Discussion :

[renaud26]

Bonjour à tous,

Je suis novice en la matière.

Je possède un serveur dédié Linux géré avec Plesk 8.3.
Hier le serveur a subi une attaque : j'ai trouvé des fichiers index qui comportaient, en bas de page, des javascripts énormes et incompréhensibles pour moi, et j'ai remarqué la création de fichiers HTML inconnus bourrés de liens vers des sites de fesse russes.

Comment s'appelle ce genre d'infection ?
D'où proviennent-elles ? de formulaires mal sécurisés sur les sites eux-mêmes ? d'accès FTP piratés ? du SSH ?
Que faut il renforcer ou vérifier pour les éviter ? Le parefeu ? un antivirus ? Configurer le serveur autrement que par défaut (les droits / groups / users ) ?

Bref je suis un peu largué...
Si quelqu'un peut me conseiller : un article, un tuto...
Merci à lui.

[alband85]

J'ai envie de dire... ça dépend.

La machine héberge un ou plusieurs sites web ? Proposent-ils des formulaires ? Autorisent-ils l'adjonction de pièce-jointe ?

As-tu désactivé l'accès SSH en root ?
Les mots de passe sont-ils sécurisés ?
Vois-tu des choses bizarres dans /var/log/auth.log ?

Y a-t-il d'autres services qui tournent ? (serveur FTP...)

Ta machine est-elle a jour ?

[renaud26]

Merci de ta réponse :

- La machine héberge plusieurs site web.
- Oui, il y a des formulaires avec upload, mais ils sont sécurisés. Et ils ne sont présents que dans les back-office des sites et pas côté "public".

- L'accès SSH : j'y accède par une console "Putty"....mais j'ai aussi ouvert un accès via le FTP avec l'IP serveur en host, un port 22, et les accès (user / pass) admin serveur idem Plesk.

- Mot de passe sécurisé : j'utilise une fonction PHP qui me sort des trucs genre Ghy85Ml96P mais c'est PLesk qui le gère lorsque je crée un nouveau domaine. Je ne sais pas si c'est sécurisé.

- Je n'ai pas de fichier "auth.log" à cet endroit. Par contre, j'ai un fichier "lastlog" qui me paraî bizarre : je le vois avec une taille de 2.80 MB mais quand je l'édite, j'ai une ligne contenant : “ßIpts/0
- Je n'ai pas trouvé "auth.log".

- Donc, oui, le FTP tourne, et pour finir, je ne sais pas comment vérifier que ma machine est à jour : c'est un dédié One AND One...mais je dois me dépatouiller tout seul...