Forum Linux.général serveur hacké!

Posté par .
Tags : aucun
4
2
sept.
2009

Bonjour bonsoir,

Ben voila, je me suis fait hacké. Enfin "moi", disons que mon site perso s'est fait hacké, il est hébergé par arvixe.com. A priori tous les fichiers index.quelquechose ont été changé, par exemple:


-rw-r--r-- 1 xxxxxx xxxxxxx 337 Aug 30 12:20 index.php
-rw-r--r-- 1 xxxxxxx xxxxxxx 337 Aug 30 12:20 index.php.en

Et le contenu:
xxxxxx@xxxxxx.net [~/www]# cat index.php

Rapidshare
Downloads

Movie Trailers & Movie Reviews
Rapidshare Forums
RSARENA


(pas compris comment montrer le cat mais bon...)

J'ai changé les URLs car bon c'est assez de pub comme ca... j'ai fait un find pour trouver les fichiers modifiés récemment et c'est comme ca que j'en suis arrivé a cette conclusion. Je n'ai rien trouvé de "mauvais" dans le base mysql.
Mon gros problème c'est que je ne vois rien de spécial dans les logs apache. pas d'URL bizarre où on voit les script s'amuser à trouver une faille. Du coup je me demande comment c'est arrivé et comment être sur que tout est normal non... et surtout: où est la faille? quel script php ou autre n'est pas sur?
J'ai contacté le support arvixe mais ils me proposent juste de repartir à zero a partir de la plus récente sauvegarde, vu que je peux le faire moi même ça ne m'intéresse pas.

Avez vous des conseils?
  • # Logs système

    Posté par . Évalué à 5.

    L'attaque ne s'est peut-être pas faite depuis apache. Regarde d'abord les logs système. Mais c'est clair que tu ne pourras jamais être sûr que tout est clean et que la restauration d'un sauvegarde est la meilleure solution (mais je suppose que là tu veux d'abord savoir comment c'est arrivé pour ne pas que ça se reproduise).
    • [^] # Re: Logs système

      Posté par . Évalué à 1.

      vu que je suis hebergé je n'ai pas un acces total.. donc pas d'acces aux logs systeme...
      • [^] # Re: Logs système

        Posté par . Évalué à 2.

        j'ai oublié de dire que tu as vu juste, en effet je voudrais savoir, dans l'idéal, comment c'est arrivé. Car si je repars juste avec le backup d'origine, ce qui est presque totalement fait, ben ca va pas aider tant que ca... c'est le problème, j'imagine, quand on n'a pas son propre serveur. ca n'aide pas.
        • [^] # Re: Logs système

          Posté par . Évalué à 2.

          Ha, en fait t'es hébergé ? T'es sûr que c'est pas ton hébergeur qui a eu une petite défaillance ?
          Sinon, je voterai comme indiqué plus bas pour un mot de passe faible ou un truc du genre.
          • [^] # Re: Logs système

            Posté par . Évalué à 1.

            Pas forcément l'hébergeur, il suffit que le site soit sur un serveur mutualisé et que le site d'un autre client soit moisi. Les serveurs mutualisés sont pas forcement à jour et un local root est tout à fait envisageable.

            Il n'y a pas vraiment de protection dans ce cas hormis bien entendu de prendre un hébergement dédié si on a les moyens. Dans tous les cas, ne jamais laisser de données sensible dans un environnement que l'on ne contrôle pas (certaines stars du monde de la sécurité s'en souviendront longtemps).
    • [^] # Re: Logs système

      Posté par . Évalué à 1.

      Je plussoie, pas besoin de passer par Apache. Apparemment ton hébergeur te donne un accès FTP et SSH (SFTP), c'est peut-être tout simplement que ton mot de passe était trop faible... ou alors que les logiciels n'étaient pas à jour et qu'une faille a pu être exploitée.
  • # blog? cms?

    Posté par (page perso) . Évalué à 2.

    tu utilises un script php sur ton site?

    Il y a de forte chance que ça vienne de là.
  • # Serveur cracké

    Posté par . Évalué à 3.

    Serveur cracké, pas hacké.
  • # Par ftp ?

    Posté par (page perso) . Évalué à 3.

    Un virus qui circule et qui vole les login/pass des comptes ftp pour ensuite modifier les pages index des sites.

    Nous avons eu des clients victimes d'un virus de ce type cet été (mais je n'arrive plus à mettre un nom sur ce virus). La page index était modifié pour ajouter un iframe avec de la pub vers des sites de médocs.

    A vérifier dans les logs si toi ou une autre personne en charge du site utilisent un système Windows...
    • [^] # Re: Par ftp ?

      Posté par . Évalué à 2.

      dans cette idée là, tu peux regarder à qui appartiennent les fichiers corrompus : tu sauras quel compte est vermoulu, déjà. De là, tu pourras avoir une idée de la façon dont ça a été fait.
      Perso, je vote également pour un login/mdp faible sur ftp.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.