J'ai étais piraté

[hm19000]

Bonjour,

j'ai trouvé des fichiers uploadés sur un dossier

config.php.jpg
acces_log_conf.php
108.php.gif

des petites modifications dans ma base de donnée, comment savoir les dégats causés par le pirate ?

Voici les logs annormals

41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:15:31 +0200] "RETR acces_log_conf.php" 550 - 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:15:47 +0200] "RETR config.php.jpg" 550 - 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:22:35 +0200] "RETR 108.php.gif" 226 1171 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:23:27 +0200] "RETR config.php.jpg" 226 1171 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:24:03 +0200] "RETR /public_html/photo-grand/acces_log_conf.php" 550 - 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:24:12 +0200] "DELE /public_html/photo-grand/acces_log_conf.php" 550 - 
41.201.208.150 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:24:53 +0200] "RETR /public_html/photo-grand/config.php.jpg" 550 - 
41.201.254.54 UNKNOWN hm19000@douniamusic.com [30/Jun/2007:17:30:22 +0200] "RETR /public_html/photo-grand/acces_log_conf.php" 550 -

merci

 

[Ohax]

Si tu code comme tu écris... ^^


Je rigole.


Si tu veux mon conseil réinstalle ton serveur si tu es sur un dédié.
Si tu es en mutu change tous tes mots de passe (interface web, ftp, sql, mail, etc...).


Et refait une vérification.


Bien sur si tu remet ton site en ligne base toi sur une sauvegarde des fichiers du FTP et une sauvegarde SQL par principe de précaution.

 

[Meeuuuhhh]

Si tu code comme tu écris... ^^


Je rigole.

Lol j'allais le dire.

Et c'est quoi le courriel en question ?

 

[hm19000]

je suis sur un dédié

 

[Ohax]

Alors suis scrupuleusement mes conseils.


Demande une réinstallation complète du serveur.

Remet une sauvegarde complète saine en ligne.



Tu réalisais des mises à jour régulières sur ton dédié ?

 

[cthierry]

Si tu code comme tu écris... ^^


Je rigole.

Lol j'allais le dire.

Et c'est quoi le courriel en question ?

On est vraiment mauvaise langue, en voyant le titre je pensais à la même chose.

Comme le dis Ohax le mieux est de repartir sur du propre si tu n'est pas sur de ce qui a été modifié.

[hors sujet]Gaffe au fait en ce moment la mode est à l'installation d'un fichier nommé C99.php
[/hors sujet]

 

[f_trt]

Avant de ré-installer cherche dans les log la faille qui a pu faire qu'il puisse placer des fichiers. Car perso je trouve pas logique de re-installer sans savoir où est la faille et si c'est l'install propre qui a la faille aussi alors beaucoup de perte de temps pour rien.

Commence par savoir si il y a eu de nombreuses tentatives de login avant qu'il trouve le bon pour faire du ftp.

Faisais tu du sftp ?

 

[h4ni]

dans le log on retrouve photo-grand
t'a surement un script d'upload photo non securisé ! ce qui a permis au gars d'uploader son shell

 

[hm19000]

Commence par savoir si il y a eu de nombreuses tentatives de login avant qu'il trouve le bon pour faire du ftp.

Oui, j'ai trouvé dans les logs des tentatives de connection a FTP



Une autre est qu'il est possible d'executé un fichier php nommé xx.php.jpg, car comme il a dit h4ni j'ai un script pour uploader des images, puis je les valides depuis une zone admin proteger par .htaccess, l'extention des images n'est pas verifié, les images sont uploadés dans un fichier et nommés automatiquement (1.jpg,2.jpg,3.jpg).

 

[medium69]

Si Rog passe par là, tu va te faire virer toi :lol:

 

[f_trt]

Oui, j'ai trouvé dans les logs des tentatives de connection a FTP

Assez de fois pour trouver ton mot de passe (je veux dire par là ne connaissant pas ton mot de passe si il était facile à trouver ou pas)

Une autre est qu'il est possible d'executé un fichier php nommé xx.php.jpg, car comme il a dit h4ni j'ai un script pour uploader des images, puis je les valides depuis une zone admin proteger par .htaccess, l'extention des images n'est pas verifié, les images sont uploadés dans un fichier et nommés automatiquement (1.jpg,2.jpg,3.jpg).

La faille n'est pas là si je comprend ce que tu dis le fichier est renommé 1.jpg, 2.jpg... mais si ils sont dans ta zones protégés par .htaccess en attendant ils ne risquaient rien.

Autre chose tu dis que qu'un fichier.php.jpg est executé en php comment cela est-il possible c'est toi qui a modifier ta config apache pour cela ? et dans quel but ? si c'est pas toi qui a fais cela il faut trouver qui et quand la modif a été faite, il y a eu redemarrage d'apache probable.

 

[sleidia]

Je sais pas pourquoi mais ce thread me fait penser au fameux "Omar ma tuer"