OVH Community, votre nouvel espace communautaire.

Une faille via PCRE ?


gamaniak
13/10/2009, 12h10
Salut,

Si, j'en utilise, j'ai vu avec un mec d'OVH, il m'a proposé de passer en FTP Passif, et depuis, pas de soucis.
Si ça peut en aider certains
kaliste
13/10/2009, 09h58
Salut,

Tu n'utilisais aucune fonctions ftp ?
Car une fois j'ai eu le même pb et c'était pour des fonctions FTP
gamaniak
29/09/2009, 13h27
J'en parlais ici : http://forum.ovh.com/showthread.php?t=51740

Voici le mail reçu d'OVH quelques minutes après avoir complètement bloqué mon site pour un simple fichier..

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

gamaniak.com

Problème rencontré : Backdoor
Commande apparente : php.ORIG.4 -c /usr/local/lib/php.ini -d register_globals 1 -d magic_quotes_gpc 1 -d session.use_trans_sid 1 ****.php
Exécutable utilisé : /usr/local/bin/php.ORIG.4.4.9-pcre7
Horodatage: Sun Sep 27 18:49:20 CEST 2009

Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guides.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).

Contactez notre support si vous ne parvenez pas à rouvrir l'accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance.


Cordialement,
Sauf que dans le fichier incriminé, je n'utilise aucune PCRE..
Ce qui me dérange surtout, c'est qu'ils aient bloqué le dossier www, alors que le fichier fautif faisait parti d'un multidomaine dans un dossier distinct du site principal. Bloquer le fichier fautif aurait largement suffi.
J'ai regardé, je ne vois nullement la possibilité d'une faille.. celles que je connais XSS, SQL Injection, Include et euh.. je crois que c'est tout.
Ce fichier utilise des fonctions propres à PHP comme : settype, imagecreatetruecolor, imagesetpixel, mysql_ fetch_assoc, imagejpeg, uniqid, mysql_query, mysql_insert_id, unlink.

La connexion mySQL est fermée en fin de fichier.
Qu'est ce que je dois faire pour mettre à nouveau le site en marche sans risquer de me faire à nouveau fermer mon site principal ?

Merci.