Discussion :

[planete]

Bonjour,

OVH a fermé mon site cette nuit car il a subit une tentative de piratage, voici le resultat de l'attaque :

Problème rencontré : Hidden PERL script
Commande apparente : [httpd]
Exécutable utilisé : /usr/bin/perl
Horodatage: Sun Dec 7 22:29:27 CET 2008

En épluchant mon ftp, j'ai découvert un fichier inconnu nommé il me semble "gss", bref, j'ai supprimé ce fichier et redébloqué le site, suivant les erreur rencontrées, savoez vous a quoi ca correspond?

J'ai changé mon mot de passe ftp, est-ce utile?

Merci

[_Mac_]

Utile, pourquoi pas mais ce n'est pas suffisant : le FTP n'est pas la seule possibilité de piratage. Entre autres sources de piratage possible : les formulaires, surtout ceux qui permettent d'uploader un fichier. Donc vérifie tous tes scripts pour vérifier qu'on ne peut pas les exploiter (pour placer des fichiers un peu partout par exemple).

[planete]

Bonjour,

Merci pour ta réponses, j'ai effectivement plusieurs formulaire et un script d'Upload!
Je vais controler dans les dossiers là!
Mais ce peut-il qu'un upload atterrisse sur la racine alors que les fichiers uploadés sont logiquement dans leur repertoires "d'upload"?

[_Mac_]

Oui et non. Tout dépend de ton code, en fait : si tu fais les vérifications qui s'imposent dans ton code, il n'y a pas de problème, mais si par exemple tu autorises les fichiers avec l'extension .php dans ton répertoire d'upload, c'est porte ouverte à tout.

[planete]

Bonsoir,
En fait seuls les uploads ".gif" ".jpg" ".GIF" ".JPG" sont autorisés.

[JeitEmgie]

Bonsoir,
En fait seuls les uploads ".gif" ".jpg" ".GIF" ".JPG" sont autorisés.

les attaques peuvent exploiter le fait que des dossiers de votre serveur soient accessibles en écriture (alors qu'ils ne le devraient pas), ce qui leur permet de charger du code via différentes techniques (attaques sur les URLs) et de l'exécuter ce qui leur permet de charger encore plus de choses… (via curl, wget, …)

vérifiez aussi les droits d'accès de vos dossiers…
vérifiez que les outils genre curl ne soient pas accessibles dans leur dossier habituel (/usr/bin) ni via $PATH…