Forum général.général fichier php pirate ftp

Posté par emlesna le 02 décembre 2008 à 11:02.

Étiquettes : aucune

déc.

2008

Bonjour,

Hier, j'ai découvert la présence d'un fichier PHP suspect sur l'un des répertoires FTP de mon serveur.

D'après moi, un hacker a réussi à uploader ce fichier sur le serveur, après quoi ce fichier analyse des données sensibles du serveur et les envoies vers l'extérieur.

Quels sont les moyens de parvenir à écrire sur un compte FTP ?
Comment peut-on éviter ce genre de vulnérabilté ?

Pour information, je peux poster le code PHP du fichier responsable, mais je préfère demander au préalable.

Merci pour vos conseils.

# Des idées de moyens

Posté par yellowiscool le 02 décembre 2008 à 11:38. Évalué à 5.

Il peut s'agit d'un mot de passe faible. D'une non sécurité du réseau (paquets sniffés).

Mais à mon avis, ça vient plus d'une faille dans une application php du serveur.
Envoyé depuis mon lapin.
- [^] # Re: Des idées de moyens
  
  Posté par NeoX le 02 décembre 2008 à 11:40. Évalué à 3.
  
  j'avais commencé à rediger en ce sens
  
  regarde ton fichier
  
  s'il appartient à ton utilisateur alors il a surement ete pose en FTP avec ton user/pass
  s'il appartient à www-data ou apache, alors il a ete depose par web upload (php par exemple)
  - [^] # Re: Des idées de moyens
    
    Posté par Lol Zimmerli (site web personnel, Mastodon) le 02 décembre 2008 à 11:55. Évalué à 1.
    
    Ou alors un script php l'a downloadé (via fopen ou un lancement de wget)
    La gelée de coings est une chose à ne pas avaler de travers.
    - [^] # Re: Des idées de moyens
      
      Posté par pasBill pasGates le 02 décembre 2008 à 22:21. Évalué à 1.
      
      Ou alors le gars a un access shell sur cette machine et utilise le fichier php comme gateway pour effectuer diverses operations discretement...
# Proverbe

Posté par Kerro le 04 décembre 2008 à 01:36. Évalué à 2.

Un vieux proverbe chinois dit: où l'utilisateur écrire pourra, l'application point n'exécutera.

Traduction: il faut indiquer à ton serveur web de n'exécuter les fichier PHP (et autres bien entendu) que dans les répertoires que tu as choisi. Non modifiable par un .htaccess va de soit. Si ton ftp tombe dans les répertoires exécutables, débrouilles toi pour ne pas de faire chopper tes mots de passe.

Un vrai bon serveur ftp = vsftp
Tu peux forcer l'utilisation d'utilisateurs virtuels sous l'identité que tu veux. Idem pour les utilisateurs réels (root se connect en toto si ça te chante).
- [^] # Re:r57shell
  
  Posté par emlesna le 15 décembre 2008 à 16:57. Évalué à 1.
  
  En fait, il s'agit du virus "r57shell" bien connu apparement ,
  chez moi, ce script php s'appelle hirako.php, une fois uploadé sur le serveur via
  une attaque XSS, le pirate affiche ladite page dans son navigateur et execute des commandes via des formulaires html .
  
  Comment orienter ma recherche pour savoir quel fichier est assez vulnérable pour subir une attaque XSS ?
  En d'autre terme, les logs apache ou autre peuvent -ils aider dans cette recherche ?
  
  Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.