[OVH] Serveur dédié attaqué - chercher fichiers vérolés

Robinson · 18 Septembre 2009

Bonjour,

Pour la première fois depuis 5 ans, mon serveur dédié a été attaqué (du moins attaque réussie). Certainement via une faille PhpMyAdmin. OVH m'a passé en mode rescue et je cherche maintenant les fichiers vérolés sur le serveur.
Savez-vous où ils se trouvent généralement ?
Merci d'avance.

dmathieu · 18 Septembre 2009

Ils peuvent être un peu n'importe ou. C'est le problème dans ce genre de cas.
Mon conseil : ne t'embête pas. Tu as de toute façon de fortes chances de louper certains documents.

Fait un reset de la machine et restaure une sauvegarde antérieure au hack.

Robinson · 18 Septembre 2009

Je peux faire ça mais le soucis c'est que je ne peux que downloader les données sur mon pc (ce qui est fait) mais ensuite l'upload est très lent lié à ma connexion :/ (les données sur le backup ont trop de retard à mon goût (du moins en partie))

aladdin · 18 Septembre 2009

Robinson a dit:
Certainement via une faille PhpMyAdmin.

qu'est ce qui te fait dire ça ? si tu en es sure, restaure une sauvegarde récente, et met à jours ton phpmyadmin, c'est la plus sage des solutions.

par contre si la faille peut provenir d'un autre script que t'as développé toi même ou récupéré sur le net ... là ça risque d'être un peu plus compliqué ... il va faloir d'abord trouver la faille et la corriger avant de remettre ton site en ligne.

une bonne piste est de consulter les raw logs ... c'est pas beau mais au moins t'as toutes les informations concernant les requetes émises, à partir de là essai de trouver la source du problème ... peut être qu'avec ça tu saura si c'est une attaque qui ciblait un seul élément ou alors si beaucoup de documents sont contaminés .

bon courrage en tout cas, je suis déjà passé par là et c'est pas marrant du tout ...

Robinson · 18 Septembre 2009

C'est une attaque générale, mon serveur attaquait à son tour.
Cela provient certainement de phpmyadmin selon un technicien et qui plus est depuis quelques jours, un fichier de configuration de celui-ci se remettait à zéro chaque nuit (la base de données n'était cependant pas accessible, c'est un fichier annexe remis à zéro qui bloquait justement l'accès). Je croyais à un bug de phpmyadmin depuis la dernière mise à jour mais cela semblait plutôt être des tentatives de piratage.

Robinson · 18 Septembre 2009

Je crois avoir trouvé via les logs

88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET HTTP/1.1 HTTP/1.1" 400 323 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /program/js/list.js HTTP/1.1" 404 313 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /rc/program/js/list.js HTTP/1.1" 404 316 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcube/program/js/list.js HTTP/1.1" 404 323 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcube-0.1/program/js/list.js HTTP/1.1" 404 327 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcube-0.1.1/program/js/list.js HTTP/1.1" 404 329 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcubemail/program/js/list.js HTTP/1.1" 404 327 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcubemail-0.1/program/js/list.js HTTP/1.1" 404 331 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /roundcubemail-0.1.1/program/js/list.js HTTP/1.1" 404 333 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /cube/program/js/list.js HTTP/1.1" 404 318 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /mail/program/js/list.js HTTP/1.1" 404 318 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /mail2/program/js/list.js HTTP/1.1" 404 319 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /webmail/program/js/list.js HTTP/1.1" 404 321 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /email/program/js/list.js HTTP/1.1" 404 319 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /wb/program/js/list.js HTTP/1.1" 404 316 "-" "Toata dragostea mea pentru diavola"
88.191.81.198 - - [13/Sep/2009:08:54:21 +0200] "GET /e-mail/program/js/list.js HTTP/1.1" 404 320 "-" "Toata dragostea mea pentru diavola"

C'est à partir de cette date que phpmyadmin a semblé "bizarre". Je vais continuer à chercher dans les logs car il a bien du réussir à passer.