Re : [HACKING] fichiers déposé à la racine - analyse de log

Bonjour

J'ai attentivement regardé tes logs et je pense que tu devrais remonter bien plus haut dans le fichier car on voit que plusieurs fichiers ont été exploités (list5V51.php, install62s.php, cookieTUUg.php et d'autres) mais on ne voit pas quand ils ont été déposé sur le site.

Remonte donc plus haut dans l'historique du log. Fais p.ex. une recherche sur un de ces noms de fichiers et retrouve la première ligne que tu vas trouver où ce nom apparaît. Elle pourrait être précieuse pour comprendre comment ils sont passés.

Bonne journée et bonne recherche.

Re : [HACKING] fichiers déposé à la racine - analyse de log

Merci pour ta réponse.
Je vais regarder dans ce sens et voir ce que je trouve.
Je vais aussi regarder si je ne vois pas trace de ces fichiers sur le serveur.

Re : [HACKING] fichiers déposé à la racine - analyse de log

J'ai jeté un oeil sur le serveur mais je ne trouve pas de fichier avec le nom de ceux du log et qui auraient pu être appelés.
j'ai fait comme tu as dit et je suis remonté à la première occurrence dans le log du fichier list5v51.
Je l'ai retrouvé et j'ai posté en annexe le log (le nom du fichier apparait en toute fin, donc on voit pas mal d'activités avant).

Je me demande si ce ne serait pas l'éditeur JCE mais je ne vois pas clair.

Merci

Re : [HACKING] fichiers déposé à la racine - analyse de log

Et bien en examinant mon log ftp, je trouve ça.
Donc visiblement, l'IP 217.170.205.77 parvient à utiliser le FTP.
On dirait qu'il y a une faille ou que quelqu'un à le pass du FTP, où c'est possible d'avoir un log de ce type avec un script PHP ?

Encore merci

[2014 Jun 14 10:40:40] (?@217.170.205.77) [INFO] lelongdu is now logged in
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [feat] []
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [opts] [UTF8 ON]
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [type] [A]
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [syst] []
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [type] [A]
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [cwd] [/www]
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:40] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [browser.php]
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/browser.php uploaded (21616 bytes, 102.42KB/sec)
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 browser.php]
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [common.php]
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/common.php uploaded (21616 bytes, 150.10KB/sec)
[2014 Jun 14 10:40:41] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 common.php]
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [content.php]
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/content.php uploaded (20887 bytes, 140.28KB/sec)
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 content.php]
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:42] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [en.php]
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/en.php uploaded (23025 bytes, 194.90KB/sec)
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 en.php]
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [forum.php]
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/forum.php uploaded (20887 bytes, 170.41KB/sec)
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 forum.php]
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [home.php]
[2014 Jun 14 10:40:43] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/home.php uploaded (21616 bytes, 185.53KB/sec)
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 home.php]
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [info.php]
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/info.php uploaded (20887 bytes, 161.69KB/sec)
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 info.php]
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [lang.php]
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/lang.php uploaded (23025 bytes, 203.22KB/sec)
[2014 Jun 14 10:40:44] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 lang.php]
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [lib.php]
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/lib.php uploaded (23025 bytes, 138.92KB/sec)
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 lib.php]
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [main.php]
[2014 Jun 14 10:40:45] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/main.php uploaded (20887 bytes, 105.74KB/sec)
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 main.php]
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [message.php]
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/message.php uploaded (20887 bytes, 190.33KB/sec)
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 message.php]
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:46] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [mirror.php]
[2014 Jun 14 10:40:47] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/mirror.php uploaded (20887 bytes, 48.67KB/sec)
[2014 Jun 14 10:40:47] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 mirror.php]
[2014 Jun 14 10:40:47] (lelongdu@217.170.205.77) [DEBUG] Command [pasv] []
[2014 Jun 14 10:40:47] (lelongdu@217.170.205.77) [DEBUG] Command [stor] [msg.php]
[2014 Jun 14 10:40:48] (lelongdu@217.170.205.77) [NOTICE] /homez.40/lelongdu//www/msg.php uploaded (20887 bytes, 172.64KB/sec)
[2014 Jun 14 10:40:48] (lelongdu@217.170.205.77) [DEBUG] Command [site] [CHMOD 755 msg.php]
[2014 Jun 14 10:40:48] (lelongdu@217.170.205.77) [INFO] Logout.

Re : [HACKING] fichiers déposé à la racine - analyse de log

Si tu soupçonnes que ton accès FTP ait été corrompu, c'est simple, change-le.

Et vérifie dans ton panneau de contrôle quels sont les logins qui ont accès au FTP et supprime ceux que tu ne connais pas.

Ton log apache ne donne pas plus d'info... ou alors je ne l'ai pas vu.

Bonne journée.

Re : [HACKING] fichiers déposé à la racine - analyse de log

oui c'est ce que je me suis dit en voyant le log.
Je changé le PW, on verra ce que ça donne.

Merci ;-) !!

Bonne journée