Analyse des logs

Discussion dans 'Administration d'un site Web' créé par winch, 2 Mai 2011.

  1. winch
    winch WRInaute discret
    Inscrit:
    8 Mars 2007
    Messages:
    98
    J'aime reçus:
    0
    Bonjour,

    Mon serveur dédié a une faille quelque part et régulièrement j'ai des fichiers de phishing qui y sont déposés. La lecture des logs ne me parait pas simple. Avez-vous une méthode ou une bonne adresse sur la manière de s'y prendre pour analyser les logs et retrouver la faille ?

    Merci d'avance
     
  2. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 779
    J'aime reçus:
    0
    Si tu utilises Filezilla, pas la peine de lire tes logs, il te faudra simplement changer tes mots de passe FTP ;)

    Si tu connais la méthode de rajout des fichiers de phishing c'est du javascript qui commence par :
    <script..
    C'est très simple: sur ton index.php tu fermes pas ta balise php :
    <?php
    ton script php
    ?>
    <script le phishing...

    Ainsi si tu changes par :
    <?php
    ton script php

    si le script de phishing se rajoute, ta page ne fonctionnera pas, et tu éviteras ainsi de contaminer d'autres PC.
    Bon, la lecture de logs reste assez complexe si tu ne sais pas quoi chercher, ce qui est sûr c'est que ça demande du temps.
     
  3. winch
    winch WRInaute discret
    Inscrit:
    8 Mars 2007
    Messages:
    98
    J'aime reçus:
    0
    Sur ce serveur j'ai une cinquantaine de sites, des vieux, des récents, des gros, des petits... Enfin, c'est un peu l'aiguille dans la bote de foin. Pas de problème du côté FTP.
    Pour commencer j'ai les fichiers logs d'un domaine qui s'est fait hacker aujourd'hui. je retrouve bien les ligne d'accès aux fameux fichier de phishing et il y en a pas mal 17 500. Sachant que la faille n'est pas forcément sur ce domaine comment avancer ? Que rechercher ?
     
  4. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 417
    J'aime reçus:
    0
    de toutes façons, tu as un problème de sécurité : soit au niveau ftp, soit au niveau de formulaires (surtout d'upload, du genre pas de vérification du type du fichier et on envoie autre chose qu'une image,...), soit au niveau de tes scripts trop permissifs.
     
  5. Ottis
    Ottis WRInaute discret
    Inscrit:
    2 Mars 2010
    Messages:
    57
    J'aime reçus:
    0
    @Julia41

    Vous pouvez mettre ceci autrement :

    Code:
    return;
    ?>
    Tout code après le return (php ou autre) sera ignoré. C'est ce que je fais perso car je préfère toujours fermer une balise ouverte, bien que ne pas la fermer n'est pas faux non plus car il n'y a pas vraiment de spécification claire à ce sujet.
     
  6. forty
    forty WRInaute passionné
    Inscrit:
    30 Octobre 2008
    Messages:
    1 929
    J'aime reçus:
    0
    commence déjà par mettre à jour tes scripts dont le code est accessible à tous style wordpress, joomla, ... La faille est peut-être dans l'un d'eux si tu en as.

    C'est peut-être aussi ta config apache qui n'est pas optimale. J'ai ça dans mon htaccess pour limiter les risques :
    Code:
    SetEnv REGISTER_GLOBALS 0
    SetEnv ALLOW_URL_FOPEN 1
    SetEnv ALLOW_URL_INCLUDE 0
    SetEnv MAGIC_QUOTES 0
     
  7. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 779
    J'aime reçus:
    0
    Il va falloir faire un peu de découpe.
    Tu as déjà l'heure d'accès à ce fichier de phishing.
    Donc le problème est arrivé *avant*.
    Si tu as un POST dans tes logs HTTPD, ou alors un ?url=une url bizarre.
    Ca pourrait venir de là.

    Bon, après il faut tout de même nettoyer.
    Si c'est un site à fort traffic, ça demande pas mal de temps de trouver en effet.
     
  8. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Comme déjà dit, commence par updater tout ce qu'il faut, en particulier le CMS et tous les modules qui vont avec.

    Ensuite, regarder le log des transferts FTP (xferlog). Ca passe souvent bêtement par là, en particulier si tu as des passwords un peu faibles. Elimine les requêtes depuis ton/tes adresses IP, tu verras ce qu'il reste. Ou tu peux directement chercher le fichier infecté dans le log.

    Si ce n'est pas par là, alors il y a probablement une faille dans une appli http. Regarde la date de création/modification des fichiers infectés, et cherche dans tes logs ce qui s'est passé à cette heure-là...

    Jacques.
     
Chargement...
Similar Threads - Analyse logs Forum Date
Analyse de logs : Crawl Googlebot sur URLs avec paramètres de tracking Crawl et indexation Google, sitemaps 3 Avril 2015
Mon logiciel perso d'analyse de logs Demandes d'avis et de conseils sur vos sites 21 Octobre 2014
Analyse de logs visite web et recherche google Administration d'un site Web 17 Octobre 2014
Outils pour voir et analyser les logs des crawls de Google Crawl et indexation Google, sitemaps 8 Avril 2013
Analyse des logs Administration d'un site Web 30 Mai 2011
PB de lecture des logs pour analyser le crawl Débuter en référencement 27 Mai 2011
Question SEO après analyse SEMRUSH Débuter en référencement 16 Novembre 2019
Comment analyser et monétiser le Trafic Adblock ! Monétisation d'un site web 9 Octobre 2019
Astuce Quel est le meilleur outil pour un l'analyse SEO d'un site? Débuter en référencement 27 Septembre 2019
Besoin d'aide pour comprendre mon Analyse Dareboost Débuter en référencement 24 Août 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice