Discussion :

[Alexandrebox]

Bonjour,

Je me suis fait pirater à plusieurs reprises. J'ai un serveur dédié chez Ovh et héberge plusieurs sites dessus. Google avait bloqué quelques sites parce qu'ils diffusaient un script malveillant.
J'ai trouvé ces scripts dans mes fichiers. Quelqu'un les a écrit là.

J'ai effacé le code et tout est rentré dans l'ordre, mais quelques jours après le problème revient.

Dites-moi, est-ce que la personne entre par ftp ou par le root?
Comment protéger mes sites ?

Merci beaucoup

[Invité]

Salut,

Si tu nous parles de script malveillant, cela veut certainement dire qu'une faille est exploitée sur le portail que tu héberges. Reste à savoir laquelle.

Tu devrais déjà consulté les logs des services ftp et apache et voir s'il y a des informations pertinentes à ce sujet.

[ok.Idriss]

Bonjour.

Je plussoie pour l'analyse détaillée des logs. Je changerai aussi les mots de passes de mes différents accès au cas où (FTP/BDD et portail à minima) ...

Si t'es en dédié, regarde aussi l'historique des commandes de chacun des utilisateurs via SSH (et changer les accès si possible).

Au niveau de tes sites, il y a peut être des failles aussi : vérifie bien si tu est protégé contre les failles XSS par exemple ...

Cordialement,
Idriss

[Alexandrebox]

Je suis en serveur dédié chez OVH et je suis presque sûr que c'est une faille niveau root.
Je suis la seule personne censée se connecter sur le serveur via root. C'est Linux

1) Comment puis-je savoir s'il y a eu d'autres connexions?
2) Comment modifier le mot de passe root ?


Merci beaucoup

[ok.Idriss]

Bonjour.

Qu'entends-tu par une connexion via root ? Tu parle d'une connexion SSH sur un shell avec les droits root c'est bien ça ?

Si c'est le cas tu peux faire ce que tu veux avec les commandes shells, à savoir :

- analyser le fichier access.log d'apache, les logs FTP, etc (regarder /var/log)
- regarder l'historique des commandes, les différents utilisateurs existant (dans /etc/passwd)
- changer le mot de passe root avec la commande passwd (mais si tu te connecte avec un système de clef via SSH je ne sais pas si ça t'avancera à grand chose, ça dépend de comment est géré ton serveur dédié je n'en sais rien).
- regarder les utilisateurs connectés avec la commande who
- etc

Cordialement,
Idriss

[Alexandrebox]

Merci Idriss pour ta réponse.

C'est effectivement une connexion SSH sur un shell avec les droits root.

J'ai pu voir que ce n'est pas seulement mon adresse IP donc d'autres personnes se sont connectés mais celà ne m'avance pas beaucoup.

Il y a t-il une commande depuis la console pour modifier le mot de passe?

Merci beaucoup d'avance