Aller au contenu
Boulzi

FTP piraté (phishing), comment le nettoyer ?

Noter ce sujet :

Recommended Posts

Bonjour,

j'ai un hébergement mutualisé chez OVH et ils m'ont prévenus à plusieurs reprises que j'avais des pages de phising sur mon mutualisé.

J'ai environ 60 blogs Wordpress, 3 sites fais main (pas moi, je ne comprends pas grand chose au PHP), un Arfoo et 3 Prestashop.

J'ai mis à jour tous les Wordpress, j'ai changer le mdp de mon FTP 3 fois, mais ça ne suffit pas.

La pirate à réussi à installer cela : https://www.youtube.com/watch?v=zwpm5cpWzkM

Je le sais car avant que je supprime pas mal de fichiers (directement via Filezilla) je pouvais accéder en fonction des pages de mon site que je visitais à cette même interface.

Je sais qu'il a toujours accès à mon FTP car tous les jours il ajoute des fichiers qui ressemble aux fichiers utilisé sur Wordpress, par exemple "wp-actlvate.php" etc...

Pour l'instant il n'a rien supprimé mais vu l'interface noire que j'ai vu, il peut très bien le faire. Pire, toute personne qui tombe dessus peut également le faire.

Pouvez-vous dire comment faire pour éradiquer ce problème rapidement SVP ?

Je vous remercie

 

PS: au cas ou j'ai fais un scan de Malwaresbytes sur mon PC. J'ai nettoyer ce que le scan avait trouvé.

Partager ce message


Lien à poster
Partager sur d’autres sites

Désolé, mais s'il a installé wso shell sur ton serveur, je pense  que ton hébergement est irrécupérable.

En tout cas pas sur base de quelques conseils que tu peux recevoir sur un forum....

 

Vu qu'il peut voir la source de tes fichiers php, il a donc accès à tous les mots de passe...

 

A mon sens, a part ré-installer l'ensemble en partant de zéro... pas de miracle !

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Dan, merci pour ton aide.

C'est un mutualisé chez OVH. Je fais quoi je dis à OVH de m'ouvrir un nouvel hébergement et je fais un c/c de mon FTP actuel ? Ca risque de ne pas être possible.

Si je DL tout mon FTP sur mon disque dur, sais-tu comment je pourrais scanner tout pour voir ce qui est infecté ?

Après si je réupload tous les fichiers clean, que je change mon mdp base de donnée & FTP ça devrait le faire non ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

pour le nettoyage, j'utilise beaucoup ce script https://github.com/planet-work/php-malware-scanner

Mais ça ne fait pas tout.

 

Généralement il reste une ou deux backdoor, que j'identifie en comparant tous les fichiers avec le contenu des backups (ou Git).

Partager ce message


Lien à poster
Partager sur d’autres sites

salut kioob,

merci pr ce script je viens de le telecharger.

Donc si j'ai bien compris c'est en python.

Est-ce que je dois l'executer directement sur mon FTP ou bien je dois le faire en local sur mon disque dur ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne connais pas du tout les possibilités des hébergements mutualisés. Si vous avez un accès SSH, vous pouvez essayer de lancer le script directement dessus oui.

Sinon ce sera en local, et ça requiert effectivement Python.

Partager ce message


Lien à poster
Partager sur d’autres sites

A ma connaissance, le seul accès qu'il ait sur un mutualisé OVH est par ftp...

Je sais qu'à une époque lointaine, certains mutualisés avaient un accès SSH , mais ça fait plus de 15 ans que je n'ai pas approché de mutu OVH...

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

@Dan : il me semble qu'ils ont été plus ou moins obligés de s'y mettre, à cause de l'utilisation massive de Git, composer, et autres webpacks. Mais jamais essayé non plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

@Kioob : c'est bien pour cela que je précisais que mon expérience de mutualisé remontait à plus de 15 ans ;)

Tant mieux s'il a un accès SSH... ce sera plus simple pour tourner ton script.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai installé Putty et j'ai reussi à me connecté à mon hébergement OVH.

Voici le msg que j'ai dans la fenêtre Putty (suite à ma connexion) :

Citation

The programs included with the Devien GNU/Linux system are free soft. The exact distribution terms for each program are described in the individual files in /user/share/doc/*/copyright.

Debien GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
MonPseudo@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $

Pouvez-vous me dire ce que je dois rentrer ensuite afin de lancer le scan SVP ?

merci

 

PS: est-ce que je dois dézippé le fichier zippé (cité plus haut dispo sur gitub) et l'uploader sur mon FTP ?

Modifié par Boulzi

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Tu télécharges l'archive, ce qui va te donner un fichier nommé php-malware-scanner-master.zip

Ensuite, tu dézippes cette archive :

unzip php-malware-scanner-master.zip

Ensuite, tu lances :
 

cd php-malware-scanner-master
./phpscanner.py  /ton_repertoire_a_scanner

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Dan,

 

j'ai bien dézippé l'archive sur mon ordi.

Puis je l'ai transférer sur mon FTP avec Filezilla.

 

Ensuite je me suis co en SSH avec Putty à mon FTP.

 

Voici les différentes essais et messages d'erreur :

 

Citation

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ cd php-malware-s       canner-master
-ovh_ssh: cd: php-malware-scanner-master: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ ./phpscanner.py        ../www
-ovh_ssh: ./phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ ./phpscanner.py        /www
-ovh_ssh: ./phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ phpscanner.py /w       ww
-ovh_ssh: phpscanner.py: command not found
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ /phpscanner.py /       www
-ovh_ssh: /phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ ../phpscanner.py        /www
-ovh_ssh: ../phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ /phpscanner.py .       /www
-ovh_ssh: /phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $ ./phpscanner.py        ../www
-ovh_ssh: ./phpscanner.py: No such file or directory
stickersa@ssh2.mp.ha.ovh.net (phpcgi/5.6/production/legacy) ~ $

 

Le chemin exacte ou se trouve le fichier python à executer est le suivant : /home/stickersa/www/php-malware-scanner-master/phpscanner.py

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai tapé ça : cd /home/stickersa/www/php-malware-scanner-master is a directory ./phpscanner.py /home/stickers/www

et la j'ai eu en bleu à la place de "phpcgi/5.6/production/legacy/" ceci "phpcgi/5.6/production/legacy/ /home/stickersa/www/php-malware-scanner-master $"

 

DOnc à priori, la tout ce que je tape ensuite c'est pour commander quelque chose dans le dossier "php-malware-scanner-master".

 

J'ai beaucoup de mal à faire un simple scanne wahou, désolé.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah... un shell restreint ... :(

Essaie en lançant ceci :

./php-malware-scanner-master/phpscanner.py ./

 

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 1 minute, Boulzi a dit :

J'ai tapé ça : cd /home/stickersa/www/php-malware-scanner-master is a directory ./phpscanner.py /home/stickers/www

et la j'ai eu en bleu à la place de "phpcgi/5.6/production/legacy/" ceci "phpcgi/5.6/production/legacy/ /home/stickersa/www/php-malware-scanner-master $"

Mets ce que tu entres comme commande et ce que le système t'affiche sur des lignes distinctes, parce que là c'est incompréhensible !

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici le screen avec en plus la commande que tu viens de m'indiquer qui me retourne no such file :

PS: j'ai pas mal merdé en tentant de faire des copiés/collés.

 

 

486fd23b-630e-4cc4-9c7e-3360c59c2e7b.png

Modifié par Boulzi

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai fermé putty, réouvert, puis reconnexion, puis j'ai tapé ce que tu m'avais dis et voici l'erreur:

 

 

chose1.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Dans cette fenêtre, tape ceci et donne le résultat

ls -l

(c'est LS - L en minuscules)

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Manifestement, ce n'est pas là que tu as désarchivé ce que tu as téléchargé.

Lance :

cd www

puis

ls -l

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Yes ! la je tombe direct sur la racine de mon FTP avec tous les fichiers et dossiers qui sont à la racine, dont php-malware-scanner-master :) !

Partager ce message


Lien à poster
Partager sur d’autres sites

Enfin !

Là tu peux lancer

./php-malware-scanner-master/phpscanner.py  ./

 

Partager ce message


Lien à poster
Partager sur d’autres sites

:) merci pour ton aide.

Mais c'est un fail :

Donc à priori c'est OVH qui bloque le scanne non ?

chose3.png

Modifié par Boulzi

Partager ce message


Lien à poster
Partager sur d’autres sites

Non, peut-être que les permissions d'exécution ne sont pas mises sur phpscanner.py.

Lance ceci

chmod +x ./php-malware-scanner-master/phpscanner.py

puis

./php-malware-scanner-master/phpscanner.py  ./

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×