Attaque béton qui plante le serveur en 403

[KOogar]

Bonjour

Nous sommes chez OVH sur un 240plan et ce mois ci on s'est fait attaqué 2 fois. Le reseau de sites (4 sites de ressources gratuites au total) a planté en 403 et le serveur a renvoyé ce message d'erreur : "Forbidden - You don't have permission to access / on this server" sur toute les pages du reseau

De mon coté j'ai cherché à tracer l'attaque, au début j'etais betement persuadé que c'etait une attaque massive de requetes externes mais les logs indiquent le contraire. Mon partenaire pense que cela peut éventuellement provenir d'une faille de sécurité de FCKeditor

Si vous avez une idée du type d'attaque que l'on a subit, un gros merci d'avance de nous en faire part

cordialement

[Pablo]

Il peux y avoir des failles dans FCKeditor si tu utilises l'upload d'images.

Les DDos ("Les attaque massive") sont rare sur les hébergements mutualisé. Quand cela arrive les Administrateurs qu'il soit d'ovh, gandi, amen ou autre réagisse vite.

Qu'as tu dans tes logs qui pourrais nous aider avoir d'où vient l'attaque ?

[MaBoul]

Bonsoir,

Chez nous ça a été 3 fois dans la journée du 28 jusqu'à ce qu'on efface tout pour remonter une sauvegarde. Les droits étaient modifiés et les sites inaccessibles en 403. Il fallait changer les droits pour les rendre accessibles.

Les sites sont sous Joomla en mutu chez Ovh (Business).

Rien trouvé dans les logs ni web, ni Ftp. Une faille dans un composant peut-être mais pas d'infos ; on n'avait rien installé ces dernières semaines, la sauvegarde remontée était du 06/04.

[KOogar]

Nouvelle attaque il y a 1 heure mais cette fois ci OVH à été réactif

Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

Problème rencontré : Hidden PERL script
Commande apparente : lynx
Exécutable utilisé : /usr/bin/perl
Horodatage: Fri May 7 02:03:05 CEST 2010

Ceci n'est pas autorisé sur nos installations, car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout risque de nouveau piratage

A force d'ajouter tout un tas de systeme anti hack le site rame de plus en plus et toujours pas de solution. Besoin d'aide car je vais finir par fermer les sites (3 sites de ressources gratuites) a toute contribution externe

gros Merci d'avance

[KOogar]

je up

en fait le hacker avait tout simplement réussie a monter des scripts sur le ftp, c'est pour ca qu'on pétait les plombs et qu'aux logs on etait aveugle...
Pour l'instant on sait toujours pas si ca vient de l'interieur (car nous sommes 6-7 a posseder le ftp du site, je sais meme plus tres bien, et si l'un de nous s'est fait hacker son PC...) ou si c'est externe (on enquete )

l'interet c'est au moins d'avoir pu conserver les scripts qui ont permis au hacker de nous hacker en beauté.

Si ca interrresse l'un d'entre vous d'avoir des scripts de hackeur (je donnerais que les scripts de lecture, pas les fichiers uploads de hack) vous pouvez me contacter par MP et je vous envoie le zip

les hackeurs (russes?) ont meme un site -http://hcegroup.net/

++
KOogar

[1-sponsor]

je compatis, c'est vraiment la $ù^( ces $$&& de hackeurs