Aller au contenu

Fichiers effacés intempestivement


Sujets conseillés

Bonjour,

je viens de remarquer un problème sur mon serveur dédié : de nombreux fichiers ont été effacés. Je remarque qu'il s'agit de tous les contenus des répertoires en chmod 0777 ou les fichiers en chmod 0666.

J'aimerais savoir comment est-ce possible ? J'imagine que j'ai été piraté mais comment ? Je suis sur un serveur OVH et je faisais toutes les mises à jour :/ j'avais désactivé les accès FTP pour être sûr qu'aucun pass ne transite en clair ... j'ai les glandes profond :/

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Les failles de sécurité peuvent être multiples, ce serait impossible de toutes le envisager, mais si tu faisait les mise à jour, avait un pare-feu configuré, pas d'accès FTP, etc. Peut-être qu'il s'agit d'une faille dans un script PHP par exemple, as-tu des scripts qui accèdent au système de fichiers... ou font appel à des fonctions potentiellement risquées ?

Je m'oriente vers cette éventualité car c'est une source de failles importante...

Peut-être as-tu des fichiers de logs à analyser (FTP, SSH, ...), je ne connais pas l'infrastructure de OVH et comment ils la gèrent mais peut-être qu'il gardent de tels informations pour chaque serveur, essaie peut-être de les contacter à ce sujet (tout ce que tu risque c'est qu'ils te répondent que ce n'est pas de leur ressort).

Lien vers le commentaire
Partager sur d’autres sites

Une faille PHP ? Hm peut-être sachant que les fichiers incriminés appartiennent au groupe "users" mais ils ont tous été supprimés dans des répertoires différents (forums, webmail etc.). J'ai changé tous mes mots de passe (root compris) au cas où.

J'analyserai les logs demain, sachant que c'est arrivé vers 19h30, vu que comme de par hasard, je ne suis pas disponible demain matin -_-

Lien vers le commentaire
Partager sur d’autres sites

Utilises-tu des scripts complets pour ces application de Forum, Webmail, etc. (PhpBB, IPB, Horde, ...) ? Est-ce que tu fais également les mises à jour de ces scripts ?

Fais un tour sur tous les sites de ces scripts afin de voir si ce n'est pas une nouvelle faille que tu n'aurais pas encore colmatée avec une mise à jour :S

Lien vers le commentaire
Partager sur d’autres sites

J'utilise Horde (en HTTPS), un site maison en rewriting avec sources fermées et rewriting intégral sans paramètre d'URL (bétonné au maximum mais pas infaillible surement), IPB (dernière version 2.1.7) et Webmin.

A ce niveau je suis régulièrement les mises à jour et je les applique très souvent le jour même. Maintenant j'ai quelques sites hébergés dont un qui avait une vieille version d'IPB (1.3.1). Bizarrement j'ai navigué dessus et il ne semble pas avoir été affecté.

Apache tourne avec suPHP donc je ne sais pas trop si c'est faisable un tel débordement :/

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...