Site Web hacké [Résolu]

francoisch · 29/01/2008, 16h30

Bonjour

J’ai un site Web qui a été hacké deux fois en 4 jours ; voici une partie des infos que j’ai reçues :
Problème rencontré : Hidden PERL script
Commande apparente : httpd
Exécutable utilisé : /usr/bin/perl
Horodatage: Tue Jan 29 02:37:52 CET 2008
Identique dans les deux cas, à l’exception des date / heure.

Entre les deux attaques, j’avais :
• Changé le mot de passe FTP
• Effacé tout mon site et rechargé l’ensemble
• Restauré l’accès (700 en 705)

Mon hébergeur a de nouveau fermé l’accès à mon site.

Apparemment, j’ai une faiblesse qqepart mais je peine à l’identifier.

Toute suggestion, méthode, logiciel existant susceptible de m’aider serait vraiment bienvenu.

Pour celui qui aurait un doute sur mes intentions, il pourrait vérifier que je poste autant sur ce forum que sur d’autres sur des sujets sérieux.

Par avance merci de votre aide.

Francois

_Mac_ · 29/01/2008, 17h40

Regarde mon dernier message sur ce post.

francoisch · 29/01/2008, 18h04

Mac

Merci de ta réponse rapide.

Je me suis reconnu, je crois, dans le "Hidden PERL script" et le commentaire "Ce message que tu as reçu de la part d'OVH est un mail automatique qui est envoyé par nos serveurs lorsque l'activité de ton site est très élevé sur nos serveurs de fichiers".

Simplement, sur ce site, j'ai pour le moment très peu d'activité, pas de formulaire, pas de FTP.

La plupart de mes pages ont une extension Php même si je ne m'en sers pas à chaque page.

J'avais des appels de page avec comptage au passage:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
window.open('compteur0.php?page=xxx/xxx.php',' ...

où j'ai supprimé compteur0.php?page= car j'ai pensé que le paramètre d'appel pouvait être une brèche de sécurité puisque je ne le teste pas à l'arrivée.

Par ailleurs, je n'ai retrouvé aucun fichier / dossier supplémentaire / modifié sur mon site.

En gros, je cherche tjs la cause réelle.

Naturellement, je suis gêné de ces fermetures à répétition de mon site.

Merci de ton aide, je continue à observer et à chercher.

Francois

_Mac_ · 29/01/2008, 21h06

Au niveau développeur/webmaster, les points d'entrée principaux sont les scripts et CGI, quels qu'ils soient, écrits par tes soins ou récupérés, protégés ou non par un mot de passe et les logins/mots de passe trop simples pour le FTP, WebDAV ou autre. A voir également les failles de sécurité des outils d'administration proposés par ton hébergeur et les serveurs (Apache par exemple) mais cela ne te concerne pas, c'est l'hébergeur qui est concerné.

Tu as une idée du nom du script Perl en question ?

francoisch · 29/01/2008, 21h29

Merci de ta réponse.

J'ai regardé ma page index.php avec attention puisque c'est un point d'entrée idéal; je n'y ai rien vu de particulier,
j'ai fait les modifs dont je parlais,
j'y ai un peu de JS mais c'est tout,
pas de CGI.

Je n'ai aucun indice concernant le script Perl en question, j'ignore ce qu'il a pu avoir comme action directe ou indirecte, en particulier parce que je n'arrive tjs pas à charger mes logs depuis mon hébergeur mais je les reclame.

Mon mdp FTP est solide, et récent (entre les deux attaques).

Je n'utilise pas d'outil d'admin de mon hébergeur; je fais un peu de MySql.

Si ça peut aider, je peux fournir l'URL de mon site dont la plus grande partie est protégée par Htaccess / Htpasswd.

J'attend de voir la suite des opérations après mes modifs.

Merci de ton aide.

Francois

francoisch · 31/01/2008, 21h10

bonjour Mac

La tempête semble passée, j'ai pu faire les modifs dont nous avons discuté qui doivent avoir bouché la faille, mon site est opérationnel.

La bataille terminée, je veux te remercier chaudement pour l'aide déterminante que tu m'as apportée et la grande compétence de tes conseils.

Merci encore.

Francois

29/01/2008, 16h30	#1
francoisch Nouveau Membre du Club Inscription : novembre 2006 Messages : 189 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 189 Points : 29 Points : 29	Site Web hacké Bonjour J’ai un site Web qui a été hacké deux fois en 4 jours ; voici une partie des infos que j’ai reçues : Problème rencontré : Hidden PERL script Commande apparente : httpd Exécutable utilisé : /usr/bin/perl Horodatage: Tue Jan 29 02:37:52 CET 2008 Identique dans les deux cas, à l’exception des date / heure. Entre les deux attaques, j’avais : • Changé le mot de passe FTP • Effacé tout mon site et rechargé l’ensemble • Restauré l’accès (700 en 705) Mon hébergeur a de nouveau fermé l’accès à mon site. Apparemment, j’ai une faiblesse qqepart mais je peine à l’identifier. Toute suggestion, méthode, logiciel existant susceptible de m’aider serait vraiment bienvenu. Pour celui qui aurait un doute sur mes intentions, il pourrait vérifier que je poste autant sur ce forum que sur d’autres sur des sujets sérieux. Par avance merci de votre aide. Francois
	00

29/01/2008, 17h40	#2
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 306 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 306 Points : 8 590 Points : 8 590	Regarde mon dernier message sur ce post. __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

29/01/2008, 21h06	#4
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 306 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 306 Points : 8 590 Points : 8 590	Au niveau développeur/webmaster, les points d'entrée principaux sont les scripts et CGI, quels qu'ils soient, écrits par tes soins ou récupérés, protégés ou non par un mot de passe et les logins/mots de passe trop simples pour le FTP, WebDAV ou autre. A voir également les failles de sécurité des outils d'administration proposés par ton hébergeur et les serveurs (Apache par exemple) mais cela ne te concerne pas, c'est l'hébergeur qui est concerné. Tu as une idée du nom du script Perl en question ? __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

29/01/2008, 21h29	#5
francoisch Nouveau Membre du Club Inscription : novembre 2006 Messages : 189 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 189 Points : 29 Points : 29	Merci de ta réponse. J'ai regardé ma page index.php avec attention puisque c'est un point d'entrée idéal; je n'y ai rien vu de particulier, j'ai fait les modifs dont je parlais, j'y ai un peu de JS mais c'est tout, pas de CGI. Je n'ai aucun indice concernant le script Perl en question, j'ignore ce qu'il a pu avoir comme action directe ou indirecte, en particulier parce que je n'arrive tjs pas à charger mes logs depuis mon hébergeur mais je les reclame. Mon mdp FTP est solide, et récent (entre les deux attaques). Je n'utilise pas d'outil d'admin de mon hébergeur; je fais un peu de MySql. Si ça peut aider, je peux fournir l'URL de mon site dont la plus grande partie est protégée par Htaccess / Htpasswd. J'attend de voir la suite des opérations après mes modifs. Merci de ton aide. Francois
	00

31/01/2008, 21h10	#6
francoisch Nouveau Membre du Club Inscription : novembre 2006 Messages : 189 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 189 Points : 29 Points : 29	bonjour Mac La tempête semble passée, j'ai pu faire les modifs dont nous avons discuté qui doivent avoir bouché la faille, mon site est opérationnel. La bataille terminée, je veux te remercier chaudement pour l'aide déterminante que tu m'as apportée et la grande compétence de tes conseils. Merci encore. Francois
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email