Attaque permanente sur un serveur

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [Problème] Attaque permanente sur un serveur

    Bonjour
    J'ai un serveur dédié qui stoke plusieurs sites les uns sous joomla 2.5.20 et les autre sous wordpress.
    J'ai mis tous mes dossier en chmod 755 voire 555 sur les importants
    le fichiers sont en 644 voire plus

    J'ai un site qui n'ouvre aucun accès de saisie, il comprend l'application j-events
    http://www.grand-orgue-cathedrale-montpellier.fr/

    Il est à jour des dernières versions de joomla et des extensions - les dossiers sont en 755 certains en 555
    je reçois régulièrement une alerte de ce type :
    Received: from unknown (HELO mutu0160.phpnet.org) (195.144.11.6) by mailfilter.phpnet.org with SMTP; 13 Jun 2014 13:34:33 -0000 Received: from centredms34 by mutu0160.phpnet.org with local (Exim 4.72) (envelope-from ) id 1WvRcn-0001Sv-CN for jench4020@yahoo.com; Fri, 13 Jun 2014 15:34:33 +0200 Date: Fri, 13 Jun 2014 15:34:33 +0200 Message-Id: To: jench4020@yahoo.com Subject: Hi, Sleeping hottie ****ed outdoor ScriptPath: grand-orgue-cathedrale-montpellier.fr/components/com_jevents/views/geraint/range/sql.php X-PHP-Originating-Script: 12083:sql.php From: "Beth Hancock" Reply-To:"Beth Hancock" X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
    Sleeping hottie ****ed outdoor

    Je trouve effectivement un fichier pourri sql.php à cette adresse et il y n a quelques fois plusieurs autres.
    Je ne comprend pas comment dans ce cas on peut introduire des fichiers dans un dossier protégé en 755 alors qu'il n'y a pas de champ de saisie
    Quelques fois c'est dans "com_jnews" d'autres fois dans "libraries" ou "includes"

    J'ai installé crawltrack sur les sites et il ne voit pas de tentative d'injection de code
    Le serveur interrogé n'a pas d'autre réponse que de me renvoyer vers joomla

    Il y a un an que ces mauvaises plaisanteries durent

    Merci de m'aider à trouver une solution
    PS : je n'ai pour le moment aucune attaque vers mes sites en WordPress
    Le site d'uneONG pour sortir les enfants des rues à Madagascar, en pleine forme, grâce à Joomla! : http://nouveau-site.les-enfants-du-soleil-madagascar.org
    Tags: attaque spam
  • #2
    Re : Attaque permanente sur un serveur

    Bonjour,

    Quelle est la version exacte de Apache ainsi que celle de PHP (ce PHP est-il compilé avec ou sans Suhosin ?)
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire

    • #3
      Re : Attaque permanente sur un serveur

      Envoyé par jisse03 Voir le message
      Bonjour,

      Quelle est la version exacte de Apache ainsi que celle de PHP (ce PHP est-il compilé avec ou sans Suhosin ?)
      Merci pour votre rapide réponse
      La version PHP de ce site est 5.3 en CGI qui m'est proposée par défaut lors de la création du site
      Pour les autres questions je ne sais répondre, j'interroge mon serveur

      Une heure après la remise en route j'ai eu de nouveau une attaque par injection de ce fichier sql.php bien que le dossier soit en chmod 555
      Le site d'uneONG pour sortir les enfants des rues à Madagascar, en pleine forme, grâce à Joomla! : http://nouveau-site.les-enfants-du-soleil-madagascar.org

      Commentaire

      • #4
        Re : Attaque permanente sur un serveur

        Bonjour,
        Je trouve effectivement un fichier pourri sql.php à cette adresse et il y n a quelques fois plusieurs autres.
        Je ne comprend pas comment dans ce cas on peut introduire des fichiers dans un dossier protégé en 755 alors qu'il n'y a pas de champ de saisie
        Quelques fois c'est dans "com_jnews" d'autres fois dans "libraries" ou "includes"

        J'ai installé crawltrack sur les sites et il ne voit pas de tentative d'injection de code
        Le serveur interrogé n'a pas d'autre réponse que de me renvoyer vers joomla
        Il y a de multiples manières de s'introduire sur un serveur et de pourrir la vie des webmasters. Es tu sûr de tes codes d’accès de la validité et de la rigueur de tes mots de passe ? Es tu sûr qu'il n'y a pas d'accès ou de failles via ton hébergeur ?
        Si tu as un peu de temps (2h28 quand même !), jette donc un œil (attentif) et l'oreille qui va avec sur la vidéo suivante qui éclaire bien le sujet : http://www.nosyweb.fr/news-joomea/ha...e-serveur.html
        Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

        Commentaire

        • #5
          Re : Attaque permanente sur un serveur

          Toutes les versions de PHP 5.3 inférieures à 5.3.27 souffrent d'une vulnérabilité permettant de sinjections http://www.cvedetails.com/vulnerabil...8/PHP-PHP.html

          Certains builds de Apache 2.2 sur Debian et dérivés (Ubuntu) ont une faille de sécurité autorisant aux attaquants une escalade de droits.

          S'agissant d'un ur lui-même.
          serveur dédié, c'est toi même qui as la charge de son administration, des mises à jour de sécurité et de combler les failles. Les mises à jour de sécurité de l'OS ont-elles été réalisées ?

          Des répertoires en 555 (donc accès et read-only pour tout le monde, mais permettant une intrusion semblengt indiquer que la sécurité est compromise au niveau du serveur lui-même, et que, soit un oeuf de coucou a été déposé dans les extensions PHP, Apache ou un cron job... et donc qu'il faut commencer par un audit de sécurité du serve
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire

          • #6
            Re : Attaque permanente sur un serveur

            Envoyé par jisse03 Voir le message
            T

            S'agissant d'un ur lui-même.
            serveur dédié, c'est toi même qui as la charge de son administration, des mises à jour de sécurité et de combler les failles. Les mises à jour de sécurité de l'OS ont-elles été réalisées ?
            je suis sur un serveur mutualisé et le site incriminé était en PHP 5.3 CGI et je viens de le basculer en 5.5 CGI

            j’attends une réponse de mon hébergeur à qui j'ai fait copie du message de référence... mais nous sommes dimanche
            Le site d'uneONG pour sortir les enfants des rues à Madagascar, en pleine forme, grâce à Joomla! : http://nouveau-site.les-enfants-du-soleil-madagascar.org

            Commentaire

            • #7
              Re : Attaque permanente sur un serveur

              Je pensais à du dédié vu ton message d'introduction:
              J'ai un serveur dédié qui stoke plusieurs sites les uns sous joomla 2.5.20 et les autre sous wordpress.
              J'ai mis tous mes dossier en chmod 755 voire 555 sur les importants
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire

              Précédent template Suivant

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire
              Hébergeur Web PlanetHoster
              Travaille ...
              X