Discussion :

[thibaut06]

Bonjour,
j'ai eu la mauvaise surprise de découvrir dans plusieurs répertoires de sites hébergés sur mon serveur que des fichiers y avait été insérés et des répertoires créé.

J'ai identifié et effacé les fichiers gun*.php qui contiennent des lignes de code destinés à hacker le serveur.

Néanmoins, il semble qu'il y en ai d'autres sous d'autres noms.

Dans ce cas comment puis-je faire pour identifier l'ensemble des fichiers appartenant à un utilisateur spécifique, www-data, car normalement l'ensemble des fichiers ont pour utilisateur le propriétaire du site. Or ces fichiers ont comme utulisateur www-data (apache)

J'ai effectué des tests avec chrootkit, et rkhunter et rien departiculier à signaler.

Pour info mon serveur et protéger par iptable et j'ai plusieurs logiciels de securite comme fail2ban, rkhunter...

Les sites qui ont été touché ont ete bati sur plusieurs framework (joomla, prestashop, interne) et il semble que ça soit la meme personne à l'origine (car fichier gun)donc je pense que ça peut venir d'une faille apache ou du serveur?

Je viens de faire une mise à jour d'apache, j'ai maintenant la version 2.2.9.

Mon serveur:
- Debian Lenny
- Virtualmin
- Apache 2.2.9

Merci d'avance pour votre aide et conseil afin d'éviter que ça se propage et identifier les sources du probleme.

[thibaut06]

Je reviens vers mon précédent message car il n'est peut etre pas assez clair.

En fait, je souhaiterai savoir comment est il possible d'uploader des fichiers sachant, que je n'ai aucun formulaire d'upload.

Comment ensuite est il possible en analysant les logs voir quels fichiers ont ete uploadé, en effet j'ai pas mal de fichiers log qui sont d'ailleurs trés gros, et je n'ai pas trouvé le fichier log qui me permet de détecter ces upload

Enfin pour effacer les fichiers uploaded, comment puis-je faire une recherche par proprietaires et si possible par date.

Si vous avez d'autres conseils, notamment comment se protéger contre ce genre d'attaques, je vous serez reconnaissant. J'ai découvert le script Crawlprotect, connaissez-vous ce script est il efficace?

Merci d'avance

[JeitEmgie]

Je reviens vers mon précédent message car il n'est peut etre pas assez clair.

En fait, je souhaiterai savoir comment est il possible d'uploader des fichiers sachant, que je n'ai aucun formulaire d'upload.

Comment ensuite est il possible en analysant les logs voir quels fichiers ont ete uploadé, en effet j'ai pas mal de fichiers log qui sont d'ailleurs trés gros, et je n'ai pas trouvé le fichier log qui me permet de détecter ces upload

Enfin pour effacer les fichiers uploaded, comment puis-je faire une recherche par proprietaires et si possible par date.

Si vous avez d'autres conseils, notamment comment se protéger contre ce genre d'attaques, je vous serez reconnaissant. J'ai découvert le script Crawlprotect, connaissez-vous ce script est il efficace?

Merci d'avance

un hacker peut uploader des fichiers sur votre machine si les permissions des dossiers sont mal gérées et si une commande telle que "wget" est accessible par le compte sous lequel tourne le serveur Web.

En clair, il n'upload pas des fichiers, il provoque l'exécution de code shell via des pages, par exemple en PHP, qui ne parsent pas correctement leurs arguments, code shell qui lui va downloader les codes malicieux…

[frp31]

tu devrais aussi passer un nessus afin d'identifier les failles, les risques et surtout les correctifs à appliquer.

Ca devrai t'aider. (tiger également est un bon complément) pour identifier les failles

ensuite il y a une méthode pour limiter les risques qui est de faire comme ça :

create a mount point:
mkdir /tmp/ramdisk0
# create a filesystem:
mke2fs /dev/ram0
# mount the ramdisk:
mount /dev/ram0 /tmp/ramdisk0


Example of how to use a RamDisk for a webserver.
Okay, here is an example of how to use 3 ramdisks for a webserver. Let us say you are 99% confident that your default installation of Apache for RedHat 6.0 won't use more than 9 megs for its cgi-scripts, html, and icons. Here is how to install one.
First, issue this command to move the real copy of the document root directory of your webserver to a different place. Also, make the directories to mount the ramdisks .
mv /home/httpd/ /home/httpd_real
mkdir /home/httpd
mkdir /home/httpd/cgi-bin
mkdir /home/httpd/html
mkdir /home/httpd/icons

Then, add these commands to the start procedure in your /etc/rc.d/init.d/httpd.init (or where ever the httpd gets started on your system):

### Make the ramdisk partitions
/sbin/mkfs -t ext2 /dev/ram0
/sbin/mkfs -t ext2 /dev/ram1
/sbin/mkfs -t ext2 /dev/ram2

### Mount the ramdisks to their appropriate places

mount /dev/ram0 /home/httpd/cgi-bin
mount /dev/ram1 /home/httpd/icons
mount /dev/ram2 /home/httpd/html

### Copying real directory to ramdisks (the
### data on the ramdisks is lost after a reboot)
tar -C /home/httpd_real -c . | tar -C /home/httpd -x

### After this you can start the web-server.


Comments

bien sur des taches cron rafraichissent de temps à autre pour forcer le ram disque à recharger le site réel dans le ramdisk, afin d'éliminer ce qui a pu être intégré de force. ce qui l'élimine à coup sur (comme ton cas)

mais cette protection n'empêche en rien de se proteger et en particulier si tu as une SGBD de te proteger contre les injections SQL diverses. et te tenir ta sécurité à jour !

si le site est trop grand pour la taille standard d'un ramdisk tu peux bien sur créer un LVM.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
pvcreate /dev/ram5 /dev/ram6 /dev/ram7 /dev/ram8
vgcreate RD0 /dev/ram5 /dev/ram6 /dev/ram7 /dev/rama8
lvcreate -L 48 RD0
mke2fs /dev/mapper/RD0-lvol0
mount /dev/mapper/RD0-lvol0 /home/httpd/

[tintin22]

Je te conseille de scanner ton serveur avec Acunetix web vulnerability scanner, très efficace ! specialisé dans les vulnerabilités Web.
Ton hacker est entré par l'une des applications qui sont installées sur ton serveur (Joomla etc ...) surement avec du XSS (Cross Site Scripting).
Une fois ton serveur scanné avec Acunetix et la faille reperée, met à jour l'application concernée.

[thibaut06]

Merci beaucoup pour vos réponses détaillées et pour les pistes évoqués.

Je vais dans un premier temps utilisé Nessus et Acunetix web vulnerability scanner comme vous me l'avez conseillé.

ps: J'attend que les tests soient terminés avant de passer le message en réglé