francoisch Posté 29 Janvier 2008 Posté 29 Janvier 2008 Bonjour Jai un site Web qui a été hacké deux fois en 4 jours ; voici une partie des infos que jai reçues : Problème rencontré : Hidden PERL script Commande apparente : httpd Exécutable utilisé : /usr/bin/perl Horodatage: Tue Jan 29 02:37:52 CET 2008 Identique dans les deux cas, à lexception des date / heure. Entre les deux attaques, javais : Changé le mot de passe FTP Effacé tout mon site et rechargé lensemble Restauré laccès (700 en 705) Mon hébergeur a de nouveau fermé laccès à mon site. Apparemment, jai une faiblesse qqepart mais je peine à lidentifier. Toute suggestion, méthode, logiciel existant susceptible de maider serait vraiment bienvenu. Pour celui qui aurait un doute sur mes intentions, il pourrait vérifier que je poste autant sur ce forum que sur dautres sur des sujets sérieux. Par avance merci de votre aide. Francois
Dan Posté 29 Janvier 2008 Posté 29 Janvier 2008 Tu dois avoir manifestement un formulaire dont les entrées ne sont pas filtrées correctement et qui permet à un visiteur mal-intentionné d'exécuter des commandes. Qu'est-ce qu'il te reste comme accès sur ton serveur ? Qui est ton hébergeur ? Parce que si cet hébergeur te coupe tout, comment peux-tu espérer régler cela ? S'il te reste un accès shell, recherche sur ton disque un fichier nommé httpd ... vraisemblablement caché dans un répertoire tel que /tmp ou /var/tmp ou bien dans celui d'un des sites. Toujours si tu as accès au shell Linux, tu peux télécharger rkhunter pour rechercher un logiciel de type backdoor. Et aussi lancer "netstat -tanpu" et nous donner la sortie de ce programme.
francoisch Posté 30 Janvier 2008 Auteur Posté 30 Janvier 2008 bonjour Après qqes difficultés, je viens d'arriver à charger les logs des deux jours concernés; pour le moment, je n'ai pas pu les ouvrir malgré plusieurs tentatives (fichiers en format GZ). J'en saurais plus à leur ouverture. Ma compréhension générale est qu'il s'agit, les deux fois, d'un incident bénin auquel réagit un automatisme de mon hébergeur (OVH dont je suis satisfait par ailleurs) et qui passe mon site en Chmod = 700. J'ai tjs l'accès FTP; je n'ai trouvé ni fichier, ni dossier nouveau / modifié. J'avais des appels de page avec passage d'un paramètre dans l'URL où je ne testais pas à l'arrivée les valeurs prises par le paramètre; j'ai fait une modif où je teste maintenant. Voila la situation actuelle; naturellement, j'ai rouvert mon site après ces modifs. A plus tard, je te tiendrai au courant, merci de ton aide. Francois
kac Posté 2 Mars 2008 Posté 2 Mars 2008 Je pense que tu aurais dû donné l'url de ton site, cela aurait permis à certains (notamment moi) d'evaluer la sécurité de ton site, notamment si tu utilise le PHP, pour voir si il y a certaines failles liées aux includes ou autres.
Daxey Posté 2 Mars 2008 Posté 2 Mars 2008 oui c'est assez difficile de diagnostiquer comme ça sans trop d'éléments :s
Meschac Posté 4 Mars 2008 Posté 4 Mars 2008 Le voila: www.madpivot.fr/ Francois Je me permet de faire une petite analyse et te dire ça d'ici peu de temps
Meschac Posté 4 Mars 2008 Posté 4 Mars 2008 Salut francoisch, tout d'abord si tu as eu des soucis avec perl c'est que l'intrus a du utiliser une backdoor en perl afin de pouvoir se connecter a ton serveur. Après quand tu as un accès shell a un serveur tu peu par exemple si le noyau n'est pas a jour uploader un exploit qui te permettra devenir root. En ce qui concerne ton cas je pense que ta variable Get "Répertoire" n'est pas correctement filtrée. Tu dis que tu as modifier déjà le filtrage et donc tu as pu avoir auparavant une faille de type include ce qui aurait pu permettre a un intrus de pourvoir par exemple uploader une backdoor ou lire simplement ton fichier config.php etc... Par contre ta variable répertoire n'est pas correctement filtrer pour les XSS. Si tu le désire je peu te montrer comment on voie si c'est faillible ou pas via MP biensur Pour les failles XSS je te conseille d'utiliser la fonction htmlentities() pour filtrer tes variables... J'espère t'avoir aider,si tu ne comprend pas quelque chose n'hésite pas. Cordialement MeScHaC
kac Posté 4 Mars 2008 Posté 4 Mars 2008 J'ai un gros problème d'affichage chez moi ! Aussi, je suis redirigé sur cette page : http://www.a0p.fr/
francoisch Posté 10 Mars 2008 Auteur Posté 10 Mars 2008 bonjour Meschac Pour tout dire, j'avais raté ta réponse. Oui, je suis intéressé à savoir comment je pourrais augmenter la résistance de mon site au hacking. Les sujets que tu évoques sont nouveaux pour moi. Merci de ton aide. Francois
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant