Hum, tu l’as repéré dans les logs du FTP?
Salut,
pour être tout à fait franc, ce n’est pas moi qui l’ai repéré, mais l’hébergeur…
Je leur ai demandé de rechercher les premiers accès au dossier iylle dans leurs logs, et ils m’ont sortis ça…
Je n’ai pas accès à beaucoup de logs malheureusement…
Pour le répertoire, fais une archive puis fais vérifies qu’il n’y a pas des attributs de lecture seule, ou en attr+i par exemple.
[quote=“fran.b”][quote=“lol”]
Ce qui est “drôle” c’est que je n’arrive pas à effacer le répertoire en question…
Ils sont tombés sur ça dans les logs :
Une IP aux Pays-bas. C’est lui qui a “déposé sa crotte” sur mon serveur…
[/quote]
Pour le répertoire, fais une archive puis fais vérifies qu’il n’y a pas des attributs de lecture seule, ou en attr+i par exemple.[/quote]
Salut,
Merci j’ai finalement réussi à effacer ce truc…
J’ai re-vérifié le ftp et viré les comptes que j’avais ouvert pour des copains. Mais pas de ftp anonyme. Je suppose qu’il a fait une “attaque par force brute” sur le ftp… Mon mot de passe n’était pourtant pas simple, avec des caractères spéciaux…
Il en a profité je pense pour pourrir les logs du ftp… Sans l’hébergeur j’étais incapable de lire les logs du serveur ftp (corrompus). Ils doivent avoir des copies ou des logs inattaquables…
Je me rends compte maintenant comme c’est difficile de sécuriser un serveur qu’on héberge pas… Je pensais pouvoir me reposer sur eux… Mais à la limite ils s’en foutent qu’un dom soit corrompu, ce n’est pas vraiment leur problème.
Merci pour ton aide.
Re,
Pour les connaisseurs, j’ai la copie du fichier déposé sur mon serveur qui est à la base de tout…
Je ne suis pas sur d’avoir le droit de le coller intégralement ici… 
ça commence comme ça :
[quote]<?php
ignore_user_abort(1);
set_time_limit(0);
function Clear()
{
unlink(“c”);
unlink(“1r.txt”);
unlink(“2r.txt”);
unlink(“log”);
}[/quote]
Moi je suis incapable de comprendre, mais certains d’entre vous si…
[quote=“lol”]Re,
Pour les connaisseurs, j’ai la copie du fichier déposé sur mon serveur qui est à la base de tout…
Je ne suis pas sur d’avoir le droit de le coller intégralement ici…
ça commence comme ça :
[quote]<?php
ignore_user_abort(1);
set_time_limit(0);
function Clear()
{
unlink(“c”);
unlink(“1r.txt”);
unlink(“2r.txt”);
unlink(“log”);
}[/quote]
Moi je suis incapable de comprendre, mais certains d’entre vous si…[/quote]
La fonction unlink de php est la fonction de suppression ( rm )
il devait donc y avoir des fichiers susceptibles de révéler X ou Y information, qu’il a donc supprimé.
tu pourrais nous donner le reste du code stp? ( au moins par mp )
Ce code est vraiment étrange.
D’après ce que j’ai pu voir, une fonction permet d’envoyer des commandes à distance via des requetes php entre autres ( ce n’est que l’une de ses fonctions ) Mais appelé via un autre script, ce code peut faire des ravages, et faire façilement des DDoS ou des trucs dans le genre.
Il y a d’autres fonctions, mais il me manque des fichiers ( comme “c” ou “m” ) pour en savoir plus.
[quote=“L0u!$”]Ce code est vraiment étrange.
D’après ce que j’ai pu voir, une fonction permet d’envoyer des commandes à distance via des requetes php entre autres ( ce n’est que l’une de ses fonctions ) Mais appelé via un autre script, ce code peut faire des ravages, et faire façilement des DDoS ou des trucs dans le genre.
Il y a d’autres fonctions, mais il me manque des fichiers ( comme “c” ou “m” ) pour en savoir plus.[/quote]
Ben t’as bien bossé parce que c’est pas de la tarte de lire ce truc… Bravo.
Je n’ai pas vu de fichier m et c contient “320” 
Tu veux que je mette le paquet complet en ligne (2,8 Mo) ?
[quote=“lol”][quote=“L0u!$”]Ce code est vraiment étrange.
D’après ce que j’ai pu voir, une fonction permet d’envoyer des commandes à distance via des requetes php entre autres ( ce n’est que l’une de ses fonctions ) Mais appelé via un autre script, ce code peut faire des ravages, et faire façilement des DDoS ou des trucs dans le genre.
Il y a d’autres fonctions, mais il me manque des fichiers ( comme “c” ou “m” ) pour en savoir plus.[/quote]
Ben t’as bien bossé parce que c’est pas de la tarte de lire ce truc… Bravo.
Je n’ai pas vu de fichier m et c contient “320”
Tu veux que je mette le paquet complet en ligne (2,8 Mo) ?[/quote]
Ça serait simpa, histoire de m’occuper =)
[quote=“L0u!$”][quote=“lol”][quote=“L0u!$”]Ce code est vraiment étrange.
D’après ce que j’ai pu voir, une fonction permet d’envoyer des commandes à distance via des requetes php entre autres ( ce n’est que l’une de ses fonctions ) Mais appelé via un autre script, ce code peut faire des ravages, et faire façilement des DDoS ou des trucs dans le genre.
Il y a d’autres fonctions, mais il me manque des fichiers ( comme “c” ou “m” ) pour en savoir plus.[/quote]
Ben t’as bien bossé parce que c’est pas de la tarte de lire ce truc… Bravo.
Je n’ai pas vu de fichier m et c contient “320”
Tu veux que je mette le paquet complet en ligne (2,8 Mo) ?[/quote]
Ça serait simpa, histoire de m’occuper =)[/quote]
Re,
C’est fait, même lieu !
Pour autant que j’ai pu lire, le script est un script de chargement de pages.
Je le vois plus comme soit un site cible de phishing, soit un site warez.
Ce que j’ai lu sur ce script confirme cela, par exemple http://www.esuli.it/2009/03/24/adsttnmq1sdioyslkjs2-attack/
Les quelques cas semblent tous indiquer un piratage du site par mot de passe FTP craqué. LJe pense que le register_global est à on sur ton php.ini.
C’est surement un robot qui a fait ça. Met un mot de passe force +++ et n’y pense plus.
[quote=“fran.b”]Pour autant que j’ai pu lire, le script est un script de chargement de pages.
Je le vois plus comme soit un site cible de phishing, soit un site warez.
Ce que j’ai lu sur ce script confirme cela, par exemple http://www.esuli.it/2009/03/24/adsttnmq1sdioyslkjs2-attack/
Les quelques cas semblent tous indiquer un piratage du site par mot de passe FTP craqué. LJe pense que le register_global est à on sur ton php.ini.
C’est surement un robot qui a fait ça. Met un mot de passe force +++ et n’y pense plus.[/quote]
Re,
Merci pour les infos, et d’avoir pris la peine de regarder le script.
J’ai du me faire pirater alors que j’utilisais une extension ftp de Iceweasel probablement, ce n’est surement pas la solution la plus sécurisée… J’ai péché par facilité…
J’ai changé mon mot de passe dés que j’ai compris qu’il y avait un pb sur le serveur : 12 caractères majuscules, minuscules, caractères spéciaux, chiffres…
Le mot de passe qu’il a réussi à craquer était pareil, mais “seulement” 8 caractères.
En force brute ça aurait pris des semaines, c’est pourquoi je penche plutôt pour une interception d’envoie avec l’extension ftp de Iceweasel.
Tu peux m’en dire plus sur le php.ini ?
[quote]; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
; NOTE: applications relying on this feature will not recieve full
; support by the security team. For more information please
; see /usr/share/doc/php5-common/README.Debian.security
;
[/quote]
Tu nous montre pas grand chose là.
Tu peut en savoir plus là :
fr.php.net/manual/fr/function.ig … -abort.php
fr.php.net/manual/fr/function.set-time-limit.php
Il semble que cette attaque ait lieu là où le register_globals est à on d’où cette précision. Le php.ini est sinon très bien documenté par lui même.
Merci pour les précisions,
Je n’ai évidemment pas accès à mon php.ini…
Et demander la collaboration de Justhost ? Enfin pourquoi pas ?
Il va d’abord falloir leur expliquer (en anglais…), je tente le coup (demain parce que là ).
[quote=“lol”]Je n’ai évidemment pas accès à mon php.ini…
Et demander la collaboration de Justhost ? Enfin pourquoi pas ?
Il va d’abord falloir leur expliquer (en anglais…), je tente le coup (demain parce que là ).[/quote]Pourquoi ne t’hébèrges tu pas?
C’est fini le temps ou ta bande passante était minuscule, non?
Je ne vois que des avantages à l’auto-hébergement,
personne qui choisit les options de configuration à ta place,
accès à tous les paramètres, etc …
[quote=“eol”][quote=“lol”]Je n’ai évidemment pas accès à mon php.ini…
Et demander la collaboration de Justhost ? Enfin pourquoi pas ?
Il va d’abord falloir leur expliquer (en anglais…), je tente le coup (demain parce que là ).[/quote]Pourquoi ne t’hébèrges tu pas?
C’est fini le temps ou ta bande passante était minuscule, non?
Je ne vois que des avantages à l’auto-hébergement,
personne qui choisit les options de configuration à ta place,
accès à tous les paramètres, etc …[/quote]
Salut Eol,
J’adorerais, mais je n’ai pas de courant 24/24 depuis un an maintenant (restriction due au manque de clients…), coupure de minuit à 6 heures…
J’ai attendu longtemps d’avoir cette connexion, et maintenant que je l’ai je n’en profite pas pleinement.
Venez en masse faire du tourisme à Madagascar, et c’est promis le Wiki sera sur une Debian, chez moi, et plus sur la “dom” d’une red-hat… 
[quote=“lol”]J’adorerais, mais je n’ai pas de courant 24/24 depuis un an maintenant (restriction due au manque de clients…), coupure de minuit à 6 heures…[/quote]Ça ne simplifie pas les choses …
Une petite chute d’eau dans ton domaine et un vieil alternateur qui traine quelque part ?