bertimus Posté 24 Mai 2007 Posté 24 Mai 2007 (modifié) Bonjour à tous, Je viens de subir un hack, ou au moins une tentative, sur mon hébergement mutualisé 240plan OVH, OVH a donc logiquement bloqué l'accès à mon 240plan. Non compétent dans le domaine de la programmation, j'aurais juste besoin d'une petite aide pour identifier la source... Le constat : Mon NDD principal Problème rencontré : Hidden PHP script Commande apparente : [suexec] Exécutable utilisé : /usr/local/bin/php.ORIG.4.4.4 Horodatage: Thu May 24 15:37:04 CEST 2007 J'extrais donc les logs à cette heure précise et les voici : 193.251.169.175 www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/ajax-comments.php?js HTTP/1.1" 200 1252 "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET l'url d'un article de mon blog .html HTTP/1.1" 200 7379 "http:// www. l'url d'une page d'un de mes sites" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fake.ha.ovh.net www. mon NDD principal .com - [23/May/2007:15:37:04 +0200] "POST /4-crawltrack/crawltrack.php HTTP/1.1" 200 5 "-" "-" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/prototype.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/scriptaculous.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/builder.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/effects.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/dragdrop.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/controls.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/slider.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" d90-144-126-124.cust.tele2.fr www. mon second NDD .com - [23/May/2007:15:37:04 +0200] "POST http://www. mon NDD principal .com / dossier / listen.php?n=essai2://http://www. mon NDD principal .com ...en.php?n=essai2://http://www. mon NDD principal .com ...en.php?n=essai2 HTTP/1.0" 200 7 "-" "-" Ma question : lequel de ces logs vous paraît louche ? Merci pour votre future aide, Bertrand Modifié 24 Mai 2007 par bertimus
Dan Posté 24 Mai 2007 Posté 24 Mai 2007 Le script a peut-être été exécuté à 15:37:04, mais il a vraisemblablement été uploadé bien avant. Recherche wget ou lynx dans tes logs....
bertimus Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 (modifié) Merci Dan pour ta réponse ultra rapide, un seul Wget pour aujourd'hui, pas de lynx proxy-6m.club-internet.fr www. mon NDD principal .com - [23/May/2007:06:08:45 +0200] "GET /robots.txt HTTP/1.1" 200 53 "-" "Wget/1.10.2" Dois-je revenir sur chacun des logs de mai ? Ou encore plus peut-être ? Modifié 24 Mai 2007 par bertimus
Dan Posté 24 Mai 2007 Posté 24 Mai 2007 Oui, il faut remonter dans les logs précédents. Le problème des mutualisés est que tu ne peux pas lister le répertoire /tmp ou /var/tmp dans lequel les fichiers ont vraisemblablement été téléchargés. Recherche sur ton site les fichiers qui ont été modifiés récemment. Tu as accès au shell linux sur le 240 plan ?
bertimus Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 (modifié) OK, je m'engage dans cette recherche de wget et de lynx sur tout le mois de mai. J'ai regardé chacun des dossiers et fichiers de mon FTP, aucun n'a été modifié récemment. Sinon, non, pas d'accès au shell linux sur le 240plan, m'enfin je crois pas Y'aura de toute façon toujours une ultime solution : l'intervention de l'infogérance OVH, mais ça devrait coûter bonbon Modifié 24 Mai 2007 par bertimus
Wefficient Posté 24 Mai 2007 Posté 24 Mai 2007 Bonbon c'est une chose... Mais c'est surtout moins réactif que l'infogérance de Dan :-/ Et en plus, je ne sais pas s'ils font ce genre de prestations sur du mutualisé (vu que j'ai toujours eu du dédié) J'espère en tout cas que tu trouveras rapidement ton probleme et que tu pourras remettre ton site en place vite fait.
bertimus Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 (modifié) Merci, ben remettre en ligne c'est pas dur : un simple chmod 705 sur le répertoire "www" et ça repart... Par contre, trouver la faille et la corriger pour ne pas que ça se reproduise, ça c'est plus chaud Sinon, si si, OVH fait aussi de l'infogérance sur du mutualisé : 15 minutes 38.50 € HT soit 46.05 € TTC30 minutes 70 € HT soit 83.72 € TTC 45 minutes 100 € HT soit 119.60 € TTC 1 heure 120 € HT soit 145.91 € TTC Et vivi, j'y songeais à l'infogérance de Dan, j'attendais juste que mes revenus atteignent un niveau descent ou que mon mutualisé explose... la 2ème option est en bonne voie Modifié 24 Mai 2007 par bertimus
Wefficient Posté 24 Mai 2007 Posté 24 Mai 2007 Moi j'ai opté pour l'option Dan pour pouvoir dormir sur mes deux oreilles. C'est un investissement mais là ou je passerais des heures ou des jours, je ne me casse plus la tête ;-) Calcule le temps que tu y aura passé, je t'assure que c'est instructif. L'autre avantage, c'est que si j'ai besoin d'autres implémentations sur le serveur, il peut intervenir à des prix corrects et je sais qu'il ne me matraquera pas sur le temps passé.
bertimus Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 J'en ai bien conscience Wefficient, y'a aucun souci là dessus
Dan Posté 24 Mai 2007 Posté 24 Mai 2007 On va finir par croire que Charles (Wefficient) touche un pourcentage sur les contrats d'infogérance... il n'en est rien Je n'ai pas toujours réponse à TOUT dans la minute non plus... faut pas rêver
cognotte Posté 24 Mai 2007 Posté 24 Mai 2007 Je n'ai pas toujours réponse à TOUT dans la minute non plus... faut pas rêver Oui c'est vrai, des fois c'est dans l'heure
Wefficient Posté 24 Mai 2007 Posté 24 Mai 2007 LOL Dan, c'est pas une histoire de pourcentage en effet. C'est que quand t'aime un service et que t'en est satisfait, tu le defends et t'en fait la promo. Ton service est tombé à pic à un moment critique... et j'en suis resté marqué. Quand je parle ici c'est visible parce qu'on est chez le tolier ;-) mais j'en parle egalement sur d'autres sommunautés et à certains de mes contacts/prospects. Depuis toujours, ce sont mes clients qui m'envoient des prospects parce que de la même manière que pour toi, ils sont satisfait du service. Et oui c'est vrai c'est pas toujours à la minute. Ce mois ci cela a été plus long, y'avait des jours feriés ;-)
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant