Messages: 870

Enregistré le: 26 Aoû 2004

Message le Ven Mar 30, 2007 11:48

Bonjour,

Je cherche a protéger des hébergements chez OVH.
En effet, depuis quelques jours un hacker à installé un répertoire sur plusieurs de mes hébergements.
J'ai mis à jour très récemment les CMS que j'utilisait, mais un des hébergements a été hacké sans la présence d'un CMS.

Comment puis-je faire pour protéger ses hébergements.

Le hack était constitué d'un répertoire dans lequel il y avait des fichiers php orienté phishing ebay...

Merci d'avance
Haut
21 Réponses
Messages: 196

Enregistré le: 7 Mar 2005

Message le Ven Mar 30, 2007 12:19

Vérifie les droits dans tes repertoires, vérifier les logs pour voir si il est passé par le site ou par ton webmin.
Placer des htaccess dans les répertoires (et des index.html) et surtout bien conserver tous les logs pour te défendre si jamais le site de pishing a eu des personnes.

(Enfin je controle régulièrement les courbes MRTG pour deceler une activité anormale (les sites de pishing envoyant souvent beaucoup de mail en continu depuis ton serveur)
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Ven Mar 30, 2007 13:01

Trouve avant tout par ou il est passé.
Ca peut etre en dehors du site (awstat par exemple)
Haut
Messages: 235

Enregistré le: 2 Jan 2007

Message le Ven Mar 30, 2007 13:07

C'est quel CMS car je sais qu'il y a des h4cker turcs qui sévissent sur mambo en ce moment :evil:
Haut
Messages: 50

Enregistré le: 2 Jan 2007

Message le Ven Mar 30, 2007 13:27

C'est un dédié que tu as ?

Si c'est un dédié moi je préfèrerais faire une ré-installation.

Savoir par ou il est passé c'est une chose bonne à savoir.

Mais savoir ce qu'il a laissé sur ta machine c'est autre chose ?
Haut
Messages: 870

Enregistré le: 26 Aoû 2004

Message le Ven Mar 30, 2007 13:42

En fait, mon problème est que je ne sais pas par où il est passé pour installé ses scripts. Je ne suis donc pas à l'abri d'une nouvelle attaque...

J'ai donc besoin de pistes...
Haut
Messages: 11405

Enregistré le: 14 Oct 2002

Message le Ven Mar 30, 2007 14:14

Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

- récupération de mots de passe
- installation de fichiers étrangers

etc.

Donc premiere chose a faire : .htaccess/password sur tout leS répertoireS d'admin.

Bonne chance
Haut
Messages: 870

Enregistré le: 26 Aoû 2004

Message le Lun Avr 02, 2007 8:58

Le site a été hacké de nouveau ce week end. (c'est un mutualisé)

Aucun CMS de la toile (le site est constitué de pages php formulaires etc...). Dans les logs aucune adresse particulière pour détourner l'utilisation des formulaires. Mots de passes FTP et manager o*vh modifié.

La seul parade pour le moment est de mettre à jour le htaccess pour faire pointer les adresses appelées sur une autre page....

Si vous avez des idées concernant la sécurité pour les mutualisés je suis preneur.

Un autre site ayant un blog dotclear a également été hacké. Là j'ai fait les mêmes actions et viré le blog... Sans effet. Quelques heures plus tard le hackeur avait ré-installé ses mer**des
Haut
Messages: 22678

Enregistré le: 8 Aoû 2004

Message le Lun Avr 02, 2007 9:10

la solution, tu supprimes tout le site via ftp et tu remets à jour à partir de ton site de développement.
Tu sécurises l'accès à tous les répertoires d'admin avec htaccess et tu vérifies tous tes includes, formulaires d'upload, etc...
Après ça devrait aller mieux.
Car là, il est fortement possible qu'il ait déjà uploadé un script php ou cgi sur ton serveur et même si tu blindes ton site, son script est déjà en place :roll:
Haut
Messages: 30

Enregistré le: 2 Nov 2006

Message le Ven Jan 11, 2008 11:56

Attention si tu as un script d'upload, même "sécurisé", c'est mortel...
il y a plein de failles, et c'est très difficile de faire un upload vraiment sécurisé!

Donc désactive tous les uploads, les cms et trucs du genre phpbb etc le temps de trouver le probleme...

mais maintenant qu'il a accédé a ton site il a peut être ajouté lui même des failles ailleurs dans tes pages...
ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
Haut
Messages: 22678

Enregistré le: 8 Aoû 2004

Message le Ven Jan 11, 2008 12:47

Joora a écrit:ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
sur un mutu ? j'ai des doutes
Haut
Messages: 438

Enregistré le: 5 Jan 2008

Message le Ven Jan 11, 2008 12:58

J'ai actuellement le même problème (sur un mutu ovh).
J'ai un blog wordpress. Depuis quelques jours, je retrouve le .htaccess modifié et de nouveaux repertoires/fichiers. En fait, dès qu'un visiteur vient d'un moteur de recherche, il est redirigé vers ses pages.
Que faire? J'ai renvoyé toutes les pages du site, essayez de supprimer tout ce qui était inutile, sans succès...
Haut
Messages: 22678

Enregistré le: 8 Aoû 2004

Message le Ven Jan 11, 2008 13:10

tu effaces tout le contenu de ton site, tu modifies le password ftp et celui de la base de données et tu remets tous tes fichiers depuis ton serveur de test.
Ensuite, il faut restreindre les droits au strict minimum (juste ce qui est nécessaire, pas plus) pour tous les répertoires.
Et puis, surtout, si ce sont des scripts opensource, faire les dernières mise à jour de sécurité
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Ven Jan 11, 2008 13:39

C'etait quand meme un up d'avril 2007 ...
Haut
Messages: 870

Enregistré le: 26 Aoû 2004

Message le Ven Jan 11, 2008 15:49

J'ai résolu le problème en modifiant le password ftp de tous mes mutus...
Haut
Messages: 438

Enregistré le: 5 Jan 2008

Message le Ven Jan 11, 2008 16:24

J'ai changé le password ftp de mon mutu, sans succès. Les fichiers continuent à apparaître :(
Haut
Messages: 11405

Enregistré le: 14 Oct 2002

Message le Ven Jan 11, 2008 23:48

dédié corrompu.

Tu formattes tout, tu vires tous tes scripts et tu codes amoreusement tes pages php un par un
Haut
Messages: 138

Enregistré le: 23 Fév 2004

Message le Ven Jan 11, 2008 23:54

mutu il a dit le monsieur ;)
Haut
Messages: 1323

Enregistré le: 1 Nov 2006

Message le Sam Jan 12, 2008 0:08

mahefarivony a écrit:Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

Je suis pas trés versé sur la question, mais je peux confirmer que je suis régulièrement scané par des robots qui tente d'accéder à des pages d'admin inexistantes. Et c'est assez fréquent... la première fois que j'ai vu ça, je me suis dit "je n'aimerais pas être à la place des personnes qui travaillent avec les systèmes que ces robots cherche à trouver".
Haut
Messages: 2059

Enregistré le: 7 Juin 2007

Message le Sam Jan 12, 2008 0:27

Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.
Haut
Messages: 1323

Enregistré le: 1 Nov 2006

Message le Sam Jan 12, 2008 1:02

Darkcity a écrit:Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.

Ce que je dis toujours ;) Oui, c'est vrai :)

Avec un système maison, le Hacker n'a aucun moyen se savoir à quoi tu tourne, ni quelle est ton architecture, etc, etc.

Et si tous le monde faisait du maison partout, ce serait différent partout, et les hackers n'auraient plus qu'à se coucher sous la couette.

Concrêtement, les faiblesses sont presque toujours dans l'archirecture du site, parce que attaquer un serveur Apache, même si c'est possible, c'est déjà moins courant que de voir l'achitecture d'un site se faire attaquer. Et l'étape au dessus, c'est d'avoir sa propre application serveur... voir pourquoi pas son propre OS.

Mais l'architecture site fait maison, c'est déjà bien.
Haut
Messages: 30

Enregistré le: 2 Nov 2006

Message le Sam Jan 12, 2008 14:41

Leonick a écrit:
Joora a écrit:ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
sur un mutu ? j'ai des doutes


Je ne plaisante pas.
Je ne ferai pas de démonstration car ça pourrait être considéré comme du piratage, mais il faudrait que j'en parle a OVH...
Mais les formulaires de contact c'est pas top pour parler de ça...
Haut