Discussion :

[a_me]

Bonjour,

j'ai eu un problème sur notre serveur web : il a été hacké.
j'ai beau à changer les accès ftp, rien n'y fasse, à chaque fois il y a sur nos sites hébergés dessus des messages "hacked by...etc"

j'ai récement installé ossec un logiciel de détection d'intrusion, mais il a été de nouveau hacké et je n'ai reçu aucune notification par email par ossec.

pouvez-vous me dire comment arrêter cela, et quels sont les meilleurs moyens de sécuriser ?

est ce qu'il y a possibilité que ce soit une faille sur joomla, vu qu'on l'utilise pour nos sites? à noter que la version la plus ancienne de joomla qu'il y a sur notre serveur est la 1.0.8, mais aussi qu'il y a des sites en mambo 4.5.2 et qui ont été aussi hacké.

j'ai oublié de prcéiser que notre serveur web est un Linux Fedora Core 6, et en effectuant un can avec rkhunter, on trouve des fichiers systèmes endommagés.

[_solo]

est ce qu'il y a possibilité que ce soit une faille sur joomla, vu qu'on l'utilise pour nos sites? à noter que la version la plus ancienne de joomla qu'il y a sur notre serveur est la 1.0.8, mais aussi qu'il y a des sites en mambo 4.5.2 et qui ont été aussi hacké.

http://osvdb.org/searchdb.php?source...n_title=joomla
http://osvdb.org/searchdb.php?source...ln_title=mambo
comme tu peut le voir les failles sur ces deux CMS sont absolument nombreuses il vaut mieux custumiser ton code autant que possible , car aujourd'hui les pirates ne se fatigue pas a chercher , ils utilisent des bots qui font tout ca a leur place...et croit moi le nombre de bot qui attaque joomla et mambo sont tres tres nombreux ( d'ailleurs joomla est un derivee de mambo ceci-explique cela ).

Pour ton scan de Rootkit Hunter il est possible qu'en utilisant une faille de tes CMS que des binaires malisieux ai ete deposer et executer sur ton serveur , ou alors c'est un faux positif , le mieux etant de poster le message d'erreur.

Comment est disposer l' architecture de ton/tes serveur(s).

[herzleid]

Salut,

Tu peux également réinstaller les rpm qui contiennent les fichiers "marqués".

Tu te retrouvera peut-être avec une configuration saine. Mais bon à mon avis, tu as de fortes chances d'etre obligé de réinstaller la machine : tu ne sais pas à quel point ton système est corrompus. Donc cette ultime solution reste à prévoir.

Tu peux aussi tenter une chose : déporter tes logs sur un autre server. Ainsi, s'il y a intrusion tu aura les logs de connexion.

[a_me]

@__solo:
merci pour ta réponse, eh bien on est pas sorti de l'auberge, la bosse veut qu'on travaille avec joomla comme cms, on a essayé d'autres (modx, etc.) mais joomla reste pour nous le plsu facilement modifiable et adaptable aux besoins.
quel message d'erreur dois-je poster ?

@herzleid:
merci à toi également, on ne peux pas avoir à réinstaller le système de nouveau c la deuxième fois que cela arrive, et ca vas prendre du temps à tout remttre en place.

outre les les hack il y a aussi eu des tentative de phishing à partir de notre serveur.
est ce que mettre php on safe_mode pourra résoudre l'affaire ou diminuer les risques?

[Elboras]

si ils n'ont pas ete efface, essaye de voir tes logs serveur, genre les logs apache pour voir ce qui a été fait.
Cette simple action peut permettre de voir comment la faille a été exploite, prend une version de joomla recente, et de plus si tu a la derniere version, que la faille provient bien de joomla et que tu detecte l'exploitation dans certains logs :

- envoi un truc a joomla pour les prevenir
- fait un petit patch si tu peux pour eviter de te refaire avoir sur ce plan

- reinstall ton systeme qui est corrompu et repart sur de bonne base.

Ceci sont des idees pele mele. mais l'objectif etant d'identifier les failles, patcher tout ca repartir sur des bases saines.
Repartir ensuite sur des bases saines et faire des efforts sur le monitoring pour detecter des tentatives d'intrusions.

Enfin tu vois brievement les idees, tu va perdre du temps si tu te fais hacker tous les 2 jours, donc prend le facteur securite en compte, documente toi sur la securite en general.
Sinon, pour ce qui est de la securite des applications web je peux te conseiller "hacking web applications exposed".

[a_me]

merci pour ta contribution elboras, ou puis-je trouver ce "hacking web applications exposed" ? c'est un magazine? un site?