Hack : modification du htaccess et ajout de dossier

[jojose]

Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée?

 

[Koxin-L]

code toi même ton blog, t'auras plus de soucis...

 

[jojose]

Ce n'est pas à la portée de tous. Et ça ne régle malheureusement pas mon problème

 

[Serious]

Tu as bien la derniere version?
Est-ce que tu as des adjuvants (plugins)?

 

[bozoleclown]

adjuvants (plugins)?

greffons ? :arrow:

 

[jcaron]

Bonjour
J'ai un blog wordpress sur un mutualisé OVH. Je n'ai que ça sur mon FTP, et je me fais hacké régulièrement : il modifie le htaccess et ajoute un dossier dans mon ftp pour rediriger tous les visiteurs provenant des moteurs de recherche vers ce dossier, où il y a divers liens.
Comment fait il? J'ai modifié les mots de pass de mon FTP et de la bdd et réuploadé tous les fichiers wordpress (qui est bien mis à jour), mais sans succès...
Quelqu'un aurait il une idée?

Cherche dans tes logs pour voir s'il y a des choses louches?

Jacques.

 

[jojose]

La dernière version oui. Quelques plugins eux aussi à la dernière version.

 

[muelsaco]

Désolé de resortir ce sujet/de répondre si tardivement mais j'ai eu le même problème.
Je suis également sur un mutualisé d'OVH (90plan).

Je présente exactement les mêmes symptômes mais tout mon site est coder par mes propres mains.
Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture. J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker qui malheureusement changent tout le temps et certaines renvoient sur un site d'une langue inconnu : europe de l'est je dirais (surement un proxy).

Dans un premier temps j'ai supprimé les dossiers/textes ajoutés dans le htacces mais rien de concluant.
Je l'ai ensuite contrer longtemps en feintant le htaccess : en ajoutant à la dernière ligne une condition infaisable (vu que part la suite il récrit dedans). Mais maintenant il s'amuse à écrire sa condition un peut n'importe où dans le htaccess et du coup il me fait planter tout le site régulièrement.

Le fait de pouvoir écrire sur un dossier en protection d'écriture mais laisse douter sur son origine... un vers chez OVH? (bien que j'en doute).

 

[jcaron]

Il arrive à écrire dans des dossiers qui n'ont pas le droit d'écriture.

Euh, ne pas avoir de droit d'écriture sur un dossier ça veut dire qu'on ne peut pas créer de fichier dedans, ça ne veut pas dire qu'on ne peut pas écrire dans des fichiers qui sont déjà dedans. Il faut vérifier les droits sur le .htaccess lui-même...

J'ai vérifier les logs apaches et j'ai trouvé les ips du hacker

Ca veut dire que tu as trouvé comment il fait alors, logiquement? Probablement un petit peu d'injection de code tout bêtement, non?

Jacques.

 

[muelsaco]

Je vais expliquer tout ce que j'ai compris de sa méthode de hack :
Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci). Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).
Ce fichier php (qui a généralement un drôle de nom) effectue, pour simplifier, un eval d'un fichier posté en http.
Je suppose donc que je code du fichier posté en http permet donc de modifier le htaccess et de s'adapter à la situation.
A noter qu'il créé également un dossier qui contiendra la page de contournement lorsqu'un visiteur arrive depuis un moteur de recherche.

Les logs apaches m'ont juste permis de voir l'heure à laquelle il a éxécuté le fichier php indésirable sur l'hébergement. Mais vu que l'ip change tout le temps je n'ai pas pu remonter plus loin et voir qu'elle page du site il a visiter (anfin de trouver une éventuelle faille sur mon site).

Il semblerait que cette méthode de hack ce développe de plus en plus.

 

[jcaron]

Il écris un fichier php sur l'hébergement (seul point que je n'ai pas éclairci).

En regardant l'heure à laquelle ce fichier a été créé, tu dois pouvoir trouver dans tes logs comment il a été créé, non?

Ce fichier est écris dans un dossier qui n'a pas les droits d'écritures (donc il a pas pu être écris en php via une faille du site).

C'est quoi exactement les droits sur le dossier (r-xr-xr-x?, propriétaire, groupe) et sur le fichier créé (propriétaire et groupe principalement)?

Ton Apache il tourne sous quel user? Tu as quoi d'autre sur comme serveurs sur cette machine? FTP, SMTP, POP, IMAP, IRC, mysql...?

EDIT: flûte, c'est un mutualisé, donc il y a beaucoup de choses complètement hors de ton contrôle (voire de ta visibilité)

Jacques.

 

[muelsaco]

Pas bête du tout pour l'heure de création du fichier ! Je regarderais la prochaine fois qu'il se créé (car je l'avais supprimé).

Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).
Mais le fichier créé n'est pas toujours dans www (un peu embêtant pour le retrouver d'ailleurs).

 

[jcaron]

Sinon le dossier (c'est le www) a pour chmod 705 ( rwx---r-x ) et le htacces 644 ( rw-r--r-- ) (qui est directement dans www).

L'un comme l'autre sont accessibles en écriture par l'utilisateur qui les possède (vraisemblablement celui du process apache), donc il n'y a vraiment rien qui nous dise que ce n'est pas un bug au niveau du code dans les applis web (très probablement une mauvaise protection contre de l'injection de code quelque part).

Jacques.

 

[jojose]

muelsaco, on a visiblement exactement le même problème.
Parcours tes dossiers et vois s'il n'a pas ajouté de fichier. J'ai retrouvé un de ces fichiers dans mon dossier photos bien planqué, peut-être par là qu'il agissait. Mais je n'arrive toujours pas à comprendre où est la faille.

 

[muelsaco]

Oui les fichiers il les créé n'importe où sur l'hébergement.
Je suis entrain de bosser sur les logs et je peux trouver énormément d'ips (qui changent en même pas 1mn) :
195.117.159.226
202.153.26.3
202.162.34.211
catv77026.tac-net.ne.jp
mx.andromeda.e-ducativa.com
200.72.204.156
163.19.8.4
64.34.166.175

Ces ips sont des proxy et il ne fait pas 2 actions avec la même ip... Si tu mettais les tiennes on pourrait les croisées et avec un peu de chance trouver l'origine de la faille.
Dis moi si tu ne sais pas comment aller voir tes logs que je te l'explique.

 

[jojose]

Enlève les ips sinon ça va gronder sinon.
Ajoute t'il un dossier /ojib/ ? Chez moi c'est le nom du dossier, c'est peut etre le même.
Les logs sur ovh, on les consulte où? Comment repérer le moment où il ajoute ses fichiers?