Aller au contenu

Site hacké


francoisch

Sujets conseillés

Bonjour

Jai un site Web qui a été hacké deux fois en 4 jours ; voici une partie des infos que jai reçues :

Problème rencontré : Hidden PERL script

Commande apparente : httpd

Exécutable utilisé : /usr/bin/perl

Horodatage: Tue Jan 29 02:37:52 CET 2008

Identique dans les deux cas, à lexception des date / heure.

Entre les deux attaques, javais :

Changé le mot de passe FTP

Effacé tout mon site et rechargé lensemble

Restauré laccès (700 en 705)

Mon hébergeur a de nouveau fermé laccès à mon site.

Apparemment, jai une faiblesse qqepart mais je peine à lidentifier.

Toute suggestion, méthode, logiciel existant susceptible de maider serait vraiment bienvenu.

Pour celui qui aurait un doute sur mes intentions, il pourrait vérifier que je poste autant sur ce forum que sur dautres sur des sujets sérieux.

Par avance merci de votre aide.

Francois

Lien vers le commentaire
Partager sur d’autres sites

Tu dois avoir manifestement un formulaire dont les entrées ne sont pas filtrées correctement et qui permet à un visiteur mal-intentionné d'exécuter des commandes.

Qu'est-ce qu'il te reste comme accès sur ton serveur ? Qui est ton hébergeur ?

Parce que si cet hébergeur te coupe tout, comment peux-tu espérer régler cela ?

S'il te reste un accès shell, recherche sur ton disque un fichier nommé httpd ... vraisemblablement caché dans un répertoire tel que /tmp ou /var/tmp ou bien dans celui d'un des sites.

Toujours si tu as accès au shell Linux, tu peux télécharger rkhunter pour rechercher un logiciel de type backdoor.

Et aussi lancer "netstat -tanpu" et nous donner la sortie de ce programme.

Lien vers le commentaire
Partager sur d’autres sites

bonjour

Après qqes difficultés, je viens d'arriver à charger les logs des deux jours concernés; pour le moment, je n'ai pas pu les ouvrir malgré plusieurs tentatives (fichiers en format GZ). J'en saurais plus à leur ouverture.

Ma compréhension générale est qu'il s'agit, les deux fois, d'un incident bénin auquel réagit un automatisme de mon hébergeur (OVH dont je suis satisfait par ailleurs) et qui passe mon site en Chmod = 700.

J'ai tjs l'accès FTP; je n'ai trouvé ni fichier, ni dossier nouveau / modifié.

J'avais des appels de page avec passage d'un paramètre dans l'URL où je ne testais pas à l'arrivée les valeurs prises par le paramètre; j'ai fait une modif où je teste maintenant.

Voila la situation actuelle; naturellement, j'ai rouvert mon site après ces modifs.

A plus tard, je te tiendrai au courant, merci de ton aide.

Francois

Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Je pense que tu aurais dû donné l'url de ton site, cela aurait permis à certains (notamment moi) d'evaluer la sécurité de ton site, notamment si tu utilise le PHP, pour voir si il y a certaines failles liées aux includes ou autres.

Lien vers le commentaire
Partager sur d’autres sites

oui c'est assez difficile de diagnostiquer comme ça sans trop d'éléments :s

Lien vers le commentaire
Partager sur d’autres sites

Salut francoisch,

tout d'abord si tu as eu des soucis avec perl c'est que l'intrus a du utiliser une backdoor en perl afin de pouvoir se connecter a ton serveur.

Après quand tu as un accès shell a un serveur tu peu par exemple si le noyau n'est pas a jour uploader un exploit qui te permettra devenir root.

En ce qui concerne ton cas je pense que ta variable Get "Répertoire" n'est pas correctement filtrée.

Tu dis que tu as modifier déjà le filtrage et donc tu as pu avoir auparavant une faille de type include ce qui aurait pu permettre a un intrus de pourvoir par exemple uploader une backdoor ou lire simplement ton fichier config.php etc...

Par contre ta variable répertoire n'est pas correctement filtrer pour les XSS.

Si tu le désire je peu te montrer comment on voie si c'est faillible ou pas via MP biensur :D

Pour les failles XSS je te conseille d'utiliser la fonction htmlentities() pour filtrer tes variables...

J'espère t'avoir aider,si tu ne comprend pas quelque chose n'hésite pas.

Cordialement MeScHaC

Lien vers le commentaire
Partager sur d’autres sites

bonjour Meschac

Pour tout dire, j'avais raté ta réponse.

Oui, je suis intéressé à savoir comment je pourrais augmenter la résistance de mon site au hacking.

Les sujets que tu évoques sont nouveaux pour moi.

Merci de ton aide.

Francois

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...