Page 2 sur 2 PremièrePremière 12
Affichage des résultats 11 à 20 sur 20

Discussion: Tous mes domaines sur le meme hébergement mutu hacké!!!?

  1. #11
    Membre
    Date d'inscription
    September 2011
    Messages
    16

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    5 sites sur 6 de nettoyer, j'en ai marre... que de l'iframe. pff
    J'ai changer mdp ftp
    et suis passé en sftp sur filezilla vu que les hébergements concernés sont pro.


    Gaston comment on fait alors pour sécurisé sa connexion ftp quand il n'y a pas de SFTP?? Ca me stress cette histoire... je viens de faire commander un hebergement perso, j'avais pas vu cette petite mesquinerie....

  2. #12
    Membre
    Date d'inscription
    August 2009
    Messages
    17 981

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par ismene5 Voir le message
    Gaston comment on fait alors pour sécurisé sa connexion ftp quand il n'y a pas de SFTP?? Ca me stress cette histoire... je viens de faire commander un hebergement perso, j'avais pas vu cette petite mesquinerie....
    Ce n'est pas possible.
    Gaston
    Pour une aide plus efficace, n'hésitez pas à donner le plus de détails sur votre problème : Domaine, Filer, Serveur SQL et ... le Nic-Handle

  3. #13
    Membre
    Date d'inscription
    March 2012
    Messages
    301

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Bonjour,

    Citation Envoyé par fritz2cat Voir le message
    Vois les logs de ton hébergement.
    Si l'intrusion a eu en PHP via une vulnérabilité de ton site c'est dans les logs web.
    À jeter un coup d’œil quand on les comprend, mais ne pas espérer être sûr de repérer quelque chose. Si l'attaquant a fait une requête PHP POST vers une URL légitime avec un User-Agent normal et le bon Referrer, il y a peu de chance de repérer quelque chose. Tout ce qui passe par $_POST n'est en principe pas logué.

    Citation Envoyé par fritz2cat Voir le message
    Si l'intrusion a eu lieu en FTP c'est dans tes logs ftp.
    +1, et en plus en général, l'attaque est très facile à voir puisque le nombre de lignes est sensé être très limité...

    Citation Envoyé par ismene5 Voir le message
    Ou est ce qu'il faut que je regarde dans les logs pour savoir si le php a un souci ?
    Cf http://guides.ovh.com/LogsWeb.

    Essaie sur https://logs.ovh.net/votre_nom_de_domaine.tld (en prenant le nom de domaine associé au mutualisé).

    Regarde en premier les logs FTP (c'est sensé être très rapide si ce n'est pas par là qu'est passé l'attaquant).

    Ensuite regarde les logs web, mais comme je l'ai dit, même si l'attaque a eu lieu via PHP, ce n'est pas dit que ça soit associable à une requête via les logs. Pour les logs web, si ce n'est pas avec les logs du domaine principal de l'hébergement il faut essayer avec le nom du multi-domaine dans l'URL (ça dépend de tes réglages : logs séparés ou non).

  4. #14
    Membre
    Date d'inscription
    March 2012
    Messages
    301

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par ismene5 Voir le message
    J'ai passé 3 anti vir différents sur ma machine + un anti malware, et aucun virus n'a été détecté. C'est possible d'avoir été piraté qd même? J'ai du être une journée sans anti virus car avast avait planté et je m'en suis pas rendu compte tout de suite.
    La plupart des anti-virus fonctionnent comme s'ils avaient une longue liste des personnes les plus recherchées : si la menace est en dehors de la liste des menaces connues ça ne fait en général pas grand chose pour surveiller.

    De plus, un troyan peut très bien effacer les traces de son passage après avoir récupérer filezilla.xml, et je doute fort que tes 3 anti-virus tournaient en tache de fond tous en même temps au moment de la capture de ton mot de passe.

  5. #15
    Membre
    Date d'inscription
    March 2012
    Messages
    301

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par Gaston_Phone Voir le message
    - Soit que tu ais utilisé FileZilla dans un endroit WIFI et que quelqu'un ait "sniffé" ta séquence de connexion.
    "Quelqu'un" ou un malware : rien ne s'oppose à ce qu'un malware transforme un PC tiers en machine à capturer ce qui passe via les wifis non chiffrés pour ensuite retransmettre les données au méchant. (Même si à ma connaissance ça ne semble pas très fréquent du tout pour l'instant...)

  6. #16
    Membre
    Date d'inscription
    January 2007
    Messages
    6 895

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par ddavid Voir le message
    ...Tout ce qui passe par $_POST n'est en principe pas logué.
    Je vous propose d'inclure dans le fichier config de votre cms ce fichier:
    rl.php == http://paste2.org/p/2004600

    Ce "rl.php" possède un partie à configurer.

    Ensuite, tout POST et file upload sera loggé.

    Je utilise ce fichier pour surveiller les POST's dans mes CMS, 'e107' - et je pense qu'il est facile adaptable pour n'importe quelle CMS car initialement pas écrit spécialement ce CMS.

    Attention: les logs seront stockés sur VOTRE hébergement. A surveiller la quantité de données ainsi produits, il ne faut surtout pas installer "rl.php" et laisser tourner son site pendant quelques années: il y aura un problème de "disque quota"


    Je gère un site vasé sur WordPress et il me semble que j'ai du paraméter l'accès FTP avec son mot de passe pour que cette formidable fonction "auto mise à jour" fonctionne.
    Donc: l'accès FTP est sauvegardé dans la base des données.
    Lui qui arrive à hacker un site basé sur WP avec l'utilsation des 'simples' POST' sévèrement trafiquées aura accès au fichier de config de WP.
    Il aura donc accès à la base.
    Il aura donc l'accès FTP ..... sache que ces accès tous loggé d'une façon très détaillé.
    Dernière modification par Nowwhat ; 02/05/2012 à 08h43.

  7. #17
    Membre
    Date d'inscription
    March 2012
    Messages
    301

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par Nowwhat Voir le message
    Ensuite, tout POST et file upload sera loggé.
    À n'utiliser que pour ne comprendre ce qui a pu se passer... Si le log montre qu'une donnée particulière montre une faille particulière... Car sur le fond tout attaquant qui réussit son coup peut faire dire ce qu'il veut aux fichiers de logs générés par ce script (et ce sans avoir besoin de chercher de seconde faille pour gagner des droits supplémentaires).

    Toutefois, pour une attaque réalisée depuis une machine zombie par un bot, ça a toutes les chances de laisser les indices... (Dans le cas d'une attaque manuelle, si l'attaquant est compétent rien ne se verrait dans ces logs).

    Citation Envoyé par Nowwhat Voir le message
    Je gère un site vasé sur WordPress et il me semble que j'ai du paraméter l'accès FTP avec son mot de passe pour que cette formidable fonction "auto mise à jour" fonctionne.
    Donc: l'accès FTP est sauvegardé dans la base des données.
    C'est curieux ça... Qu'entendez vous par mise à jour automatique ? J'arrive à faire des mises à jour en un clic depuis l'interface d'admin, et ce sans avoir entré dans les fichiers de config ou dans l'interface wordpress mon mot de passe FTP.

    Lorsque la mise à jour est demandée, c'est le serveur faisant tourner le PHP qui initie une requête vers les serveurs de wordpress pour récupérer la nouvelle version, puis il l'installe. Pas besoin de stocker le mot de passe FTP pour cela !

    Citation Envoyé par Nowwhat Voir le message
    Lui qui arrive à hacker un site basé sur WP avec l'utilsation des 'simples' POST' sévèrement trafiquées aura accès au fichier de config de WP.
    Il faut déjà qu'il y ait une faille (ou backdoor) présente qui permette au POST de faire plus que ce qu'ils sont sensés faire... (Tout comme il faut une faille avec un GET). Ou avec toute requête HTTP...

    Citation Envoyé par Nowwhat Voir le message
    Il aura donc accès à la base.
    Celui qui a accès au source wp-config.php a accès à la base de données, en effet...

    Citation Envoyé par Nowwhat Voir le message
    Il aura donc l'accès FTP ..... sache que ces accès tous loggé d'une façon très détaillé.
    Pas forcément, beaucoup d'installations Wordpress fonctionnent sans que la base ou qu'un quelconque fichier contienne le mot de passe FTP.

    Une fois qu'une installation est compromise, l'attaquant peut certes modifier potentiellement tout fichier mais ce n'est pas par le FTP (sauf si le mot de passe FTP a fuité).

    Moralité : regarder les logs FTP : si il y a eu des accès non autorisés, c'est quasi certain qu'un troyan a récupéré le mot de passe FTP...

  8. #18
    Membre
    Date d'inscription
    September 2011
    Messages
    16

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par ddavid Voir le message
    Bonjour,


    À jeter un coup d’œil quand on les comprend, mais ne pas espérer être sûr de repérer quelque chose. Si l'attaquant a fait une requête PHP POST vers une URL légitime avec un User-Agent normal et le bon Referrer, il y a peu de chance de repérer quelque chose. Tout ce qui passe par $_POST n'est en principe pas logué.


    +1, et en plus en général, l'attaque est très facile à voir puisque le nombre de lignes est sensé être très limité...



    Cf http://guides.ovh.com/LogsWeb.

    Essaie sur https://logs.ovh.net/votre_nom_de_domaine.tld (en prenant le nom de domaine associé au mutualisé).

    Regarde en premier les logs FTP (c'est sensé être très rapide si ce n'est pas par là qu'est passé l'attaquant).

    Ensuite regarde les logs web, mais comme je l'ai dit, même si l'attaque a eu lieu via PHP, ce n'est pas dit que ça soit associable à une requête via les logs. Pour les logs web, si ce n'est pas avec les logs du domaine principal de l'hébergement il faut essayer avec le nom du multi-domaine dans l'URL (ça dépend de tes réglages : logs séparés ou non).
    Merci à tout le monde pour vos messages

    Je viens de regarder les logs FTP... le 26 avril j'ai une liste considérable d'action sur tout mes index.php ou index.html que j'ai retrouvé infecté hier... sur un site auquel je n'ai pas touché depuis plus d'un mois!

    Du genre :
    Code:
    [2012 Apr 23 08:04:34] pure-ftpd: (xxxi@xxx) [NOTICE] /homez.348/xxx//www/xxxx/xxxxx/controllers/index.html downloaded  (0 bytes, 0.00KB/sec)
    [2012 Apr 23 08:04:35] pure-ftpd: (xxx@xxx) [DEBUG] Command [pasv] []
    [2012 Apr 23 08:04:35] pure-ftpd: (xxx@xxx) [DEBUG] Command [stor] [index.html]
    [2012 Apr 23 08:04:35]xxxx/xxxx/controllers/index.html uploaded  (2455 bytes, 128.08KB/sec)

    Comment éviter que ca ne recommence??
    J'avais lancé une aspiration du dernier site à "traiter" cette nuit et ce matin gros bordel : filezilla en rade avec un message d'erreur avec un fichier pourri à la clé je pense : fzsftp.exe
    et environ 150fichiers index bloqués par Avast... Et je n'étais qu'à la moitié du chargement... cool...
    J'ai relancé un anti-malware ce matin, rien.
    J'ose pas redemarrer filezilla...

  9. #19
    Membre
    Date d'inscription
    March 2012
    Messages
    301

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Citation Envoyé par ismene5 Voir le message
    et environ 150fichiers index bloqués par Avast...
    En utilisant les logs FTP, et en remontant, il est possible de se faire une idée de la date probable de première infection.

    Ensuite, il peut être envisageable d'accéder à une sauvegarde des fichiers sains (à sécuriser au plus vite et à mettre de côté) : utiliser le guide http://guide.ovh.com/backupssurplanweb (et également http://guide.ovh.com/SaveBasesMySQL).

    En général, quand c'est possible il est mieux de repartir avec des données saines que de "nettoyer" de toute façon...

    (Bien que je ne doute pas que les fichiers contaminés puissent être instructifs de temps en temps...)

  10. #20
    Membre
    Date d'inscription
    September 2011
    Messages
    16

    Re : Tous mes domaines sur le meme hébergement mutu hacké!!!?

    Merci ddavid
    Si jamais il reste un fichier malsain sur un de mes sites, ca peut compromettre à nouveau tout le reste?

    Est ce qu'il faut que je change les mdp de mes bdb aussi?

    J'ai changé les mdp ftp, passer tout en SSH sauf l'hébergement perso (grr)
    une fois que j'aurais tout nettoyé ou remis à neuf
    est ce qu'il a autre chose que je puisse faire pour être "tranquille" ??

Page 2 sur 2 PremièrePremière 12

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •