Discussion :

[francoisch]

Bonjour

J’ai un site Web qui a été hacké deux fois en 4 jours ; voici une partie des infos que j’ai reçues :
Problème rencontré : Hidden PERL script
Commande apparente : httpd
Exécutable utilisé : /usr/bin/perl
Horodatage: Tue Jan 29 02:37:52 CET 2008
Identique dans les deux cas, à l’exception des date / heure.

Entre les deux attaques, j’avais :
• Changé le mot de passe FTP
• Effacé tout mon site et rechargé l’ensemble
• Restauré l’accès (700 en 705)

Mon hébergeur a de nouveau fermé l’accès à mon site.

Apparemment, j’ai une faiblesse qqepart mais je peine à l’identifier.

Toute suggestion, méthode, logiciel existant susceptible de m’aider serait vraiment bienvenu.

Pour celui qui aurait un doute sur mes intentions, il pourrait vérifier que je poste autant sur ce forum que sur d’autres sur des sujets sérieux.

Par avance merci de votre aide.

Francois

[_Mac_]

Regarde mon dernier message sur ce post.

[francoisch]

Mac

Merci de ta réponse rapide.

Je me suis reconnu, je crois, dans le "Hidden PERL script" et le commentaire "Ce message que tu as reçu de la part d'OVH est un mail automatique qui est envoyé par nos serveurs lorsque l'activité de ton site est très élevé sur nos serveurs de fichiers".

Simplement, sur ce site, j'ai pour le moment très peu d'activité, pas de formulaire, pas de FTP.

La plupart de mes pages ont une extension Php même si je ne m'en sers pas à chaque page.

J'avais des appels de page avec comptage au passage:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
window.open('compteur0.php?page=xxx/xxx.php',' ...

où j'ai supprimé compteur0.php?page= car j'ai pensé que le paramètre d'appel pouvait être une brèche de sécurité puisque je ne le teste pas à l'arrivée.

Par ailleurs, je n'ai retrouvé aucun fichier / dossier supplémentaire / modifié sur mon site.

En gros, je cherche tjs la cause réelle.

Naturellement, je suis gêné de ces fermetures à répétition de mon site.

Merci de ton aide, je continue à observer et à chercher.

Francois

[_Mac_]

Au niveau développeur/webmaster, les points d'entrée principaux sont les scripts et CGI, quels qu'ils soient, écrits par tes soins ou récupérés, protégés ou non par un mot de passe et les logins/mots de passe trop simples pour le FTP, WebDAV ou autre. A voir également les failles de sécurité des outils d'administration proposés par ton hébergeur et les serveurs (Apache par exemple) mais cela ne te concerne pas, c'est l'hébergeur qui est concerné.

Tu as une idée du nom du script Perl en question ?

[francoisch]

Merci de ta réponse.

J'ai regardé ma page index.php avec attention puisque c'est un point d'entrée idéal; je n'y ai rien vu de particulier,
j'ai fait les modifs dont je parlais,
j'y ai un peu de JS mais c'est tout,
pas de CGI.

Je n'ai aucun indice concernant le script Perl en question, j'ignore ce qu'il a pu avoir comme action directe ou indirecte, en particulier parce que je n'arrive tjs pas à charger mes logs depuis mon hébergeur mais je les reclame.

Mon mdp FTP est solide, et récent (entre les deux attaques).

Je n'utilise pas d'outil d'admin de mon hébergeur; je fais un peu de MySql.

Si ça peut aider, je peux fournir l'URL de mon site dont la plus grande partie est protégée par Htaccess / Htpasswd.

J'attend de voir la suite des opérations après mes modifs.

Merci de ton aide.

Francois

[francoisch]

bonjour Mac

La tempête semble passée, j'ai pu faire les modifs dont nous avons discuté qui doivent avoir bouché la faille, mon site est opérationnel.

La bataille terminée, je veux te remercier chaudement pour l'aide déterminante que tu m'as apportée et la grande compétence de tes conseils.

Merci encore.

Francois