The Jedi Posté 21 Juillet 2006 Posté 21 Juillet 2006 Bonjour, je viens de remarquer un problème sur mon serveur dédié : de nombreux fichiers ont été effacés. Je remarque qu'il s'agit de tous les contenus des répertoires en chmod 0777 ou les fichiers en chmod 0666. J'aimerais savoir comment est-ce possible ? J'imagine que j'ai été piraté mais comment ? Je suis sur un serveur OVH et je faisais toutes les mises à jour :/ j'avais désactivé les accès FTP pour être sûr qu'aucun pass ne transite en clair ... j'ai les glandes profond :/
TheRec Posté 21 Juillet 2006 Posté 21 Juillet 2006 Bonjour, Les failles de sécurité peuvent être multiples, ce serait impossible de toutes le envisager, mais si tu faisait les mise à jour, avait un pare-feu configuré, pas d'accès FTP, etc. Peut-être qu'il s'agit d'une faille dans un script PHP par exemple, as-tu des scripts qui accèdent au système de fichiers... ou font appel à des fonctions potentiellement risquées ? Je m'oriente vers cette éventualité car c'est une source de failles importante... Peut-être as-tu des fichiers de logs à analyser (FTP, SSH, ...), je ne connais pas l'infrastructure de OVH et comment ils la gèrent mais peut-être qu'il gardent de tels informations pour chaque serveur, essaie peut-être de les contacter à ce sujet (tout ce que tu risque c'est qu'ils te répondent que ce n'est pas de leur ressort).
The Jedi Posté 21 Juillet 2006 Auteur Posté 21 Juillet 2006 Une faille PHP ? Hm peut-être sachant que les fichiers incriminés appartiennent au groupe "users" mais ils ont tous été supprimés dans des répertoires différents (forums, webmail etc.). J'ai changé tous mes mots de passe (root compris) au cas où. J'analyserai les logs demain, sachant que c'est arrivé vers 19h30, vu que comme de par hasard, je ne suis pas disponible demain matin
TheRec Posté 21 Juillet 2006 Posté 21 Juillet 2006 Utilises-tu des scripts complets pour ces application de Forum, Webmail, etc. (PhpBB, IPB, Horde, ...) ? Est-ce que tu fais également les mises à jour de ces scripts ? Fais un tour sur tous les sites de ces scripts afin de voir si ce n'est pas une nouvelle faille que tu n'aurais pas encore colmatée avec une mise à jour :S
The Jedi Posté 22 Juillet 2006 Auteur Posté 22 Juillet 2006 J'utilise Horde (en HTTPS), un site maison en rewriting avec sources fermées et rewriting intégral sans paramètre d'URL (bétonné au maximum mais pas infaillible surement), IPB (dernière version 2.1.7) et Webmin. A ce niveau je suis régulièrement les mises à jour et je les applique très souvent le jour même. Maintenant j'ai quelques sites hébergés dont un qui avait une vieille version d'IPB (1.3.1). Bizarrement j'ai navigué dessus et il ne semble pas avoir été affecté. Apache tourne avec suPHP donc je ne sais pas trop si c'est faisable un tel débordement :/
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant