Malware S.Susp.PHP.gen...

Discussion dans 'Administration d'un site Web' créé par ortolojf, 15 Juillet 2021.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 399
    J'aime reçus:
    25
    Bonjour

    Finalement, Google pense que mon site est piraté.

    Un Monsieur de GoogIe Community m'a donné une url de rapport détaillé de malware par rapport à mon site.

    Le malware est théoriquement : S.Susp.PHP.gen

    Toutes les urls indiquées dans le rapport, ne correspondent à rien de connu, et elles redirigent correctement en 301 vers des pages existantes.

    Le rapport m'attribue Wordpress, alors que mon site n' a jamais eu aucun CMS.

    Le Monsieur me suggère de vérifier si aucun de mes scripts n'a de liens vers des urls du rapport.

    Exemples d'urls :

    /php/courses_actuellesn ou n est un nombre entier entre 1 et 11.

    Ils sortent d'où ces acrobates ?

    Que faire ?

    Le Monsieur prétend que la dernière vérification date de ce matin.

    ?

    Merci beaucoup de votre aide.

    Amicalement.
     
  2. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 399
    J'aime reçus:
    25
    Pardon

    Un coup de rkhunter me détecte le classique xorddos.

    Comment m'en débarrasser ?

    Merci beaucoup.
     
  3. cthierry
    cthierry WRInaute passionné
    Inscrit:
    15 Janvier 2005
    Messages:
    2 305
    J'aime reçus:
    63
  4. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 399
    J'aime reçus:
    25
    Bonjour cthierry

    rkhunter me signale seulement le fichier /var/run/udev.pid

    Ce fichier a un pid inexistant.

    D'autre part, systemctl n'a jamais marché sur mon vps de Gravelines ( 8 Go RAM, 160 Go SSD ), que j'avais loué après l'incendie de Strasbourg.

    Je fonctionne avec /etc/init.d/ pour les démarrages/arrêts des services.

    J'ai vérifié tous les fichiers exécutables ELF non stripped, 32 ou 64 bits :

    find / -type f -exec {} \; | grep -i 'elf' | egrep -v -e "not[ ]+stripped"

    Aucun n'a de nom bizarre.

    Même chose pour tous les fichiers autres qu'exécutables.

    D'après 'netstat -n -all LISTEN', le seul port suspect est : 8892.

    J'ai complété fail2ban et changé les password de mes users.

    Il semblerait que rkhunter ait détecté que la date de modification de /var/run/udev.pid soit ancienne.

    Les répertoires : /etc/rc[0-9].d/ et /etc/init.d/ ne contiennent rien d'anormal.


    Je n'ai pas détecté de xorddos après ces manipulations.

    Est-il possible que rkhunter se soit trompé ?

    Merci beaucoup cthierry de ton aide.

    Amicalement.
     
  5. cthierry
    cthierry WRInaute passionné
    Inscrit:
    15 Janvier 2005
    Messages:
    2 305
    J'aime reçus:
    63
  6. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 399
    J'aime reçus:
    25
    C'est super cthierry

    Merci beaucoup pour ton lien.

    Le bug provient uniquement de ce que je n'ai pas systemctl et systemd, seulement /etc/init.d/

    Il semblerait ( à part mes scripts PHP qui sont probablement clean ), que mon VPS ne soit pas infecté.

    Je vais tester chkrootkit.

    Merci beaucoup de ton aide.
     
  7. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 399
    J'aime reçus:
    25
    Rebond

    Un chkrootkit m'indique ceci :

    |code=text]

    Fichiers suspects :
    ( je remplace les fichiers par l'astérique * ).

    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/*
    /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/*

    Searching for suspect PHP files... nothing found

    Checking `bindshell'... INFECTED PORTS: ( 465)

    eth0: PACKET SNIFFER(/usr/sbin/dhclient (deleted)[546], /usr/sbin/dhclient (deleted)[498])

    [/code]


    Je ne sais pas ce que veut dire "infecté" pour les ports.

    L'interface eth0 n'est pas en mode promiscuous.

    Pour le cas des dist-packages et fichiers apache, j'utilise Nginx et pas Apache.

    Que faire ?

    Merci.
     
  8. cthierry
    cthierry WRInaute passionné
    Inscrit:
    15 Janvier 2005
    Messages:
    2 305
    J'aime reçus:
    63
Chargement...
Similar Threads - Malware Susp PHP Forum Date
Malware sur Wordpress ! Développement d'un site Web ou d'une appli mobile 19 Juillet 2016
Questions WinSCP : Malwares? Passes cryptés? Administration d'un site Web 22 Mai 2015
anti-virus ou anti-Malware pour site web, lequel ? Le café de WebRankInfo 27 Mars 2013
Deux malwares contournent la sécurité de Google Play Google : l'entreprise, les sites web, les services 13 Juillet 2012
suspension de compte Google Ads pour impayé AdWords 30 Juin 2021
suspensions de comptes Google Ads AdWords 15 Septembre 2020
Compte suspendu Google Adwords AdWords 7 Septembre 2019
Créer un nouveau compte Google ads après avoir été suspendu AdWords 27 Mars 2019
Backlinks suspects : votre avis Netlinking, backlinks, liens et redirections 22 Octobre 2018
Suspicion de faux avis Google Maps par dizaines YouTube, Google Images et Google Maps 13 Décembre 2017