OVH : site hacké

Discussion dans 'Administration d'un site Web' créé par haderach, 30 Mars 2007.

  1. haderach
    haderach WRInaute impliqué
    Inscrit:
    26 Août 2004
    Messages:
    857
    J'aime reçus:
    0
    Bonjour,

    Je cherche a protéger des hébergements chez OVH.
    En effet, depuis quelques jours un hacker à installé un répertoire sur plusieurs de mes hébergements.
    J'ai mis à jour très récemment les CMS que j'utilisait, mais un des hébergements a été hacké sans la présence d'un CMS.

    Comment puis-je faire pour protéger ses hébergements.

    Le hack était constitué d'un répertoire dans lequel il y avait des fichiers php orienté phishing ebay...

    Merci d'avance
     
  2. sureau
    sureau WRInaute discret
    Inscrit:
    7 Mars 2005
    Messages:
    195
    J'aime reçus:
    0
    Vérifie les droits dans tes repertoires, vérifier les logs pour voir si il est passé par le site ou par ton webmin.
    Placer des htaccess dans les répertoires (et des index.html) et surtout bien conserver tous les logs pour te défendre si jamais le site de pishing a eu des personnes.

    (Enfin je controle régulièrement les courbes MRTG pour deceler une activité anormale (les sites de pishing envoyant souvent beaucoup de mail en continu depuis ton serveur)
     
  3. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    Trouve avant tout par ou il est passé.
    Ca peut etre en dehors du site (awstat par exemple)
     
  4. shelcko
    shelcko WRInaute discret
    Inscrit:
    1 Janvier 2007
    Messages:
    231
    J'aime reçus:
    0
    C'est quel CMS car je sais qu'il y a des h4cker turcs qui sévissent sur mambo en ce moment :evil:
     
  5. Jonna
    Jonna WRInaute discret
    Inscrit:
    2 Janvier 2007
    Messages:
    50
    J'aime reçus:
    0
    C'est un dédié que tu as ?

    Si c'est un dédié moi je préfèrerais faire une ré-installation.

    Savoir par ou il est passé c'est une chose bonne à savoir.

    Mais savoir ce qu'il a laissé sur ta machine c'est autre chose ?
     
  6. haderach
    haderach WRInaute impliqué
    Inscrit:
    26 Août 2004
    Messages:
    857
    J'aime reçus:
    0
    En fait, mon problème est que je ne sais pas par où il est passé pour installé ses scripts. Je ne suis donc pas à l'abri d'une nouvelle attaque...

    J'ai donc besoin de pistes...
     
  7. mahefarivony
    mahefarivony WRInaute accro
    Inscrit:
    14 Octobre 2002
    Messages:
    11 371
    J'aime reçus:
    0
    Les CMS sont de véritables trous de gruyères ! Vous aurez beau installer la dernière version, patch, mise a jour, vous serez à l'abri ... quelques jours.

    Quelques pistes ? Générallement, ils passent par l'interface d'admin (phpnuke, phpbb, mambo, joomla, etc.) et après ils font ce qu'ils veulent

    - récupération de mots de passe
    - installation de fichiers étrangers

    etc.

    Donc premiere chose a faire : .htaccess/password sur tout leS répertoireS d'admin.

    Bonne chance
     
  8. haderach
    haderach WRInaute impliqué
    Inscrit:
    26 Août 2004
    Messages:
    857
    J'aime reçus:
    0
    Le site a été hacké de nouveau ce week end. (c'est un mutualisé)

    Aucun CMS de la toile (le site est constitué de pages php formulaires etc...). Dans les logs aucune adresse particulière pour détourner l'utilisation des formulaires. Mots de passes FTP et manager o*vh modifié.

    La seul parade pour le moment est de mettre à jour le htaccess pour faire pointer les adresses appelées sur une autre page....

    Si vous avez des idées concernant la sécurité pour les mutualisés je suis preneur.

    Un autre site ayant un blog dotclear a également été hacké. Là j'ai fait les mêmes actions et viré le blog... Sans effet. Quelques heures plus tard le hackeur avait ré-installé ses mer**des
     
  9. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    la solution, tu supprimes tout le site via ftp et tu remets à jour à partir de ton site de développement.
    Tu sécurises l'accès à tous les répertoires d'admin avec htaccess et tu vérifies tous tes includes, formulaires d'upload, etc...
    Après ça devrait aller mieux.
    Car là, il est fortement possible qu'il ait déjà uploadé un script php ou cgi sur ton serveur et même si tu blindes ton site, son script est déjà en place :roll:
     
  10. Joora
    Joora Nouveau WRInaute
    Inscrit:
    2 Novembre 2006
    Messages:
    29
    J'aime reçus:
    0
    Attention si tu as un script d'upload, même "sécurisé", c'est mortel...
    il y a plein de failles, et c'est très difficile de faire un upload vraiment sécurisé!

    Donc désactive tous les uploads, les cms et trucs du genre phpbb etc le temps de trouver le probleme...

    mais maintenant qu'il a accédé a ton site il a peut être ajouté lui même des failles ailleurs dans tes pages...
    ou pire dans le systeme meme d'ovh! (il y a des répertoires ou l'on peut créer des fichiers dans le disque dur d'ovh, presque à la racine du disque... donc ça craint
     
  11. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    sur un mutu ? j'ai des doutes
     
  12. jojose
    jojose WRInaute occasionnel
    Inscrit:
    5 Janvier 2008
    Messages:
    436
    J'aime reçus:
    0
    J'ai actuellement le même problème (sur un mutu ovh).
    J'ai un blog wordpress. Depuis quelques jours, je retrouve le .htaccess modifié et de nouveaux repertoires/fichiers. En fait, dès qu'un visiteur vient d'un moteur de recherche, il est redirigé vers ses pages.
    Que faire? J'ai renvoyé toutes les pages du site, essayez de supprimer tout ce qui était inutile, sans succès...
     
  13. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    tu effaces tout le contenu de ton site, tu modifies le password ftp et celui de la base de données et tu remets tous tes fichiers depuis ton serveur de test.
    Ensuite, il faut restreindre les droits au strict minimum (juste ce qui est nécessaire, pas plus) pour tous les répertoires.
    Et puis, surtout, si ce sont des scripts opensource, faire les dernières mise à jour de sécurité
     
  14. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    C'etait quand meme un up d'avril 2007 ...
     
  15. haderach
    haderach WRInaute impliqué
    Inscrit:
    26 Août 2004
    Messages:
    857
    J'aime reçus:
    0
    J'ai résolu le problème en modifiant le password ftp de tous mes mutus...
     
  16. jojose
    jojose WRInaute occasionnel
    Inscrit:
    5 Janvier 2008
    Messages:
    436
    J'aime reçus:
    0
    J'ai changé le password ftp de mon mutu, sans succès. Les fichiers continuent à apparaître :(
     
  17. mahefarivony
    mahefarivony WRInaute accro
    Inscrit:
    14 Octobre 2002
    Messages:
    11 371
    J'aime reçus:
    0
    dédié corrompu.

    Tu formattes tout, tu vires tous tes scripts et tu codes amoreusement tes pages php un par un
     
  18. Hearty
    Hearty WRInaute discret
    Inscrit:
    23 Février 2004
    Messages:
    136
    J'aime reçus:
    0
    mutu il a dit le monsieur ;)
     
  19. hibou57
    hibou57 WRInaute passionné
    Inscrit:
    1 Novembre 2006
    Messages:
    1 309
    J'aime reçus:
    0
    Je suis pas trés versé sur la question, mais je peux confirmer que je suis régulièrement scané par des robots qui tente d'accéder à des pages d'admin inexistantes. Et c'est assez fréquent... la première fois que j'ai vu ça, je me suis dit "je n'aimerais pas être à la place des personnes qui travaillent avec les systèmes que ces robots cherche à trouver".
     
  20. Darkcity
    Darkcity WRInaute passionné
    Inscrit:
    7 Juin 2007
    Messages:
    2 059
    J'aime reçus:
    0
    Rien ne vaut un système maison... même en se basant sur un noyau, mais lui-même ancien et résistant à toute épreuve.
     
  21. hibou57
    hibou57 WRInaute passionné
    Inscrit:
    1 Novembre 2006
    Messages:
    1 309
    J'aime reçus:
    0
    Ce que je dis toujours ;) Oui, c'est vrai :)

    Avec un système maison, le Hacker n'a aucun moyen se savoir à quoi tu tourne, ni quelle est ton architecture, etc, etc.

    Et si tous le monde faisait du maison partout, ce serait différent partout, et les hackers n'auraient plus qu'à se coucher sous la couette.

    Concrêtement, les faiblesses sont presque toujours dans l'archirecture du site, parce que attaquer un serveur Apache, même si c'est possible, c'est déjà moins courant que de voir l'achitecture d'un site se faire attaquer. Et l'étape au dessus, c'est d'avoir sa propre application serveur... voir pourquoi pas son propre OS.

    Mais l'architecture site fait maison, c'est déjà bien.
     
  22. Joora
    Joora Nouveau WRInaute
    Inscrit:
    2 Novembre 2006
    Messages:
    29
    J'aime reçus:
    0
    Je ne plaisante pas.
    Je ne ferai pas de démonstration car ça pourrait être considéré comme du piratage, mais il faudrait que j'en parle a OVH...
    Mais les formulaires de contact c'est pas top pour parler de ça...