Page 1 sur 1
Intrusion a repetition
Posté : 14 mars 2007, 18:40
par nuranto
Bonjour a tous.
Voila j'ai un site, que j'ai developpé en php, et depuis quelques semaines maintenant, il fait l'objet d'attaques.
Regulierement (presque chaque jour), des fichiers sont uploadés :
a.php
a.pl
help.zip
dans chaque dossier ou se trouve un index. L'index est renommé en _index.ext et un nouveau y est uploader, proposant le telechargement du fichier help.zip (qui contient un virus).
J'ai verifier tout mes scripts, les permissions, changer mes mots de passe FTP, demander de l'aide a mon hebergeur (qui m'a repondu de me debrouiller
, je suis a court d'idées....
Visiblement, pour faire ce type d'attaque, il faut pouvoir executer du code, et pour cela je ne vois que deux methodes :
1- En utilisant les variables GET et un include(chemin_absolu), ce que je n'utilise jamais
2- En utilisant une page contenant un input type='upload' mal concu. (je les ai verifiés et testé, ils sont ok)
Bref, Si quelqu'un peut m'aider, je lui en serait infiniment reconnaissant. Si vous connaissez ce type d'attaque (qui apparement est l'oeuvre d'un bot..), ou si vous avez d'autres idées de failles que j'ai pu glisser dans mes scripts, je suis preneur!
Merci!
Re: Intrusion a repetition
Posté : 14 mars 2007, 18:47
par Crapaud
je les ai verifiés et testé, ils sont ok
Peut-être pas
Posté : 14 mars 2007, 18:58
par nuranto
u_u
Beh en fait, il n'y en a qu'un, qui permet d'uploader des photos. Je verifie que le format est bien JPEG car elles sont traités via gd apres...
De plus l'acces au dossier est impossible depuis le navigateur (miniature a la volée en php)
Posté : 14 mars 2007, 19:04
par Crapaud
Désolé, mais c'est dur de pouvoir donner un coup de main sans aucune source, ni référence.
SI tu as "peur" de donner le nom du site sur le fofo, tu peux me l'envoyer par MP que j'aille y faire un tour
Posté : 14 mars 2007, 19:30
par Ripat
Bonsoir,
1- Vérifie tes logs (apache, ftp et ssh) pour voir qui s'est introduit et quand.
2- Fais un pentest (Nessus) et corrige les failles renseignées.
3- Installe un pare-feux applicatif du genre mod_security ou/et...
4- Installe un système de détection et de prévention d'intrusion comme Snort.
Et puis surveille tous les logs de ces nouvelles protections. Les logs, toujours les logs. Le système de journalisation des applicatifs Linux et une source inépuisable d'information.
Posté : 14 mars 2007, 20:11
par nuranto
Merci pour vos reponses!
J'ai deja scruter, et re-scruter mes logs http, mais je n'y ai rien trouvé d'anormal.
Concernant les logs FTP et SSH, je suis en mutualisé sur OVH, et je n'y ai pas accès (a moins qu'il y a un moyen detourné, mais je ne l'ai pas trouvé)
Pour Nessus (merci, je connaissais pas du tout!!!), j'ai pas encore essayer, mais je n'ai d'autres choix que de l'essayer en local (mutualisé..). J'essairais ca !
Pour le 3&4, pareil, mutualisé donc je l'ai dans le baba, mais je note pour le futur!
Merci bcp pour les infos, je vous tiens au courant
Posté : 16 mars 2007, 21:17
par Theri le Vorace
crée une table *requetes*
ip - requete - timestamp
------------
à chaque fois que tu executes une requete qui récupère des variables de l'utilisateur (changement de numero de page dans une liste de resultat paginee, deplacement dans un menu déroulant), tu place la requete dans cette table avant de l'effectuer.
Vérifie si les magic_quotes sont activées, si tu utilises bien la fonction mysql_escape_string.
Ou essaye de désactiver certains modules de ton site et de voir sans lesquels ton attaquant n'uploade rien.
dans ta table de requêtes, gaffe aux " -- " pour les commentaires pour mysql, vérifie les " ' " qui arrivent subitement sans raison et les blocs de requetes sous même ip (25 requetes en 1 seconde... :S )
Bon courage, tiens-nous au courant !
Posté : 19 mars 2007, 19:15
par nuranto
Bonsoir!
Merci Theri le Vorace (xD)!
Je vais essayer ca, c'est pas bete le tracage intensif, je vais essayer d'etre raisonnable quand meme ^^
@Ripat: J'ai testé Nessus en local... Je galere a fond a l'utiliser (je sais, RTFM, mais jsuis pas doué avec les docs techniques en anglais lol).. Mais de toute facon ca a plus l'air d'etre un logger, non ?Donc en local, pas bcp d'interet :s Vive les dédiés
Posté : 20 mars 2007, 23:19
par Theri le Vorace
Merci Theri le Vorace (xD)!
Je vais essayer ca, c'est pas bete le tracage intensif, je vais essayer d'etre raisonnable quand meme ^^
Tout dépend du nombre de requêtes/visiteurs par jour mais si tu veux vraiment trouver le problème, je ne vois que ça..
ET ON RIGOLE PAS DE MON PSEUDO ! Je suis vraiment Vorace..
Posté : 14 août 2007, 21:59
par Tomm
Bonjour Nuranto. Où en es-tu avec ton problème.
As-tu trouvé une solution ?
Posté : 20 août 2007, 13:15
par nuranto
Salut tomm!
Je n'ai trouvé aucune solution satisfaisante. Cela dit, je n'ai plus le probleme.
Je disposais de deux serveurs (chez ovh), j'ai donc migré mes sites du serveur infecté vers le serveur clean, j'ai attendu quelques semaines : aucun probleme.
J'ai reinitialisé entierement le serveur infecté, et j'ai retransferé mes sites dessus. Et depuis, plus de problemes...
Donc essaye de reinitialiser ton serveur.. et re-upload ton site (avec tes fichiers locaux!)
Voila... mais sinon j'avais passé des jours et des jours sur le net a chercher une meilleure solution, et rien...
En tout cas, pour un site commercant, ca le fait super moyen, j'espere bien que je n'aurais plus ca!
Bonne chance
Posté : 22 août 2007, 00:25
par Tomm
Salut, Merci de ta réponse.
J'espère que tu pourra trouver le temp de rédiger une petite note
qui nous sera utile à tous.
Sur les manip avec deux serveurs (c'est exactement ce que je projettais en cas de problème)
Sur la "passation" du nom entre les deux, dommage que cela ne portait pas
entre deux hébergeur différents.