Forum Linux.général serveur hacké!

Posté par ewasx le 02 septembre 2009 à 02:25.

Étiquettes : aucune

sept.

2009

Bonjour bonsoir,

Ben voila, je me suis fait hacké. Enfin "moi", disons que mon site perso s'est fait hacké, il est hébergé par arvixe.com. A priori tous les fichiers index.quelquechose ont été changé, par exemple:

-rw-r--r-- 1 xxxxxx xxxxxxx 337 Aug 30 12:20 index.php
-rw-r--r-- 1 xxxxxxx xxxxxxx 337 Aug 30 12:20 index.php.en

Et le contenu:

xxxxxx@xxxxxx.net [~/www]# cat index.php


Rapidshare


Downloads


Movie Trailers & Movie Reviews


Rapidshare Forums


RSARENA

(pas compris comment montrer le cat mais bon...)

J'ai changé les URLs car bon c'est assez de pub comme ca... j'ai fait un find pour trouver les fichiers modifiés récemment et c'est comme ca que j'en suis arrivé a cette conclusion. Je n'ai rien trouvé de "mauvais" dans le base mysql.
Mon gros problème c'est que je ne vois rien de spécial dans les logs apache. pas d'URL bizarre où on voit les script s'amuser à trouver une faille. Du coup je me demande comment c'est arrivé et comment être sur que tout est normal non... et surtout: où est la faille? quel script php ou autre n'est pas sur?
J'ai contacté le support arvixe mais ils me proposent juste de repartir à zero a partir de la plus récente sauvegarde, vu que je peux le faire moi même ça ne m'intéresse pas.

Avez vous des conseils?

# Logs système

Posté par benoar le 02 septembre 2009 à 02:36. Évalué à 5.

L'attaque ne s'est peut-être pas faite depuis apache. Regarde d'abord les logs système. Mais c'est clair que tu ne pourras jamais être sûr que tout est clean et que la restauration d'un sauvegarde est la meilleure solution (mais je suppose que là tu veux d'abord savoir comment c'est arrivé pour ne pas que ça se reproduise).
- [^] # Re: Logs système
  
  Posté par ewasx le 02 septembre 2009 à 04:31. Évalué à 1.
  
  vu que je suis hebergé je n'ai pas un acces total.. donc pas d'acces aux logs systeme...
  - [^] # Re: Logs système
    
    Posté par ewasx le 02 septembre 2009 à 04:37. Évalué à 2.
    
    j'ai oublié de dire que tu as vu juste, en effet je voudrais savoir, dans l'idéal, comment c'est arrivé. Car si je repars juste avec le backup d'origine, ce qui est presque totalement fait, ben ca va pas aider tant que ca... c'est le problème, j'imagine, quand on n'a pas son propre serveur. ca n'aide pas.
    - [^] # Re: Logs système
      
      Posté par benoar le 02 septembre 2009 à 18:35. Évalué à 2.
      
      Ha, en fait t'es hébergé ? T'es sûr que c'est pas ton hébergeur qui a eu une petite défaillance ?
      Sinon, je voterai comme indiqué plus bas pour un mot de passe faible ou un truc du genre.
      - [^] # Re: Logs système
        
        Posté par oat5hd le 03 septembre 2009 à 17:36. Évalué à 1.
        
        Pas forcément l'hébergeur, il suffit que le site soit sur un serveur mutualisé et que le site d'un autre client soit moisi. Les serveurs mutualisés sont pas forcement à jour et un local root est tout à fait envisageable.
        
        Il n'y a pas vraiment de protection dans ce cas hormis bien entendu de prendre un hébergement dédié si on a les moyens. Dans tous les cas, ne jamais laisser de données sensible dans un environnement que l'on ne contrôle pas (certaines stars du monde de la sécurité s'en souviendront longtemps).
- [^] # Re: Logs système
  
  Posté par Nerdiland de Fesseps le 02 septembre 2009 à 12:51. Évalué à 1.
  
  Je plussoie, pas besoin de passer par Apache. Apparemment ton hébergeur te donne un accès FTP et SSH (SFTP), c'est peut-être tout simplement que ton mot de passe était trop faible... ou alors que les logiciels n'étaient pas à jour et qu'une faille a pu être exploitée.
# blog? cms?

Posté par bob le homard le 02 septembre 2009 à 13:46. Évalué à 2.

tu utilises un script php sur ton site?

Il y a de forte chance que ça vienne de là.
- [^] # Re: blog? cms?
  
  Posté par volia le 04 septembre 2009 à 13:56. Évalué à 1.
  
  Au passage, je ne sais pas si ça a un rapport, mais pour ceux que ça intéresse, il y a une faille importante dans spip, corrigée avec la dernière version, sortie cet été : [http://www.spip-contrib.net/Alerte-securite-SPIP-nouvelle]
# Serveur cracké

Posté par IsNotGood le 03 septembre 2009 à 10:57. Évalué à 3.

Serveur cracké, pas hacké.
# Par ftp ?

Posté par CopainJack (site web personnel, Mastodon) le 03 septembre 2009 à 17:16. Évalué à 3.

Un virus qui circule et qui vole les login/pass des comptes ftp pour ensuite modifier les pages index des sites.

Nous avons eu des clients victimes d'un virus de ce type cet été (mais je n'arrive plus à mettre un nom sur ce virus). La page index était modifié pour ajouter un iframe avec de la pub vers des sites de médocs.

A vérifier dans les logs si toi ou une autre personne en charge du site utilisent un système Windows...
- [^] # Re: Par ftp ?
  
  Posté par papilucio le 04 septembre 2009 à 16:54. Évalué à 2.
  
  dans cette idée là, tu peux regarder à qui appartiennent les fichiers corrompus : tu sauras quel compte est vermoulu, déjà. De là, tu pourras avoir une idée de la façon dont ça a été fait.
  Perso, je vote également pour un login/mdp faible sur ftp.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.