OVH Community, votre nouvel espace communautaire.

Dédié sour Debian 7 Hacké


TBC_Ly0n
17/11/2015, 23h31
Normalement, PHP ajoute un entête dans le mail pour identifier le nom du script PHP responsable de l'envoi du mail...
Ce fichier sera alors facile à identifier. Généralement, les hackers sont des fainéants qui ne se cachent même plus. Script-kiddies à deux balles.
En cherchant les fichiers modifiés à la même date, on retrouve souvent la plupart des vecteurs de pollution.
Les requêtes POST dans les logs Apache permettent aussi d'affiner le tir :
- le POST vers le script pourri
- l'IP qui a fait le POST permet de retrouver d'autres scripts
- Boucler sur chaque script identifié !

Une technique bourrine et efficace consiste à reconstituer le site à partir de sources fiables, et comparer :
- la liste des fichiers entre la version "propre" et la version en ligne
- les différences entre les scripts présents dans les deux versions.

On trouve différents morceaux de lignes de commande pour identifier les scripts qui posent problème.

Bon courage ! (à défaut, t'as plus qu'à trouver quelqu'un qui va se palucher le nettoyage)

undernews_fr
17/11/2015, 12h33
Aie aie aie Joomla... C'est bien l'un des pire CMS en matière de sécurité
Pas moyen de partir sur une base plus saine pour votre projet ?

Sinon, un conseil, limitez drastiquement les plugins !

jczanoni
10/11/2015, 06h56
Bonjour, Merci de vos retour, j'ai réglé le Pb en supprimant le Virtual Host et en restorant un backup. c'est le Joomla qui à été hacké et pas le serveur lui même.

Kapoff
09/11/2015, 07h36
Bonjour,
Quelle configuration PHP avez vous ? Et donc avec quel utilisateur posix tourne votre site web ?
Le système est-il à jour, le moteur de site Joomla est-il à jour ?

Regardez dans les log apache et php , si la faille provient du site vous y verrez des trucs.
Pour les fichiers sources corrompus, faite une comparaison de structure/fichier avec un Joomla fraîchement téléchargé devrait vous aidez à comprendre.

lxwfr
09/11/2015, 02h49
qu'est que ta fait la partie serveur en sécurité ? maintenant partie sécurité web public?

ok, les basse est important, si tu as, pas besoin de demander.

jczanoni
08/11/2015, 21h13
Bonjour,

J'ai un Dédié installé sous Débian 7 avec virtualmin et des sites web sous Joomla 3.4.5
J'ai reçus une alerte d'OVH m'indiquant que je spamais avecl'IP de mon serveur.
Effectivement 500 mail dans le Queue de Pstfix avec des mail qui partent d'un de mes nom de domaine (avec des adresse mails expéditrices qui n'existent pas) (un coup des Russe vue les IP dans les log ... Ma femme est Russe .. bref..)

Je coupe POSTFIX, pour bloquer l'envoie, je Disable également mon site web, ok plus de Spam.
Je vide le queue de Postfix, je restore mon site avec un backup de la semaine derniere, je relance le tout, 1 heure plus tard ça recommance.

Dans quel LOGS je peux chercher pour trouver la source du PB ? j'ai trouver plusiseur scripts PHP marqué .suspect dasn les fichiers de Joomla. JE lesai supprimé. mais toujours pareil. c'est quoi ces fichier .suspect ?

si quelqu'un à une idée. Merci