Attaque phpErSyWO

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [News] Attaque phpErSyWO

    Bonsoir,

    Mon hébergeur (1&1) m'indique ce soir une attaque via le message suivant :

    "Vous recevez un message urgent concernant la sécurité de votre contrat 1&1.

    Il y a quelques minutes, notre scanner antivirus a signalé qu'un fichier
    nuisible a été chargé sur votre espace web.

    Nom du fichier : xxx/xxx/tmp/phpErSyWO

    Afin de vous protéger contre de dangereuses attaques de pirates, le scanner
    antivirus contrôle chaque fichier qui est chargé ou modifié sur votre espace
    web. Si un fichier présente des caractéristiques claires d'attaque, il est
    automatiquement désactivé.

    ...

    Important : votre espace web subit donc une attaque de pirates informatiques.
    Cette attaque est mené soit à travers un de vos mots de passe, soit par une
    faille de sécurité dans un logiciel que vous avez installé.

    Tant que vous n'aurez fermé le point d'intrusion, les pirates poursuivront leur
    attaque et pourront arriver à compromettre vos sites."

    Qu'en pensez-vous ?

    Je n'ai trouvé aucune info sur ce type d'attaque.

    Je vais voir avec le module Sourcerer installé dernièrement.

    Cordialement.

  • #2
    Re : Attaque phpErSyWO

    consulte les fichiers de logs pour savoir comment il a uploadé le fichier éventuellement et change les pass ftp comme conseiller par 1&1
    Christophe
    http://www.webcrea.fr

    Commentaire


    • #3
      Re : Attaque phpErSyWO

      Merci webcrea pour ta réactivité et tes conseils.

      J'ai changé mon mot de passe FTP et j'ai regardé dans le répertoire Logs et il y a un .... tas de fichiers

      Avez-vous une orientation à me donner concernant les fichiers à consulter du répertoire Logs ?

      Je suis chez 1&1.

      Merci

      Commentaire


      • #4
        Re : Attaque phpErSyWO

        en général, c'est un fichier par jour, donc regarde le dernier du jour du hack
        Christophe
        http://www.webcrea.fr

        Commentaire


        • #5
          Re : Attaque phpErSyWO

          J'ai trouvé le fichier en question c'est le ftp.log généré quotidiennement(un peu facile je l'admets).
          Ensuite il est archivé.

          Je n'ai rien trouvé à l'intérieur qui corresponde au fichier ni à l'heure supposée où il aurait été déposé ...

          J'ai envoyé un courrier à abuse@1and1.fr pour avoir plus d'explications ... rien pour l'instant.

          En attendant j'ai viré ce fichier du FTP et fait une copie pour pouvoir l'examiner.

          Si j'ai du nouveau je vous tiendrai au courant.

          Bonne soirée.

          Commentaire


          • #6
            Re : Attaque phpErSyWO

            ftp.log doit être le fichier contenant les logs de connexion donc ce n'est pas celui-ci

            est-ce que tu as viré le fichier indiqué par 1&1 dans tmp?
            Christophe
            http://www.webcrea.fr

            Commentaire


            • #7
              Re : Attaque phpErSyWO

              Bonsoir Webcrea,

              J'ai viré en effet du FTP le fichier phpErSyWO mais j'en ai gardé une copie sur mon PC.

              En fichiers dans le répertoire Logs, j'ai (en ce moment) :
              access.log.48.3
              ftp.log
              mail.log
              traffic.db
              last_trafic
              access.log.current
              info.py
              info.pl
              info.php
              info.php5

              ensuite j'ai un répertoire traffic.html

              Le reste ce sont des archives.

              Commentaire


              • #8
                Re : Attaque phpErSyWO

                les info.xx me semble louches
                Christophe
                http://www.webcrea.fr

                Commentaire


                • #9
                  Re : Attaque phpErSyWO

                  Envoyé par webcrea Voir le message
                  les info.xx me semble louches
                  Je vais demander à 1&1 de justifier la présence de ces fichiers.

                  Commentaire


                  • #10
                    Re : Attaque phpErSyWO

                    J'ai eu confirmation aujourd'hui de 1&1 de la présence volontaire des fichiers info.xxx

                    Donc rien de particulier ...

                    Affaire à suivre dans le temps, j'attends toujours une réponse pour retrouver la trace du dépôt du fichier.

                    Commentaire


                    • #11
                      Re : Attaque phpErSyWO

                      Scrute les dossiers images, tmp, media, c'est souvent là qu'on trouve du bizarre parce qu'ils sont principalement les destinations des extensions permettant le déchargement de fichiers
                      Christophe
                      http://www.webcrea.fr

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X