Site malveillant : comment corriger la faille ?

[milkiway]

Bonjour,

Google WMT m'a informé qu'un de mes sites redirigeait vers un site malveillant et a bloqué un de mes sites.
J'ai trouvé l'origine : le "pirate" a carrément modifié mon htaccess pour faire une redirection globale (301 s'il vous plait).

J'ai supprimé les lignes mais comment savoir comment il s'y est pris et donc comment corriger la faille ?
Merci

PS : je suis sur un dédié

[UsagiYojimbo]

Examiner tes logs FTP (et serveur). Te rencarder sur les failles connues du CMS utilisé.

[zeb]

Et pour pas fouiller les logs sur trois kilomètres noter l'heure de modification du htaccess hacké pour chercher plus vite a la bonne heure.

Sinon commencer par nettoyer les machines qui se connectent sur le serveur (en premier)
Changer les pass serveur.
Utiliser SFTP pour éviter le reniflage. idem pour SSH.
Patcher tous les trucs genre open source (pour la partie web)
mettre a jour les softs serveurs.

Il y a pas mal d'histoire comme ça chez OVH en ce moment c'est chez eux ?

[milkiway]

Oui OVH.
Merci pour les pistes.

[rikew]

Je dirait aussi installer un part feu et autoriser uniquement ton ip (+ ip de secours) sur les ports que tu utilisent : ftp, ssh, webmin, phpmyadmin (on peut le placer sur un port) etc ...

Fouiller de fonds en comble ton arbo (même les sous-sous-sous rep). Il se peut qu'il y ai des backdoors et en général elles sont bien cachées.

[milkiway]

Je dirait aussi installer un part feu et autoriser uniquement ton ip (+ ip de secours) sur les ports que tu utilisent : ftp, ssh, webmin, phpmyadmin (on peut le placer sur un port) etc ...

Merci.

Un tuto quelque part pour ça ?

[zeb]

c'est bizarre ce truc des détournements de trafic via htaccess chez OVH. ça commence a faire beaucoup de cas sur un unique fournisseur (ou alors j'ai pas remarqué les autres). J'en suis a 4 constats cette semaine.

Si tu as un copie du htaccess torpillé peut tu en poster une copie pour voir si c'est le même truc que j'ai vue ailleurs cette semaine ?

Je me pose 2 questions :
1/ est ce que OVH aurait un souci (mais là je doute)
2/ est que c'est une intervention type "petit" margoulin avec toujours le même code ou un truc individuel a chaque fois.

Sinon dans au moins un cas il semble que ce soit un phpBB qui ai ouvert la porte.

[milkiway]

C'est p-e du à la distrib que j'utilise.
Je te MP le htaccess (partie vérolée).

[hebergeur-images]

Mort de rire ; je me suis auto piraté ! j'utilise pas apache mais lighttpd et je verrouille tout, pas execution root ; etc.... enfin les bases. tout ce qui est exotique est hors web (exemple hors htdocs).

J'a fait oune connerie j'ai envoyé plusieurs millions de liens 404 sur un de mes anciens domaines en code 301 et boom ; en 48 heures youhou ce site est dangereux <============= dommage qu'il est^pas jaune ce smileys =>>>>>>> celui là aussi

Bon, moi google, ça fait 7 ans que je le pratique, j'ai toujours était loyal en referencement et je vais pas me faire e mmerder par gogole longtemps avec sont algo qui change tout le temps. De plus, l'utilisateur, car moi aussi je suis un utilisateur comme tout le monde et pas qu'un webmaster qui veut ce faire plaisir ; leur connerie de parano ben ça me fait #àù*$

Donc pour vos htaccess je vous recommande de le verrouiller hardcore avec la commande chattr +i pour les GNU/Linuxien ou bsd ou autre. C'est plus violent que chmod. Et surtout pitié pas de chmod 777 pour les appli réseau ; ya pas besoin ; un serveur httpd à son propre group et user (exemple www-data) donc si vous souhaitez ecrire sur un dossier : je vous recommande la commande chown www-data:www-data ça donne le même résultat avec des trou en moins ; et biensur créer un utilisateur bidon limité et interdir root à se connecter via ssh ou autre truc boultikistanais.

Ce ne sont que des suggestions ; faites des recherches sur mon copain googleeeeeeeeeeeeeeeeeeeee haaaaaaaaaaaaaaaaaaaaa


Et content de vous retrouvez ex miragedemonash qui a perdu son mot de passe son mail et tout. sa femme, son gosse, et qui péte les plombs.


http://www.youtube.com/watch?v=quo2v9nIA_g

[hebergeur-images]

faites également vos mises à jour appli sys et reseaux et toutes la distribution ; et si vous êtes fainéant (fénéant bon je sais pas ecrire) utilisé debian avec paquet debian et soyez sur de vos sources.

en une ligne tout est à jour :

aptitude update && aptitude dist-upgrade

comme ça même le noyaux linux est à jour niveau sécu.

Et pitié ! vos scripts côté serveur à jour ! c'est par vos variables que les lamers passent le plus souvent ! genre php couplé sql et modifie vos confs ! voir déface ! même sivit avant nerim c'est fait hacker sur leur harchi mutualisé..... tout le monde est en danger / c'est la guerre sur la Toile

[Marie-Aude]

Bonjour,

Google WMT m'a informé qu'un de mes sites redirigeait vers un site malveillant et a bloqué un de mes sites.
J'ai trouvé l'origine : le "pirate" a carrément modifié mon htaccess pour faire une redirection globale (301 s'il vous plait).

J'ai supprimé les lignes mais comment savoir comment il s'y est pris et donc comment corriger la faille ?
Merci

PS : je suis sur un dédié

ouai apparemment ce sont les 301 massifs qui cause beaucoup de problème. Toi tu t'es fait pirater / et moi j'ai redirigé des millions de page sur metatoile.com en code 301 et boom en 48 heures : faux positif parce que j'ai pas de badware chez moi:

Avertissement- Attention, l'accès à ce site risque d'endommager votre ordinateur.

j'ai donc expliqué à google le problème et apparemment je n'est plus ce message sur deux réseaux wan differents avec firefox / chrome / etc.... et bien sûr google.fr (si quelqu'un peut m'aider à confirmer)

Je te conseille de suivre mes explications ci-dessus pour que tu n'aies plus ce problème ; sinon tu vas te refaire infiltrer en boucle.

Je peux faire un article si mes explications ne sont pas précises sur demande et plus clair sur WRI pour la sécu des appli réseaux et systèmes de la famille unix. Pour aider. Car ça va être la misère niveau SEO. Même moi je flippe un peu, est pourtant la sécurité des systèmes de données et réseaux sur la Toile je la pratique en tant que professionnel ; mais on à toujours meilleurs que soit.

[hebergeur-images]

Je dirait aussi installer un part feu et autoriser uniquement ton ip (+ ip de secours) sur les ports que tu utilisent : ftp, ssh, webmin, phpmyadmin (on peut le placer sur un port) etc ...

Merci.

Un tuto quelque part pour ça ?

http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html

A adapter en fonction de la distribution sur noyau linux / mais c'est kifkif

[hebergeur-images]

ou plus simple :

iptables -A INPUT -s 82.238.11.2 -d 188.165.52.25 -p tcp --dport 22 -j ACCEPT

-s filtrage ip source : toi -d destination tout le reste poubelle / Mais !!!! les pirates font de l'usurpation ip et c'est pas sécu 100%

Enfin un autre tuto :

http://www.admin-debian.com/securite/commandes-iptables/


Et le seul moyen d'arrêter un vrai pirate ; c'est de couper le cordon rj 45

[milkiway]

Merci j'ai trouvé bien plus simple j'ai modifié un fichier pour n'autoriser que mon ip sur le SSH.

La faille n'était pas là de toutes façons mais au niveau de ZenPhoto, que j'ai dégagé.

Merci en tout cas.