Bonjour a tous
Voila mon entreprise a plusieurs sites web hébergé sur un serveur dédié chez un hébergeur.
Plusieurs de ces sites sont dev avec joomla, un utilise ZendFrameWork et le dernier fait en interne utilise PHP et jquery.
Le résultat des emails envoyés en masse apparemment depuis les sites en joomla.
Dans le site développé en interne nous avons retrouvé dans plusieurs sous-dossiers 5-6 fichiers : joomla.php, jm_rss.php, etc. Aucun fichier créer par nous ne semble avoir été modifié.
Ce que j'aimerais comprendre c'est comment les fichiers ont pu être créer sur un site ou les droits sont ceux ci aprés:
dr-xrwxr-x 8 www-data www-data 4096 Jan 11 18:18 xx.xx.fr
L'hébergeur nous indique que la source de l'attaque est ce site Web. Hors je ne vois pas comment il est possible de créer des fichiers sur un site sans avoir les droits.
Alors du coup est ce le site web qui c'est fait kacké, le serveur qui héberge ou ?
seul Root ou l'utilisateur FTP du site on les droits sur celui-ci. La présence des ces fichiers me fait penser qu'il faut les droits pour les créer et donc que l'on est plus sur un hack serveur mais je suis un novice en sécu et peut être est il possible de faire autrement via une faille apache, joomla, jquery??
Je me doute qu'avec si peu d’éléments il va être pour vous difficile de me donner l'origine de la faille mais avec votre expérience peut être me donnerez vous des pistes.
D'avance merci de votre aide
Partager