Comment un pirate peut-il installer des fichiers sur mon serveur

troumad · 12/10/2011, 22h32

Bonjour

J'ai un site web qui a été piraté... Je me suis trouvé avec des fichiers pour récupérer des données paypal. Je pense que ce n'est pas la première fois que ça arrive !
Pour le moment, par manque de temps, j'ai juste déconnecté le site car il est peu utilisé.
J'ai vérifié sur les autres et je n'ai pas vu les marqueurs.
Les marqueurs semblent surtout être un fichier av.php et quelques autres fichiers récents.

POur mettre tout ça, il y vont par piratage du mot de passe ftp ? Ils font comment ?

tho.feron · 14/10/2011, 01h32

Bonjour,

Il y a en fait une quantité assez énorme de façons de faire ça. Sans une analyse forensique plus poussée, impossible d'en dire plus.

Cordialement,
Thomas Feron.

troumad · 14/10/2011, 07h25

Bonjour

Comme c'est un serveur mutualisé d'OVH, je ne pense pas pouvoir faire cette analyse !

tho.feron · 14/10/2011, 11h57

Bonjour,

Vous avez quand même accès aux logs sur les mutus OVH je pense. Sinon, il va falloir analyser le code du site au peigne fin pour corriger les failles de sécurité.

Cordialement,
Thomas Feron.

troumad · 14/10/2011, 20h55

La principale faille viendrait peut-être de http://genealogie.siaud.org , Pour me rassurer, le premiers fichier infecté est plus ancien que ma dernière mise à jour !
C'est ce site qui était le plus atteint. Mais, par contre, j'en vu juste un autre fichier sur un autre site (une autre arborescence du même ftp).
Ces fichiers php renvoient sur http://ccteam.ru/update/c999shell/ sûrement un autre site qui a été piraté ! Il est en Russie...

Si ça peut être utile, je garde le code infecté (mais inaccessible).

dourouc05 · 14/10/2011, 21h27

Citation:

Envoyé par troumad

La principale faille viendrait peut-être de http://genealogie.siaud.org

Très probablement, même : la dernière version du script sortie date de 2009. Dit autrement, toute faille découverte depuis lors n'a pas été corrigée, donc reste potentiellement exploitable. Bon, ça me semble assez marginal, comme script, mais c'est probablement un grand risque.

Maintenant, il faudrait voir le reste des scripts utilisés sur ton hébergement pour voir les trous à colmater (phpMyAdmin 1.x, phpBB 1.x et autres, par exemple).

Sinon, leur manière de procéder ? Tout est possible : dès qu'il y a quelque chose qui peut être détourné, c'est une faille de sécurité possible (envoi ou téléchargement de fichiers généralement, mais aussi requête SQL préparée en JS côté client ou autres horreurs).

troumad · 14/10/2011, 22h43

Les seuls scripts que j'ai qui modifient quoi ce ce soit sont dans genealogie. J'en ai eu ailleurs, mais ils n'intervenaient que sur des nombres et noms dans une base de données.
Je suspecte une attaque massive car ils ont pris pied dans deux sites. Celui de la généalogie et celui avec les nombres et les noms dans la base de données !

12/10/2011, 22h32	#1
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 950 Points : 4 950	Comment un pirate peut-il installer des fichiers sur mon serveur Bonjour J'ai un site web qui a été piraté... Je me suis trouvé avec des fichiers pour récupérer des données paypal. Je pense que ce n'est pas la première fois que ça arrive ! Pour le moment, par manque de temps, j'ai juste déconnecté le site car il est peu utilisé. J'ai vérifié sur les autres et je n'ai pas vu les marqueurs. Les marqueurs semblent surtout être un fichier av.php et quelques autres fichiers récents. POur mettre tout ça, il y vont par piratage du mot de passe ftp ? Ils font comment ? __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

14/10/2011, 01h32	#2
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Il y a en fait une quantité assez énorme de façons de faire ça. Sans une analyse forensique plus poussée, impossible d'en dire plus. Cordialement, Thomas Feron. __________________ LF Création, votre site web tout-en-un.
	00

14/10/2011, 07h25	#3
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 950 Points : 4 950	Bonjour Comme c'est un serveur mutualisé d'OVH, je ne pense pas pouvoir faire cette analyse ! __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

14/10/2011, 11h57	#4
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Vous avez quand même accès aux logs sur les mutus OVH je pense. Sinon, il va falloir analyser le code du site au peigne fin pour corriger les failles de sécurité. Cordialement, Thomas Feron. __________________ LF Création, votre site web tout-en-un.
	00

14/10/2011, 20h55	#5
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 950 Points : 4 950	La principale faille viendrait peut-être de http://genealogie.siaud.org , Pour me rassurer, le premiers fichier infecté est plus ancien que ma dernière mise à jour ! C'est ce site qui était le plus atteint. Mais, par contre, j'en vu juste un autre fichier sur un autre site (une autre arborescence du même ftp). Ces fichiers php renvoient sur http://ccteam.ru/update/c999shell/ sûrement un autre site qui a été piraté ! Il est en Russie... Si ça peut être utile, je garde le code infecté (mais inaccessible). __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

14/10/2011, 22h43	#7
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 950 Points : 4 950	Les seuls scripts que j'ai qui modifient quoi ce ce soit sont dans genealogie. J'en ai eu ailleurs, mais ils n'intervenaient que sur des nombres et noms dans une base de données. Je suspecte une attaque massive car ils ont pris pied dans deux sites. Celui de la généalogie et celui avec les nombres et les noms dans la base de données ! __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email