Forum général.général fichier php pirate ftp

Posté par .
Tags : aucun
0
2
déc.
2008
Bonjour,

Hier, j'ai découvert la présence d'un fichier PHP suspect sur l'un des répertoires FTP de mon serveur.

D'après moi, un hacker a réussi à uploader ce fichier sur le serveur, après quoi ce fichier analyse des données sensibles du serveur et les envoies vers l'extérieur.

Quels sont les moyens de parvenir à écrire sur un compte FTP ?
Comment peut-on éviter ce genre de vulnérabilté ?

Pour information, je peux poster le code PHP du fichier responsable, mais je préfère demander au préalable.

Merci pour vos conseils.
  • # Des idées de moyens

    Posté par (page perso) . Évalué à 5.

    Il peut s'agit d'un mot de passe faible. D'une non sécurité du réseau (paquets sniffés).

    Mais à mon avis, ça vient plus d'une faille dans une application php du serveur.

    Envoyé depuis mon lapin.

    • [^] # Re: Des idées de moyens

      Posté par . Évalué à 3.

      j'avais commencé à rediger en ce sens

      regarde ton fichier

      s'il appartient à ton utilisateur alors il a surement ete pose en FTP avec ton user/pass
      s'il appartient à www-data ou apache, alors il a ete depose par web upload (php par exemple)
      • [^] # Re: Des idées de moyens

        Posté par (page perso) . Évalué à 1.

        Ou alors un script php l'a downloadé (via fopen ou un lancement de wget)

        La gelée de coings est une chose à ne pas avaler de travers.

        • [^] # Re: Des idées de moyens

          Posté par . Évalué à 1.

          Ou alors le gars a un access shell sur cette machine et utilise le fichier php comme gateway pour effectuer diverses operations discretement...
  • # Proverbe

    Posté par (page perso) . Évalué à 2.

    Un vieux proverbe chinois dit: où l'utilisateur écrire pourra, l'application point n'exécutera.

    Traduction: il faut indiquer à ton serveur web de n'exécuter les fichier PHP (et autres bien entendu) que dans les répertoires que tu as choisi. Non modifiable par un .htaccess va de soit. Si ton ftp tombe dans les répertoires exécutables, débrouilles toi pour ne pas de faire chopper tes mots de passe.

    Un vrai bon serveur ftp = vsftp
    Tu peux forcer l'utilisation d'utilisateurs virtuels sous l'identité que tu veux. Idem pour les utilisateurs réels (root se connect en toto si ça te chante).
    • [^] # Re:r57shell

      Posté par . Évalué à 1.

      En fait, il s'agit du virus "r57shell" bien connu apparement ,
      chez moi, ce script php s'appelle hirako.php, une fois uploadé sur le serveur via
      une attaque XSS, le pirate affiche ladite page dans son navigateur et execute des commandes via des formulaires html .

      Comment orienter ma recherche pour savoir quel fichier est assez vulnérable pour subir une attaque XSS ?
      En d'autre terme, les logs apache ou autre peuvent -ils aider dans cette recherche ?

      Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.