OVH Community, votre nouvel espace communautaire.

Hack par injection sur mon serveur


TBC_Ly0n
07/08/2015, 17h59
Réinstallation du PC.
Diagnostic poussé du serveur pour identifier toute trace d'outil malveillant
Le FTP, c'est le mal ! A remplacer par du SFTP !

sympatik
06/08/2015, 09h00
Bonjour !
Ce code a pour but de tenter d'essayer de lancer une commande système sur ton serveur. On peut essayer avec n'importe quelle commande passée en variable dans l'adresse.

donc, il faut le supprimer tout de suite
supprimer le trojan sur ton ordi
te demander comment tu as pu l'avoir
changer le mot de passe sftp, mais ne pas le mettre tout de suite dans filezilla car il stocke les mdp en clair dans un fichier
restreindre l'accès en sftp depuis certaines adresses ip
peut-être le trojan stocke-t-il les touches que tu utilises (keylogger) donc si tu le tapes quelque part, peut-être va-t-il le récupérer aussi

17 juin, c'est très vieux, il a pu se passer des choses depuis.

tomatoketchup
06/08/2015, 02h13
Bonjour,

J'ai retrouvé un fichier nommé d.php à la racine du dossier var/www/

Avec ce contenu dedans :
Code PHP:
proftpd: 94.136.38.247:39143: SITE cpto /tmp/.($_GET['cmd']);echo 'm3rg3';?>
J'ai retrouvé la trace de son passage dans les logs httpd là aussi une ip anglaise. :

Jun 17 15:56:37 sd-62485 proftpd[27268] sd-62485.dedibox.fr (server6749.dedicated.webfusion.co.uk[94.136.38.247]): FTP session opened.
Jun 17 15:56:52 sd-62485 proftpd[27268] sd-62485.dedibox.fr (server6749.dedicated.webfusion.co.uk[94.136.38.247]): FTP session closed.

Je pense que cela vient d'un trojan sur mon windows car j'ai reçu exactement le même code sur un autre serveur dédié chez OVH dont les données sont sur mon client filezilla.

c'était ce code là au même endroit dans /var/www/

Code PHP:
proftpd: 217.160.6.81:44964: SITE cpto /tmp/.($_GET['cmd']);echo 'm3rg3';?>
Qu'en pensez vous ?

Je ne me souviens pas avoir eu de soucis particulier depuis que le code est sur le serveur mais j'aurais voulu savoir ce que je peux faire avec ces éléments et surtout les attentions du petit malin qui a injecté ce fichier php sur mon serveur.