Trouver le site et la faille d'une attaque sur notre installation en mutualisé

[randriano]

Bonjour,

On a été victime d'une tentative de hack mais Okillerd a détecté aussitôt l'attaque et a désactivé l'accès web.

Citation:

Problème rencontré : Script flooding mailout
Commande apparente : php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=1 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 contact.php
Exécutable utilisé : N-A

En cherchant sur le forum de ovh, aucune solution n'est proposée juste des trucs comme votre site a failli être utilisé pour spammer.

Ce message de OVH n'indique pas dans quel répertoire se situe le contact.php en question (il y a plusieurs sites/domaines sur ce mutualisé)? De plus, comment peut-on exécuter de telle commande avec un mutualisé ou avec PHP puisque pas d'exécutable utilisé?

Que fait exactement cette commande?

Merci d'avance

[RaphAstronome]

Il faut vérifier tous tes "contact.php"

Un programme PHP n'est pas un programme binaire compilé mais c'est un script qui à des droits largement suffisants pour mettre le bazar sur ton mutu et notamment dans ton cas utiliser la fonction mail pour spammer.

C'est typiquement un problème d'injection d'entête.
Un peu de doc : http://www.phpsecure.info/v2/article...dersInject.php

[randriano]

Merci pour l'info sur l'injection de headers

Mais pourquoi ovh indique cette commande: php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=1 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 contact.php avec je crois des tentatives de rendre à ON certains paramètres php??

[RaphAstronome]

Citation:

-d register_globals=1 -d magic_quotes_gpc=1 -d session.use_trans_sid=1

A mon avis c'est que ton site est configuré comme ça par défaut.
Ca peut ce régler avec un .htaccess mais ce n'est pas le soucis principal même si ça peut contribuer à aggraver la situation.

Tu devrait toutefois désactiver "register_globals" et étudier la possibilité de désactiver les autres. Éventuellement tu peut faire des .htaccess particulier pour un fichier qui nécessiterait une option particulière.

Attention à la désactivation de "magic_quotes_gpc" car si un site est programmé en supposant que ce dernier est à on (pas bien) il y aura des failles de sécurité par injection SQL qui vont apparaitre un peu partout !

[randriano]

Oui, tu as raison c'est la configuration par défaut de mon site!
Bon, je vais donc voir un à un mes contact.php car là se réside l'erreur

Tu penses que parmi les appels de contact.php sur notre hébergement de ce jour (selon le log du serveur) se situe notre hacker? Il y a plusieurs contact.php de plusieurs sites sur cet hébergement.