Serveur web piraté

[nicocolt]

Bonsoir,

J'ai un serveur web contenant plusieurs domaines qui s'est fait piraté. Un script .zip a été uploadé et déploie un site poiur faire du phishing. Avez-vous déjà rencontré ce mode opératoire ? Sauriez-vous m'aiguiller sur le point d'entrée éventuel ?

J'imagine que c'est un site qui est défaillant, mais je ne sais pas comment faire pour les "tester"

Merci beaucoup pour votre aide.

N /

 

[Axiso]

Ce sera très difficile de t'aider sans connaître les sites ou les scripts utilisés.
Essaie de détecter ceux qui ne sont pas à jour. Essaie un audit dans le genre de Snort (enfin je crois, ça fait pas mal de temps que je l'ai utilisé). Ou demande à quelqu'un de te faire cet audit.

 

[nicocolt]

Merci pour ta réponse.

Je dois être en mesure de pouvoir auditer le serveur, mais comme il existe tellement d'outils, je ne sais pas lequel utiliser. Tu m'as parlé de Snort, je vais essayer de regarder cet outil. Si jamais tu en connais d'autres je suis preneur.

Merci beaucoup !
N /

 

[nicocolt]

J'ai étudier snort, ça à l'air vraiment puissant. Je vais essayer de voir pour l'installer sur un reverse proxy en frontal du serveur web, afin de ne pas en modifier la conf.

Je vais donc pour cela installer un Apache en RP, Snort, Bind pour faire pointer les domaines sur le RP à la place sur serveur web, et je vais essayer d'analyser les trames suspectes.

Merci
N /

 

[Bool]

Hello,

tu peux déjà essayer de te baser sur les dates de modification des fichiers & dossiers, pour détecter ce qui a été modifié récemment. Idem avec les propriétaires des fichiers (selon la conf du serveur).
Ensuite, tu peux regarder les logs FTP ou SFTP, pour voir si quelqu'un d'autre que toi s'est connecté.

Bien entendu, selon le niveau d'accès du gars, il peut avoir effacé toutes ces traces.

 

[nicocolt]

Hello,

Merci de ta réponse.

Je vois dans les logs Apache des trucs du genre:
[08/Dec/2013:11:09:35 +0100] "GET / HTTP/1.1" 200 3064 "http://domain.tld/" "Mozilla/0.6 Beta (Windows)"

domaine.tld ne m'appartenant pas, comment, à partir d'un GET / sur mondomaine.com, j'arrive à voir http://domain.tld/ ?

Comment a-t-il pu faire cela ?

Merci
N /

 

[Bool]

Rien d'anormal à ça : il suffit que ce soit un domaine abandonné, et qui pointait avant sur la même IP. Ou bien encore un robot qui cherche à «spammer» tes referer.

 

[nicocolt]

En effet oui.

Bon j'ai pas mal avancé et j'ai trouvé des reverse shell php. Ils ont donc été uploadé je ne sais pas trop comment. Il y a pas mal de formulaire sur mes sites, peut-être que le pirate est passé par là, mais je vois pas trop comment il aurait pu à partir d'un champ texte écrire une commande permettant d'uploader un fichier. Vous pensez que c'est possible ? Si oui auriez-vous un exemple que je puisse tester sur mes sites ?

Merci,
N /

 

[Bool]

Oui c'est complètement possible, mais ça dépend de ton code, je n'aurais guère d'exemple à te donner.

Du coup autre approche : tu prends la date/heure de création d'un de ces «reverse shell php», la date exacte telle que le serveur l'entend, pas quelque chose interprétée par FileZilla.
Ensuite tu regardes dans les logs Apache ce que tu as comme accès au même instant (à plus ou moins 1 seconde on va dire).
Si tu as plusieurs «reverse shell» du genre, en recoupant avec les logs tu devrais rapidement trouver la ou les failles.

À noter en passant que Clamav n'est pas mauvais pour détecter ces cochonneries, ce qui pourrait te faciliter le nettoyage du site.

 

[werthers]

Tu peux aussi tout simplement changer tous tes mots de passe (FTP, SQL, managers du FAI, Wordpress/Joomla/etc ...).
Car s'il y avait une porte ouverte, mieux vaut la fermer de toute urgence !

 

[nicocolt]

Merci,

J'ai réussi à uploader un shell par un formulaire. Je peux maintenant corriger. Par ailleurs oui j'ai changé tous les mots de passe, c'est ce que j'avais fait en premier

Merci beaucoup pour votre aide.

N /