard de mon inculture informatique décidément trop crasse.
A la limite tu serais en droit de te demander si je ne suis pas un internaute le faisant exprès pour polluer un forum (soupir)

J'ai été sur le lien que tu m'as donné et voici ce que j'ai pu y lire :

"Dans certaines circonstances il est utile au webmaster d'afficher certains fichiers qui sont en général cachés au commun des utilisateurs. C'est le cas des fichiers commençant par un . (point) comme le .htaccess.

Bien entendu il est tout à fait possible de nommer son .htaccess sans le . au début (comme htaccess.txt), le transférer via ftp puis le renommer sur son serveur distant mais il existe plus simple pour voir les fichiers cachés par OSX.

Ouvrez le terminal qui se trouve sous Applications / Utilitaires et tapez la commande suivante :

defaults write com.apple.Finder AppleShowAllFiles true

puis redémarrez le finder.

Et vous voyez ainsi vos fichiers .htaccess (mais aussi tous les fichiers habituellement cachés par Mac OSX)"

Super. A part que pour moi ça n'a rien donné. Parce que :

1) En ouvrant Applications / Utilitaires je tombe sur une petite fenêtre qui contient déjà deux lignes (mon nom d'utilisatur + la date de ma dernière "session + une ligne et demie de script incompréhensible pour moi)

2) ces deux lignes sont inneffaçables, aussi bien façon "traitement de texte" que façon "commande au clavier Mac". L'effacement est désactivé au menu de haut de bureau.

3) Je ne peux pas écrire dans cette fenêtre autrement qu'en linéaire après le curseur suivant ces deux lignes, sans pouvoir accomplir la moindre des opérations courantes sur un texte genre effacement de ce qui précède et / ou retour en arrière avant le curseur ni même aller à la ligne. Or j'imagine que l'endroit précis dans la fenêtre où je suis sensé "taper la commande" n'est pas sans influence sur l'efficacité de celle-ci (?)

4) Je ne sais pas si les divers mots de la commande sont séparés par des espaces ou non ("defaults write etc ..." ou bien "defaultswriteetc..." ?)

5) de toute façon j'ai essayé les deux et ça ne donne rien quand je "redémarre le finder"

6) D'ailleurs j'ignore le sens exact de l'expression "redémarrer le finder". Redémarrer l'ordinateur, ça je sais faire et évidemment j'ai fait dans les deux cas après avoir quitté toutes les applications dont "Terminal", inutile de dire sans pour autant pouvoir après redémarrage ouvrir le fichier que tu m'as envoyé, lequel persiste sur mon bureau sous forme d'une petite icône de classeur bleu aussi décorative qu'inutile ...

6) si "redémarrer le finder" est un genre de procédure pour utilisateurs avertis, sorry mais je ne tiens pas à perdre tous mes fichiers : il se trouve qu'il y a un an en faisant un "force quit" pour une application qui ne quittait pas comme il peut arriver à l'occasion, j'avais par maladresse laissé glisser ma souris sur l'icône "finder", faisant du coup un "force quit finder". Quel n'a pas alors été mon désagrément au redémarrage de constater que la plupart de mes applications et fichiers étaient introuvables, certains définitivement perdus, dans des caches, en particuliers des utilitaires standards du système, bref, une mésaventure qui m'avait fait perdre des mois de travail ! Etant finalement retombé sur mes pieds en utilisateur lambda au prix d'un upgrade récent Mac OSX 10.6.4 (snow leopard), ayant péniblement reconstitué les fichiers qui n'avaient pas été perdus, mais n'ayant pas encore pu faire de sauvegarde externe (car mon disque dur externe Lacie à hélas rendu l'âme il y a un mois), pas question pour moi de risquer la moindre nouvelle perte irrémédiable en jouant les apprentis informaticiens.

7) Je t'ai déjà signalé que je ne disposais pas de "simple text", à moins que cette application (qui pourtant devrait être de série sur Mac je présume) soit elle aussi
"cachée".

Voilà donc où j'en suis. Je ne te ferais pas l'injure de te demander si tu n'est pas sûr que ton fichier n'est pas vide. Enfin, bon, je n'arrive pas à l'ouvrir, donc à ce jeu d'écran là, je ne décolle même pas au dessus du level 0 !

Je ne t'en voudrai pas si tu me laisse tomber. Merci en tous cas pour tout le dévouement dont tu as fait preuve jusqu'ici !

Cordialement

Jimsa
0
jjsteing Messages postés 1670 Date d'inscription vendredi 11 mai 2007 Statut Contributeur Dernière intervention 21 mai 2012 181
Modifié par jjsteing le 3/12/2010 à 07:50
Salut :)

Sache que je laisse jamais tomber !! surtout pas après un laïus pareil... je te sens au bord de la déprime... T inquiète pas, on va y arrivé (comme disait mon guide matata, lorsqu on montait le Kilimandjaro, exténués, malades, en manque de sommeil, glacé jusqu aux os : polé polé.. on va y arrivé, c est bientot la fin...... il restait plus de 10h de marche :s )

Bon, retélécharge le fichier sur mon site, j ai enlevé le ' . ' comme ca tu devrais voir le fichier...

extrait le fichier htaccess.txt sur ton bureau

ouvre le, Modifie en remplacant les XXX par ton ip, enregistre

ouvre filezilla, balance le fichier modifier sur ton site, et renomme le en ".htaccess"
0
je te remercie jjsteing mais j'ai préféré résoudre temporairement mon problème en demandant à mon hébergeur comment m'y prendre pour sécuriser l'accès à mon site au moyen d'identifiants (utilisateur + mot de passe) que je définis depuis mon espace client. Résultat : immédiat.
C'est peut-être moins glorieux que cette manip avec fichier .htaccess que tu me suggérais de faire et qui, j'en suis sûr, aurait eu de bonnes chances d'aboutir avec ton aide. Mais j'avoue qu'à mon niveau de web-vendeur franchement profane en informatique mais tout de même dans l'urgence, la solution pour laquelle j'ai opté semblait plus à ma portée.
J'aurai en tous les cas appris comment trouver mon ip grâce à toi, ce qui est peut-être un détail pour toi, mais pour moi qui veut dire beaucoup.

Bien à toi et bonne continuation.
0