Attaque phishing?

stephanem · May 28, 2026, 1:43pm

What type of hardware are you using: Old laptop or computer
What YunoHost version are you running: 12.1.4.0.1
How are you able to access your server: SSH

Describe your issue

Bonjour

Je viens de recevoir une alerte via ke abuse de mon hébergeur web qui me dit que j’héberge une tentative de fishing du site adobe via l’adresse :

adobe.cloudron.monsite.fr

Je n’ai pas ces domaine sur mon yunohost

Je viens de controler ma zone DNS et je n’ai rien qui corresponde. Dans le doute j’ai supprimé les entrée A et AAAA avec *.monsite.fr

J’ai l’impression que c’est une fausse alerte détecté. Mais comment être sur ?
Je suis aller voir en ssh dans le dossier nginx et pareil ces domaine n’existent pas.

Share relevant logs or error messages

rien

JfmbLinux · May 28, 2026, 2:05pm

Je vois Cloudron adobe.cloudron.monsite.fr
Cloudron est une plateforme d’auto-hébergement créée par Cloudron UG.
Un peu comme Yunohost, mais en moins bien…

Ce site n’est pas accessible.

Et je ne serais pas étonné que le but de ce site et de te faire débourser de l’argent via un abonnement.

stephanem · May 28, 2026, 2:20pm

monsite.fr ce n’est pas la vrai adresse

En effet je n’ai pas compris le cloudron, mais comme j’avais activé les A et AAAA avec sous domaine *. dans ma zone DNS, du coup absolument n’importe quel sous domaine menait à ma page de connexion.

Et j’imagine que leur robot test des sous domaine déjà signalé.

Après avoir fait une réclamation, en fait il s’agit d’un faux positif. Netcraft a fait sortir mon serveur de la liste noire

Coup de stresse inutile. Je ne savais pas qu’il existait ce genre de bot de contrôle.

Mais ça aura eu le mérite de me forcer à m’interroger sur le sujet

JfmbLinux · May 28, 2026, 2:26pm

Ok ! donc pas de panique…
Il faut être prudent en effet…
Tant mieux si tout est OK

MariusBaguepi · May 28, 2026, 4:18pm

Est-ce que tu as un accès à ton serveur FTP ?
Je serais toi, je vérifierais le contenu du serveur, et des pages web, notamment, pour vérifier qu’il n’y a pas de fausse page Adobe sur ton serveur.

stephanem · May 28, 2026, 4:21pm

Oui j’ai un accès fstp

J’ai fait le check, non rien c’était vraiment une fausse alerte

JfmbLinux · May 28, 2026, 5:28pm

Il y a quelques mesures supplémentaires à mettre en place pour améliorer la sécurité :

Connexion SSH avec Gotify :

github.com/DeMiro5001/Linux-scripts

yunohost/Gotify%20yunohost%20notifications.md

main

These hooks allow you to get notified on your phone or pc via gotify app. So you have to install this app (on any server). Don't forget to replace `__GOTIFYPATH__` by the gotify app path (domain.com/gotify) and `__TOKEN__` with a registered app on your gotify server. Make changes as you like to the messages.

1. Change user to root and change current working dir to yunohost hooks

```bash
# Change user to root and change current working dir to yunohost hooks
sudo -i
cd /etc/yunohost/hooks.d/
```

2. Get notified after adding a domain

```bash
# Add post_domain_add notification
mkdir post_domain_add
nano post_domain_add/01-post_domain_add
```

paste, save and exit

Ce fichier a été tronqué. afficher l'original

stephanem · May 28, 2026, 6:09pm

Fait sur mes deux serveurs. Merci

djizeus · June 2, 2026, 3:15pm

Content de voir que je ne suis pas le seul à avoir reçu cet email ! Le problème supplémentaire qui s’est posé pour moi, c’est que je loue le serveur à OVH et que OVH a donc reçu la réclamation, et a bloqué mon serveur jusqu’à ce que j’indique avoir répondu à la réclamation et comment…

Du coup j’aimerais avoir l’avis de la communauté et de Yunohost pour confirmer que Netcraft et OVH sont bien les fautifs (je dirais même que ce sont eux qui devraient être l’object d’une plainte !). La plainte est d’autant plus infondée que HSTS est activé sur le domaine, et que donc un navigateur “usuel” n’affiche en fait PAS la page de connection lorsqu’on va sur adobe.monsite.fr.

J’ai ajouté l’entrée DNS *.monsite.fr sur recommendation du diagnostic Yunohost, et maintenant que je l’ai retirée je reçois un mail tous les jours qu’elle est manquante. Quelle est la raison de cette recommendation ? Est-ce que cela protège le serveur ou domaine contre certains types d’attaque ? Est-ce qu’il y a des arguments pour expliquer à Netcraft que ce sont eux les abuseurs et à OVH qu’ils ne font pas leur boulot ?