Tentative de hack à 15:37:04

[bertimus]

Bonjour à tous,

Je viens de subir un hack, ou au moins une tentative, sur mon hébergement mutualisé 240plan OVH, OVH a donc logiquement bloqué l'accès à mon 240plan.

Non compétent dans le domaine de la programmation, j'aurais juste besoin d'une petite aide pour identifier la source...

Le constat :

Mon NDD principal

Problème rencontré : Hidden PHP script

Commande apparente : [suexec]

Exécutable utilisé : /usr/local/bin/php.ORIG.4.4.4

Horodatage: Thu May 24 15:37:04 CEST 2007

J'extrais donc les logs à cette heure précise et les voici :

193.251.169.175 www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/ajax-comments.php?js HTTP/1.1" 200 1252 "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET l'url d'un article de mon blog .html HTTP/1.1" 200 7379 "http:// www. l'url d'une page d'un de mes sites" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

fake.ha.ovh.net www. mon NDD principal .com - [23/May/2007:15:37:04 +0200] "POST /4-crawltrack/crawltrack.php HTTP/1.1" 200 5 "-" "-"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/prototype.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/scriptaculous.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/builder.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/effects.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/dragdrop.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/controls.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

88-139-207-231.adslgp.cegetel.net www. monNDD .com - [23/May/2007:15:37:04 +0200] "GET /wp-content/plugins/ajax-comments/scriptaculous/slider.js HTTP/1.1" 304 - "http:// www. l'url d'un article de mon blog .html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

d90-144-126-124.cust.tele2.fr www. mon second NDD .com - [23/May/2007:15:37:04 +0200] "POST http://www. mon NDD principal .com / dossier / listen.php?n=essai2://http://www. mon NDD principal .com ...en.php?n=essai2://http://www. mon NDD principal .com ...en.php?n=essai2 HTTP/1.0" 200 7 "-" "-"

Ma question : lequel de ces logs vous paraît louche ?

Merci pour votre future aide,

Bertrand

Modifié 24 Mai 2007 par bertimus

[Dan]

Le script a peut-être été exécuté à 15:37:04, mais il a vraisemblablement été uploadé bien avant.

Recherche wget ou lynx dans tes logs....

[bertimus]

Merci Dan pour ta réponse ultra rapide, un seul Wget pour aujourd'hui, pas de lynx

proxy-6m.club-internet.fr www. mon NDD principal .com - [23/May/2007:06:08:45 +0200] "GET /robots.txt HTTP/1.1" 200 53 "-" "Wget/1.10.2"

Dois-je revenir sur chacun des logs de mai ? Ou encore plus peut-être ?

Modifié 24 Mai 2007 par bertimus

[Dan]

Oui, il faut remonter dans les logs précédents.

Le problème des mutualisés est que tu ne peux pas lister le répertoire /tmp ou /var/tmp dans lequel les fichiers ont vraisemblablement été téléchargés.

Recherche sur ton site les fichiers qui ont été modifiés récemment.

Tu as accès au shell linux sur le 240 plan ?

[bertimus]

OK, je m'engage dans cette recherche de wget et de lynx sur tout le mois de mai.

J'ai regardé chacun des dossiers et fichiers de mon FTP, aucun n'a été modifié récemment.

Sinon, non, pas d'accès au shell linux sur le 240plan, m'enfin je crois pas

Y'aura de toute façon toujours une ultime solution : l'intervention de l'infogérance OVH, mais ça devrait coûter bonbon

Modifié 24 Mai 2007 par bertimus

[Wefficient]

Bonbon c'est une chose...

Mais c'est surtout moins réactif que l'infogérance de Dan :-/

Et en plus, je ne sais pas s'ils font ce genre de prestations sur du mutualisé (vu que j'ai toujours eu du dédié)

J'espère en tout cas que tu trouveras rapidement ton probleme et que tu pourras remettre ton site en place vite fait.

[bertimus]

Merci, ben remettre en ligne c'est pas dur : un simple chmod 705 sur le répertoire "www" et ça repart...

Par contre, trouver la faille et la corriger pour ne pas que ça se reproduise, ça c'est plus chaud

Sinon, si si, OVH fait aussi de l'infogérance sur du mutualisé :

15 minutes 38.50 € HT soit 46.05 € TTC

30 minutes 70 € HT soit 83.72 € TTC

45 minutes 100 € HT soit 119.60 € TTC

1 heure 120 € HT soit 145.91 € TTC

Et vivi, j'y songeais à l'infogérance de Dan, j'attendais juste que mes revenus atteignent un niveau descent ou que mon mutualisé explose... la 2ème option est en bonne voie

Modifié 24 Mai 2007 par bertimus

[Wefficient]

Moi j'ai opté pour l'option Dan pour pouvoir dormir sur mes deux oreilles.

C'est un investissement mais là ou je passerais des heures ou des jours, je ne me casse plus la tête ;-)

Calcule le temps que tu y aura passé, je t'assure que c'est instructif.

L'autre avantage, c'est que si j'ai besoin d'autres implémentations sur le serveur, il peut intervenir à des prix corrects et je sais qu'il ne me matraquera pas sur le temps passé.

[bertimus]

J'en ai bien conscience Wefficient, y'a aucun souci là dessus

[Dan]

On va finir par croire que Charles (Wefficient) touche un pourcentage sur les contrats d'infogérance... il n'en est rien

Je n'ai pas toujours réponse à TOUT dans la minute non plus... faut pas rêver

[cognotte]

Je n'ai pas toujours réponse à TOUT dans la minute non plus... faut pas rêver

Oui c'est vrai, des fois c'est dans l'heure

[Wefficient]

LOL Dan, c'est pas une histoire de pourcentage en effet.

C'est que quand t'aime un service et que t'en est satisfait, tu le defends et t'en fait la promo.

Ton service est tombé à pic à un moment critique... et j'en suis resté marqué.

Quand je parle ici c'est visible parce qu'on est chez le tolier ;-) mais j'en parle egalement sur d'autres sommunautés et à certains de mes contacts/prospects.

Depuis toujours, ce sont mes clients qui m'envoient des prospects parce que de la même manière que pour toi, ils sont satisfait du service.

Et oui c'est vrai c'est pas toujours à la minute. Ce mois ci cela a été plus long, y'avait des jours feriés ;-)