|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
jojose
WRInaute impliqué
Inscrit le: 05 Jan 2008
Messages: 340
|
 Posté le : Jeu Jan 17, 2008 19:46 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée? |
|
| |
|
 |
Koxin-L
WRInaute accro
Inscrit le: 29 Mar 2007
Messages: 1926
|
| Posté le : Jeu Jan 17, 2008 19:54 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| code toi même ton blog, t'auras plus de soucis... |
|
| |
|
|
jojose
WRInaute impliqué
Inscrit le: 05 Jan 2008
Messages: 340
|
| Posté le : Jeu Jan 17, 2008 20:05 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Ce n'est pas à la portée de tous. Et ça ne régle malheureusement pas mon problème  |
|
| |
|
|
Serious
WRInaute accro
Inscrit le: 21 Nov 2005
Messages: 2437
|
| Posté le : Jeu Jan 17, 2008 20:18 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Tu as bien la derniere version?
Est-ce que tu as des adjuvants (plugins)? |
|
| |
|
|
bozoleclown
WRInaute passionné
Inscrit le: 24 Nov 2005
Messages: 780
Localisation: Paris, France
|
| Posté le : Jeu Jan 17, 2008 20:21 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| Serious a écrit: |
| adjuvants (plugins)? |
greffons ?  |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 484
Localisation: Paris
|
| Posté le : Jeu Jan 17, 2008 20:22 Sujet du message: Re: Hack : modification du htaccess et ajout de dossier |
|
|
| jojose a écrit: |
Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée? |
Cherche dans tes logs pour voir s'il y a des choses louches?
Jacques. |
|
| |
|
|
jojose
WRInaute impliqué
Inscrit le: 05 Jan 2008
Messages: 340
|
| Posté le : Jeu Jan 17, 2008 20:23 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| La dernière version oui. Quelques plugins eux aussi à la dernière version. |
|
| |
|
|
muelsaco
WRInaute occasionnel
Inscrit le: 19 Jan 2006
Messages: 128
|
| Posté le : Dim Jan 20, 2008 1:38 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Désolé de resortir ce sujet/de répondre si tardivement mais j'ai eu le même problème.
Je suis également sur un mutualisé d'OVH (90plan).
Je présente exactement les mêmes symptômes mais tout mon site est coder par mes propres mains.
Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture. J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker qui malheureusement changent tout le temps et certaines renvoient sur un site d'une langue inconnu : europe de l'est je dirais (surement un proxy).
Dans un premier temps j'ai supprimé les dossiers/textes ajoutés dans le htacces mais rien de concluant.
Je l'ai ensuite contrer longtemps en feintant le htaccess : en ajoutant à la dernière ligne une condition infaisable (vu que part la suite il récrit dedans). Mais maintenant il s'amuse à écrire sa condition un peut n'importe où dans le htaccess et du coup il me fait planter tout le site régulièrement.
Le fait de pouvoir écrire sur un dossier en protection d'écriture mais laisse douter sur son origine... un vers chez OVH? (bien que j'en doute). |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 484
Localisation: Paris
|
| Posté le : Dim Jan 20, 2008 2:12 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| muelsaco a écrit: |
| Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture. |
Euh, ne pas avoir de droit d'écriture sur un dossier ça veut dire qu'on ne peut pas créer de fichier dedans, ça ne veut pas dire qu'on ne peut pas écrire dans des fichiers qui sont déjà dedans. Il faut vérifier les droits sur le .htaccess lui-même...
| muelsaco a écrit: |
| J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker |
Ca veut dire que tu as trouvé comment il fait alors, logiquement? Probablement un petit peu d'injection de code tout bêtement, non?
Jacques. |
|
| |
|
|
muelsaco
WRInaute occasionnel
Inscrit le: 19 Jan 2006
Messages: 128
|
| Posté le : Dim Jan 20, 2008 13:43 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Je vais expliquer tout ce que j'ai compris de sa méthode de hack :
Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci). Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).
Ce fichier php (qui a généralement un drôle de nom) effectue, pour simplifier, un eval d'un fichier posté en http.
Je suppose donc que je code du fichier posté en http permet donc de modifier le htaccess et de s'adapter à la situation.
A noter qu'il créé également un dossier qui contiendra la page de contournement lorsqu'un visiteur arrive depuis un moteur de recherche.
Les logs apaches m'ont juste permis de voir l'heure à laquelle il a éxécuté le fichier php indésirable sur l'hébergement. Mais vu que l'ip change tout le temps je n'ai pas pu remonter plus loin et voir qu'elle page du site il a visiter (anfin de trouver une éventuelle faille sur mon site).
Il semblerait que cette méthode de hack ce développe de plus en plus. |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 484
Localisation: Paris
|
| Posté le : Dim Jan 20, 2008 14:16 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| muelsaco a écrit: |
| Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci). |
En regardant l'heure à laquelle ce fichier a été créé, tu dois pouvoir trouver dans tes logs comment il a été créé, non?
| muelsaco a écrit: |
| Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site). |
C'est quoi exactement les droits sur le dossier (r-xr-xr-x?, propriétaire, groupe) et sur le fichier créé (propriétaire et groupe principalement)?
Ton Apache il tourne sous quel user? Tu as quoi d'autre sur comme serveurs sur cette machine? FTP, SMTP, POP, IMAP, IRC, mysql...?
EDIT: flûte, c'est un mutualisé, donc il y a beaucoup de choses complètement hors de ton contrôle (voire de ta visibilité)
Jacques. |
|
| |
|
|
muelsaco
WRInaute occasionnel
Inscrit le: 19 Jan 2006
Messages: 128
|
| Posté le : Dim Jan 20, 2008 15:11 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Pas bête du tout pour l'heure de création du fichier ! Je regarderais la prochaine fois qu'il se créé (car je l'avais supprimé).
Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).
Mais le fichier créé n'est pas toujours dans www (un peu embêtant pour le retrouver d'ailleurs). |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 484
Localisation: Paris
|
| Posté le : Dim Jan 20, 2008 15:16 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
| muelsaco a écrit: |
| Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www). |
L'un comme l'autre sont accessibles en écriture par l'utilisateur qui les possède (vraisemblablement celui du process apache), donc il n'y a vraiment rien qui nous dise que ce n'est pas un bug au niveau du code dans les applis web (très probablement une mauvaise protection contre de l'injection de code quelque part).
Jacques. |
|
| |
|
|
jojose
WRInaute impliqué
Inscrit le: 05 Jan 2008
Messages: 340
|
| Posté le : Dim Jan 20, 2008 15:31 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
muelsaco, on a visiblement exactement le même problème.
Parcours tes dossiers et vois s'il n'a pas ajouté de fichier. J'ai retrouvé un de ces fichiers dans mon dossier photos bien planqué, peut-être par là qu'il agissait. Mais je n'arrive toujours pas à comprendre où est la faille. |
|
| |
|
|
muelsaco
WRInaute occasionnel
Inscrit le: 19 Jan 2006
Messages: 128
|
| Posté le : Dim Jan 20, 2008 19:17 Sujet du message: Hack : modification du htaccess et ajout de dossier |
|
|
Oui les fichiers il les créé n'importe où sur l'hébergement.
Je suis entrain de bosser sur les logs et je peux trouver énormément d'ips (qui changent en même pas 1mn) :
195.117.159.226
202.153.26.3
202.162.34.211
catv77026.tac-net.ne.jp
mx.andromeda.e-ducativa.com
200.72.204.156
163.19.8.4
64.34.166.175
Ces ips sont des proxy et il ne fait pas 2 actions avec la même ip... Si tu mettais les tiennes on pourrait les croisées et avec un peu de chance trouver l'origine de la faille.
Dis moi si tu ne sais pas comment aller voir tes logs que je te l'explique. |
|
| |
|
|
| |
|
|
