Retour en ligne après un piratage et conseils pour ces cas là!
samedi 10 janvier 2015 à 15:26KraZhtest - Liens utiles - C'est le bordel 10/01/2015
Gloups. Il y a quelques jours j'ai reçu un message de mon hebergeur mutualisé m'indiquant que "mon espace web subit une attaque".
Après une petite visite, effectivement, tous mes fichiers index.php dans tous les dossiers et sous-dossiers ont été modifiés, apparement automatiquement mais le mal etait fait.
Le simple fait de restaurer ces fichiers n'êmpeche rien: à la première visite sur ces fichiers, ils sont re-modifiés dans la foulée par le script foireux qui se cache quelque part.
La plupart des hébergeurs ont heureusement une fonction de restauration à une date antérieure, qui crée un nouveau dossier à la racine (ne remplace rien directement). Donc après un temps mon (nouveau) dossier "restore" apparaît avec mes fichiers sains et saufs dedans.
Ouf!
Mais c'est là que rien ne va plus!
Et oui avant de les copier au bon endroit il faut supprimer les anciens (sinon erreurs). Par FTP un nombre massif de fichiers générent des erreurs, tel que "le fichier ne peut-être lu" ou "n'existe pas" ou alors aussi des basiques "cannot remove"..
Sur l'interface web du serveur, depuis le site de l'hébergeur, ça va un peu mieux mais toujours des erreurs obligeant à cliquer 10 000 fois sur "ok", bref quasi inutilisable.
En fait les droits d'accés ont été modifiées automatiquement par l'hébergeur (ou allez savoir hihihi), mais les modifier par FTP crée aussi des erreurs, obligeant à tout se taper un par un, infaisable.
De là j'ai osé le coup de téléphone, longue attente, bon très sympa, mais bon voilà quoi. Un peu chaud d'expliquer par téléphone d'effacer un serveur au complet, il faut un courrier normalement, c'est compréhensible, et de toute façons les gonzs au téléphone n'ont pas les accés pour faire ça.
Nop. Tout se passe au mieux par SSH, voici les commandes qui m'ont aidées à arranger le coup "rapidement":
Evidemment ceux habitués à linux ne seront pas paumés ;)
Donc se connecter à son serveur en SSH avec putty.
Pour retrouver les droits de lecture/écriture sur un dossier et ses sous-dossiers (Mieux vaut y aller dossier par dossier, voir par sous-dossiers ):
chmod -R 777 [nom du dossier]
Pour effacer un dossier et ses sous-dossiers (pareil, décomposer est important):
rm -R [nom du dossier]
A ce stade si la racine du serveur est maintenant vide, je conseille plutôt de retourner copier ses fichiers depuis l'interface hébergeur.
Mais si jamais:
Pour copier le contenu d'un dossier vers un autre:
cp -abR [nom du dossier source] [nom du dossier cible]
Voilà, dans certains cas SSH est indispensable.
Perso je plaide coupable j'ai été irradié depuis un lointain sous-dossier ou j'avais installé il y a longtemps "jquery file upload". Après recherches ce script est devenu une passoire depuis, j'avais egalement des vieilles installations de drupal oubliées, et ces vieilles versions sont devenus des passoires, et j'etais au courant en plus mais bon bref!
Voilà un bon conseil, pas forcément le mieux placé pour le donner, mais faites attention à vos sous-dossiers sur votre serveur et à ce qu'il y a dedans, un simple fichier robots.txt pour empecher le listing par google et cie n'empêche pas celui qui cherche (ou son robot/scanner..) de trouver ce qu'il cherche.
En effet avec nmap et une bonne liste de mots,.. etc
Gloups. Il y a quelques jours j'ai reçu un message de mon hebergeur mutualisé m'indiquant que "mon espace web subit une attaque".
Après une petite visite, effectivement, tous mes fichiers index.php dans tous les dossiers et sous-dossiers ont été modifiés, apparement automatiquement mais le mal etait fait.
Le simple fait de restaurer ces fichiers n'êmpeche rien: à la première visite sur ces fichiers, ils sont re-modifiés dans la foulée par le script foireux qui se cache quelque part.
La plupart des hébergeurs ont heureusement une fonction de restauration à une date antérieure, qui crée un nouveau dossier à la racine (ne remplace rien directement). Donc après un temps mon (nouveau) dossier "restore" apparaît avec mes fichiers sains et saufs dedans.
Ouf!
Mais c'est là que rien ne va plus!
Et oui avant de les copier au bon endroit il faut supprimer les anciens (sinon erreurs). Par FTP un nombre massif de fichiers générent des erreurs, tel que "le fichier ne peut-être lu" ou "n'existe pas" ou alors aussi des basiques "cannot remove"..
Sur l'interface web du serveur, depuis le site de l'hébergeur, ça va un peu mieux mais toujours des erreurs obligeant à cliquer 10 000 fois sur "ok", bref quasi inutilisable.
En fait les droits d'accés ont été modifiées automatiquement par l'hébergeur (ou allez savoir hihihi), mais les modifier par FTP crée aussi des erreurs, obligeant à tout se taper un par un, infaisable.
De là j'ai osé le coup de téléphone, longue attente, bon très sympa, mais bon voilà quoi. Un peu chaud d'expliquer par téléphone d'effacer un serveur au complet, il faut un courrier normalement, c'est compréhensible, et de toute façons les gonzs au téléphone n'ont pas les accés pour faire ça.
Nop. Tout se passe au mieux par SSH, voici les commandes qui m'ont aidées à arranger le coup "rapidement":
Evidemment ceux habitués à linux ne seront pas paumés ;)
Donc se connecter à son serveur en SSH avec putty.
Pour retrouver les droits de lecture/écriture sur un dossier et ses sous-dossiers (Mieux vaut y aller dossier par dossier, voir par sous-dossiers ):
chmod -R 777 [nom du dossier]
Pour effacer un dossier et ses sous-dossiers (pareil, décomposer est important):
rm -R [nom du dossier]
A ce stade si la racine du serveur est maintenant vide, je conseille plutôt de retourner copier ses fichiers depuis l'interface hébergeur.
Mais si jamais:
Pour copier le contenu d'un dossier vers un autre:
cp -abR [nom du dossier source] [nom du dossier cible]
Voilà, dans certains cas SSH est indispensable.
Perso je plaide coupable j'ai été irradié depuis un lointain sous-dossier ou j'avais installé il y a longtemps "jquery file upload". Après recherches ce script est devenu une passoire depuis, j'avais egalement des vieilles installations de drupal oubliées, et ces vieilles versions sont devenus des passoires, et j'etais au courant en plus mais bon bref!
Voilà un bon conseil, pas forcément le mieux placé pour le donner, mais faites attention à vos sous-dossiers sur votre serveur et à ce qu'il y a dedans, un simple fichier robots.txt pour empecher le listing par google et cie n'empêche pas celui qui cherche (ou son robot/scanner..) de trouver ce qu'il cherche.
En effet avec nmap et une bonne liste de mots,.. etc