528 tutoriels disponibles
Chercher un tutoriel
Bienvenue
sur Shareannonce
 
Serveur OVH hacké gentoo release 2
Ecrit par: Shareannonce
Date création:  18-04-2012
Nombre de vues:  2474
Catégorie:  informatique > gestion > ovh
Note: 
 
   Tutoriel N° 257

Serveur OVH hacké gentoo release 2


# Un serveur hacké en général sert

- de serveur de mail
- serveur de torrent
- place des liens sur vos pages en les modifiants


# Dans un premier temps, il vous faut localiser le ou les problèmes, je vous conseille d'installer et d'executer

- Chkrootkit
- Rkhunter


Ces 2 scripts vous indiqueront si des fichiers sont vérolés sur votre machine !

Nous avons traiter l'installation de ces scripts dans le tutoriel suivant:

Sécuriser serveur OVH Kimsufi Gentoo Release 2

ce tutoriel vous explique notamment la façon d'activer les logs ftp, nécessaire !

# En général des scripts avec le user nobody nogroup s'executent, vous pouvez les localiser avec la commande linux:

ps auxw | grep ^nobody


# Les attaques et infections classiques consistent à modifier les fichier index.* (html, php ...) qui se trouvent sur votre serveur et d'y ajouter un code crypter qui se decode sur une base64

Dans un premier temps:

Afficher le code source de vos fichiers et regarder si un bout de code y a été ajouté
Si oui ==> Supprimer sur tous les fichier index (.htaccess, *.js) le bout de code ajouté.

# Voici quelques commandes pratiques pour détecter les fichiers infectés sur votre serveur


find / -iname "index.*" -mtime -3 -print
Cherche les fichiers modifier de 3 jours ou moins

find /home -cmin -60
fichier modifier depuis moins d'une heure

find / -iname ".htaccess"
find . -iname "ftpchk3*.*"

se mettre cd /
find . -type f -name ".htaccess" -exec grep -il 'RewriteCond %{REQUEST_FILENAME} !-f' {} ;

se mettre cd /
find . -type f -name "*.php" -exec grep -il 'base64' {} ;
affiche fichier

find . -type f -name "*.php" -exec grep -il 'eval' {} ;


En général les fichier .htaccess sont également modifier et il se peut qu'il y est des création de fichier .js


# Il ne suffit pas de réinstaller votre serveur, il faut d'abord éliminer les fichiers vérolés !

# En général l'acces sur votre serveur s'est fait par ftp
==> Vous allez devoir changer vos mot de passe ftp

# les fichiers vérolés (qui servent à envoyer des mails, ou a autres choses, seront en général appelés de l'extérieur pour être exécutés des milliers de fois par jour.
==> Consulter vos logs pour voir le nom de ces fichiers, il se peut que ce soit des fichiers php crées par le virus installé !

# Consultation des logs:

cd /var/log/httpd
ls

lecture
nano domaine_access_log (remplacer domaine par le nom de vos domaines)


RESUME:

- Détection des fichiers vérolés
- Suppression des codes ajoutés à vos fichiers
- Suppression des fichiers ajoutés
- Modifications de tous les codes ftp (consultations des logs ftp, il faut les activer)
- Réinstallation du serveur
- Sécurisation du serveur (firewall, éviter attaque PHP, limitation acces ftp à votre ip ....)
Sécuriser serveur OVH Kimsufi Gentoo Release 2


 
 
   Autres tutoriels de la męme catégorie >
 
ShareAnnonce version 2.0 Tous droits reserves. | Condition d'utilisation | Contact