OVH : site hacké

[haderach]

Bonjour,

Je cherche a protéger des hébergements chez OVH.
En effet, depuis quelques jours un hacker à installé un répertoire sur plusieurs de mes hébergements.
J'ai mis à jour très récemment les CMS que j'utilisait, mais un des hébergements a été hacké sans la présence d'un CMS.

Comment puis-je faire pour protéger ses hébergements.

Le hack était constitué d'un répertoire dans lequel il y avait des fichiers php orienté phishing ebay...

Merci d'avance

 

[sureau]

Vérifie les droits dans tes repertoires, vérifier les logs pour voir si il est passé par le site ou par ton webmin.
Placer des htaccess dans les répertoires (et des index.html) et surtout bien conserver tous les logs pour te défendre si jamais le site de pishing a eu des personnes.

(Enfin je controle régulièrement les courbes MRTG pour deceler une activité anormale (les sites de pishing envoyant souvent beaucoup de mail en continu depuis ton serveur)

 

[Suede]

Trouve avant tout par ou il est passé.
Ca peut etre en dehors du site (awstat par exemple)

 

[shelcko]

C'est quel CMS car je sais qu'il y a des h4cker turcs qui sévissent sur mambo en ce moment :evil:

 

[Jonna]

C'est un dédié que tu as ?

Si c'est un dédié moi je préfèrerais faire une ré-installation.

Savoir par ou il est passé c'est une chose bonne à savoir.

Mais savoir ce qu'il a laissé sur ta machine c'est autre chose ?

 

[haderach]

En fait, mon problème est que je ne sais pas par où il est passé pour installé ses scripts. Je ne suis donc pas à l'abri d'une nouvelle attaque...

J'ai donc besoin de pistes...

 

[mahefarivony]

Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

- récupération de mots de passe
- installation de fichiers étrangers

etc.

Donc premiere chose a faire : .htaccess/password sur tout leS répertoireS d'admin.

Bonne chance

 

[haderach]

Le site a été hacké de nouveau ce week end. (c'est un mutualisé)

Aucun CMS de la toile (le site est constitué de pages php formulaires etc...). Dans les logs aucune adresse particulière pour détourner l'utilisation des formulaires. Mots de passes FTP et manager o*vh modifié.

La seul parade pour le moment est de mettre à jour le htaccess pour faire pointer les adresses appelées sur une autre page....

Si vous avez des idées concernant la sécurité pour les mutualisés je suis preneur.

Un autre site ayant un blog dotclear a également été hacké. Là j'ai fait les mêmes actions et viré le blog... Sans effet. Quelques heures plus tard le hackeur avait ré-installé ses mer**des

 

[Leonick]

la solution, tu supprimes tout le site via ftp et tu remets à jour à partir de ton site de développement.
Tu sécurises l'accès à tous les répertoires d'admin avec htaccess et tu vérifies tous tes includes, formulaires d'upload, etc...
Après ça devrait aller mieux.
Car là, il est fortement possible qu'il ait déjà uploadé un script php ou cgi sur ton serveur et même si tu blindes ton site, son script est déjà en place :roll:

 

[Joora]

Attention si tu as un script d'upload, même "sécurisé", c'est mortel...
il y a plein de failles, et c'est très difficile de faire un upload vraiment sécurisé!

Donc désactive tous les uploads, les cms et trucs du genre phpbb etc le temps de trouver le probleme...

mais maintenant qu'il a accédé a ton site il a peut être ajouté lui même des failles ailleurs dans tes pages...
ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint

 

[Leonick]

ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint

sur un mutu ? j'ai des doutes

 

[jojose]

J'ai actuellement le même problème (sur un mutu ovh).
J'ai un blog wordpress. Depuis quelques jours, je retrouve le .htaccess modifié et de nouveaux repertoires/fichiers. En fait, dès qu'un visiteur vient d'un moteur de recherche, il est redirigé vers ses pages.
Que faire? J'ai renvoyé toutes les pages du site, essayez de supprimer tout ce qui était inutile, sans succès...

 

[Leonick]

tu effaces tout le contenu de ton site, tu modifies le password ftp et celui de la base de données et tu remets tous tes fichiers depuis ton serveur de test.
Ensuite, il faut restreindre les droits au strict minimum (juste ce qui est nécessaire, pas plus) pour tous les répertoires.
Et puis, surtout, si ce sont des scripts opensource, faire les dernières mise à jour de sécurité

 

[Suede]

C'etait quand meme un up d'avril 2007 ...

 

[haderach]

J'ai résolu le problème en modifiant le password ftp de tous mes mutus...

 

[jojose]

J'ai changé le password ftp de mon mutu, sans succès. Les fichiers continuent à apparaître

 

[mahefarivony]

dédié corrompu.

Tu formattes tout, tu vires tous tes scripts et tu codes amoreusement tes pages php un par un

 

[Hearty]

mutu il a dit le monsieur

 

[hibou57]

Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

Je suis pas trés versé sur la question, mais je peux confirmer que je suis régulièrement scané par des robots qui tente d'accéder à des pages d'admin inexistantes. Et c'est assez fréquent... la première fois que j'ai vu ça, je me suis dit "je n'aimerais pas être à la place des personnes qui travaillent avec les systèmes que ces robots cherche à trouver".

 

[Darkcity]

Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.

 

[hibou57]

Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.

Ce que je dis toujours Oui, c'est vrai

Avec un système maison, le Hacker n'a aucun moyen se savoir à quoi tu tourne, ni quelle est ton architecture, etc, etc.

Et si tous le monde faisait du maison partout, ce serait différent partout, et les hackers n'auraient plus qu'à se coucher sous la couette.

Concrêtement, les faiblesses sont presque toujours dans l'archirecture du site, parce que attaquer un serveur Apache, même si c'est possible, c'est déjà moins courant que de voir l'achitecture d'un site se faire attaquer. Et l'étape au dessus, c'est d'avoir sa propre application serveur... voir pourquoi pas son propre OS.

Mais l'architecture site fait maison, c'est déjà bien.

 

[Joora]

ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint

sur un mutu ? j'ai des doutes

Je ne plaisante pas.
Je ne ferai pas de démonstration car ça pourrait être considéré comme du piratage, mais il faudrait que j'en parle a OVH...
Mais les formulaires de contact c'est pas top pour parler de ça...