Analyse des logs

[winch]

Bonjour,

Mon serveur dédié a une faille quelque part et régulièrement j'ai des fichiers de phishing qui y sont déposés. La lecture des logs ne me parait pas simple. Avez-vous une méthode ou une bonne adresse sur la manière de s'y prendre pour analyser les logs et retrouver la faille ?

Merci d'avance

[Julia41]

Si tu utilises Filezilla, pas la peine de lire tes logs, il te faudra simplement changer tes mots de passe FTP

Si tu connais la méthode de rajout des fichiers de phishing c'est du javascript qui commence par :
<script..
C'est très simple: sur ton index.php tu fermes pas ta balise php :
<?php
ton script php
?>
<script le phishing...

Ainsi si tu changes par :
<?php
ton script php

si le script de phishing se rajoute, ta page ne fonctionnera pas, et tu éviteras ainsi de contaminer d'autres PC.
Bon, la lecture de logs reste assez complexe si tu ne sais pas quoi chercher, ce qui est sûr c'est que ça demande du temps.

[winch]

Sur ce serveur j'ai une cinquantaine de sites, des vieux, des récents, des gros, des petits... Enfin, c'est un peu l'aiguille dans la bote de foin. Pas de problème du côté FTP.
Pour commencer j'ai les fichiers logs d'un domaine qui s'est fait hacker aujourd'hui. je retrouve bien les ligne d'accès aux fameux fichier de phishing et il y en a pas mal 17 500. Sachant que la faille n'est pas forcément sur ce domaine comment avancer ? Que rechercher ?

[Leonick]

de toutes façons, tu as un problème de sécurité : soit au niveau ftp, soit au niveau de formulaires (surtout d'upload, du genre pas de vérification du type du fichier et on envoie autre chose qu'une image,...), soit au niveau de tes scripts trop permissifs.

[Ottis]

@Julia41

Vous pouvez mettre ceci autrement :

Code: Tout sélectionner

return;
?>

Tout code après le return (php ou autre) sera ignoré. C'est ce que je fais perso car je préfère toujours fermer une balise ouverte, bien que ne pas la fermer n'est pas faux non plus car il n'y a pas vraiment de spécification claire à ce sujet.

[forty]

commence déjà par mettre à jour tes scripts dont le code est accessible à tous style wordpress, joomla, ... La faille est peut-être dans l'un d'eux si tu en as.

C'est peut-être aussi ta config apache qui n'est pas optimale. J'ai ça dans mon htaccess pour limiter les risques :

Code: Tout sélectionner

SetEnv REGISTER_GLOBALS 0
SetEnv ALLOW_URL_FOPEN 1
SetEnv ALLOW_URL_INCLUDE 0
SetEnv MAGIC_QUOTES 0

[Julia41]

Sur ce serveur j'ai une cinquantaine de sites, des vieux, des récents, des gros, des petits... Enfin, c'est un peu l'aiguille dans la bote de foin. Pas de problème du côté FTP.
Pour commencer j'ai les fichiers logs d'un domaine qui s'est fait hacker aujourd'hui. je retrouve bien les ligne d'accès aux fameux fichier de phishing et il y en a pas mal 17 500. Sachant que la faille n'est pas forcément sur ce domaine comment avancer ? Que rechercher ?

Il va falloir faire un peu de découpe.
Tu as déjà l'heure d'accès à ce fichier de phishing.
Donc le problème est arrivé *avant*.
Si tu as un POST dans tes logs HTTPD, ou alors un ?url=une url bizarre.
Ca pourrait venir de là.

Bon, après il faut tout de même nettoyer.
Si c'est un site à fort traffic, ça demande pas mal de temps de trouver en effet.

[jcaron]

Comme déjà dit, commence par updater tout ce qu'il faut, en particulier le CMS et tous les modules qui vont avec.

Ensuite, regarder le log des transferts FTP (xferlog). Ca passe souvent bêtement par là, en particulier si tu as des passwords un peu faibles. Elimine les requêtes depuis ton/tes adresses IP, tu verras ce qu'il reste. Ou tu peux directement chercher le fichier infecté dans le log.

Si ce n'est pas par là, alors il y a probablement une faille dans une appli http. Regarde la date de création/modification des fichiers infectés, et cherche dans tes logs ce qui s'est passé à cette heure-là...

Jacques.