OVH : site hacké

Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics

haderach
WRInaute impliqué
WRInaute impliqué
 
Messages: 870
Enregistré le: 26 Aoû 2004

OVH : site hacké

Message le Ven Mar 30, 2007 10:48

Bonjour,

Je cherche a protéger des hébergements chez OVH.
En effet, depuis quelques jours un hacker à installé un répertoire sur plusieurs de mes hébergements.
J'ai mis à jour très récemment les CMS que j'utilisait, mais un des hébergements a été hacké sans la présence d'un CMS.

Comment puis-je faire pour protéger ses hébergements.

Le hack était constitué d'un répertoire dans lequel il y avait des fichiers php orienté phishing ebay...

Merci d'avance

sureau
WRInaute discret
WRInaute discret
 
Messages: 196
Enregistré le: 7 Mar 2005

Message le Ven Mar 30, 2007 11:19

Vérifie les droits dans tes repertoires, vérifier les logs pour voir si il est passé par le site ou par ton webmin.
Placer des htaccess dans les répertoires (et des index.html) et surtout bien conserver tous les logs pour te défendre si jamais le site de pishing a eu des personnes.

(Enfin je controle régulièrement les courbes MRTG pour deceler une activité anormale (les sites de pishing envoyant souvent beaucoup de mail en continu depuis ton serveur)


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Ven Mar 30, 2007 12:01

Trouve avant tout par ou il est passé.
Ca peut etre en dehors du site (awstat par exemple)

shelcko
WRInaute discret
WRInaute discret
 
Messages: 235
Enregistré le: 1 Jan 2007

Message le Ven Mar 30, 2007 12:07

C'est quel CMS car je sais qu'il y a des h4cker turcs qui sévissent sur mambo en ce moment :evil:

Jonna
WRInaute discret
WRInaute discret
 
Messages: 50
Enregistré le: 2 Jan 2007

Message le Ven Mar 30, 2007 12:27

C'est un dédié que tu as ?

Si c'est un dédié moi je préfèrerais faire une ré-installation.

Savoir par ou il est passé c'est une chose bonne à savoir.

Mais savoir ce qu'il a laissé sur ta machine c'est autre chose ?

haderach
WRInaute impliqué
WRInaute impliqué
 
Messages: 870
Enregistré le: 26 Aoû 2004

Message le Ven Mar 30, 2007 12:42

En fait, mon problème est que je ne sais pas par où il est passé pour installé ses scripts. Je ne suis donc pas à l'abri d'une nouvelle attaque...

J'ai donc besoin de pistes...

mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Enregistré le: 14 Oct 2002

Message le Ven Mar 30, 2007 13:14

Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

- récupération de mots de passe
- installation de fichiers étrangers

etc.

Donc premiere chose a faire : .htaccess/password sur tout leS répertoireS d'admin.

Bonne chance

haderach
WRInaute impliqué
WRInaute impliqué
 
Messages: 870
Enregistré le: 26 Aoû 2004

Message le Lun Avr 02, 2007 7:58

Le site a été hacké de nouveau ce week end. (c'est un mutualisé)

Aucun CMS de la toile (le site est constitué de pages php formulaires etc...). Dans les logs aucune adresse particulière pour détourner l'utilisation des formulaires. Mots de passes FTP et manager o*vh modifié.

La seul parade pour le moment est de mettre à jour le htaccess pour faire pointer les adresses appelées sur une autre page....

Si vous avez des idées concernant la sécurité pour les mutualisés je suis preneur.

Un autre site ayant un blog dotclear a également été hacké. Là j'ai fait les mêmes actions et viré le blog... Sans effet. Quelques heures plus tard le hackeur avait ré-installé ses mer**des


Leonick
WRInaute accro
WRInaute accro
 
Messages: 22677
Enregistré le: 8 Aoû 2004

Message le Lun Avr 02, 2007 8:10

la solution, tu supprimes tout le site via ftp et tu remets à jour à partir de ton site de développement.
Tu sécurises l'accès à tous les répertoires d'admin avec htaccess et tu vérifies tous tes includes, formulaires d'upload, etc...
Après ça devrait aller mieux.
Car là, il est fortement possible qu'il ait déjà uploadé un script php ou cgi sur ton serveur et même si tu blindes ton site, son script est déjà en place :roll:

Joora
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 30
Enregistré le: 2 Nov 2006

Message le Ven Jan 11, 2008 10:56

Attention si tu as un script d'upload, même "sécurisé", c'est mortel...
il y a plein de failles, et c'est très difficile de faire un upload vraiment sécurisé!

Donc désactive tous les uploads, les cms et trucs du genre phpbb etc le temps de trouver le probleme...

mais maintenant qu'il a accédé a ton site il a peut être ajouté lui même des failles ailleurs dans tes pages...
ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint


Leonick
WRInaute accro
WRInaute accro
 
Messages: 22677
Enregistré le: 8 Aoû 2004

Message le Ven Jan 11, 2008 11:47

Joora a écrit:ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
sur un mutu ? j'ai des doutes

jojose
WRInaute occasionnel
WRInaute occasionnel
 
Messages: 438
Enregistré le: 5 Jan 2008

Message le Ven Jan 11, 2008 11:58

J'ai actuellement le même problème (sur un mutu ovh).
J'ai un blog wordpress. Depuis quelques jours, je retrouve le .htaccess modifié et de nouveaux repertoires/fichiers. En fait, dès qu'un visiteur vient d'un moteur de recherche, il est redirigé vers ses pages.
Que faire? J'ai renvoyé toutes les pages du site, essayez de supprimer tout ce qui était inutile, sans succès...


Leonick
WRInaute accro
WRInaute accro
 
Messages: 22677
Enregistré le: 8 Aoû 2004

Message le Ven Jan 11, 2008 12:10

tu effaces tout le contenu de ton site, tu modifies le password ftp et celui de la base de données et tu remets tous tes fichiers depuis ton serveur de test.
Ensuite, il faut restreindre les droits au strict minimum (juste ce qui est nécessaire, pas plus) pour tous les répertoires.
Et puis, surtout, si ce sont des scripts opensource, faire les dernières mise à jour de sécurité


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Ven Jan 11, 2008 12:39

C'etait quand meme un up d'avril 2007 ...

haderach
WRInaute impliqué
WRInaute impliqué
 
Messages: 870
Enregistré le: 26 Aoû 2004

Message le Ven Jan 11, 2008 14:49

J'ai résolu le problème en modifiant le password ftp de tous mes mutus...

jojose
WRInaute occasionnel
WRInaute occasionnel
 
Messages: 438
Enregistré le: 5 Jan 2008

Message le Ven Jan 11, 2008 15:24

J'ai changé le password ftp de mon mutu, sans succès. Les fichiers continuent à apparaître :(

mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Enregistré le: 14 Oct 2002

Message le Ven Jan 11, 2008 22:48

dédié corrompu.

Tu formattes tout, tu vires tous tes scripts et tu codes amoreusement tes pages php un par un


Hearty
WRInaute discret
WRInaute discret
 
Messages: 138
Enregistré le: 23 Fév 2004

Message le Ven Jan 11, 2008 22:54

mutu il a dit le monsieur ;)


hibou57
WRInaute passionné
WRInaute passionné
 
Messages: 1323
Enregistré le: 1 Nov 2006

Message le Ven Jan 11, 2008 23:08

mahefarivony a écrit:Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

Je suis pas trés versé sur la question, mais je peux confirmer que je suis régulièrement scané par des robots qui tente d'accéder à des pages d'admin inexistantes. Et c'est assez fréquent... la première fois que j'ai vu ça, je me suis dit "je n'aimerais pas être à la place des personnes qui travaillent avec les systèmes que ces robots cherche à trouver".

Darkcity
WRInaute passionné
WRInaute passionné
 
Messages: 2059
Enregistré le: 7 Juin 2007

Message le Ven Jan 11, 2008 23:27

Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.


hibou57
WRInaute passionné
WRInaute passionné
 
Messages: 1323
Enregistré le: 1 Nov 2006

Message le Sam Jan 12, 2008 0:02

Darkcity a écrit:Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.

Ce que je dis toujours ;) Oui, c'est vrai :)

Avec un système maison, le Hacker n'a aucun moyen se savoir à quoi tu tourne, ni quelle est ton architecture, etc, etc.

Et si tous le monde faisait du maison partout, ce serait différent partout, et les hackers n'auraient plus qu'à se coucher sous la couette.

Concrêtement, les faiblesses sont presque toujours dans l'archirecture du site, parce que attaquer un serveur Apache, même si c'est possible, c'est déjà moins courant que de voir l'achitecture d'un site se faire attaquer. Et l'étape au dessus, c'est d'avoir sa propre application serveur... voir pourquoi pas son propre OS.

Mais l'architecture site fait maison, c'est déjà bien.

Joora
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 30
Enregistré le: 2 Nov 2006

Message le Sam Jan 12, 2008 13:41

Leonick a écrit:
Joora a écrit:ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
sur un mutu ? j'ai des doutes


Je ne plaisante pas.
Je ne ferai pas de démonstration car ça pourrait être considéré comme du piratage, mais il faudrait que j'en parle a OVH...
Mais les formulaires de contact c'est pas top pour parler de ça...


Formation recommandée sur ce thème :

Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.

Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.