Ecrit par:  DAVID
Date création:  08-11-2015
Nombre de vues:  1818
Catégorie:  ovh
Note: 
Tutoriel N° 284 - Nettoyer serveur vps release3 hack rootkit : informatique > gestion > ovh

Nettoyer serveur vps release3 hack rootkit


1/ Methode débutant
2/ Méthode expert

1/ Methode débutant

- Restaurer un backup des sites de votre serveur
- Corriger faille de sécurité (CMS Wordpress, scipt upload ...) Faire les mises à jours nécessaires
- Demander un réexamen de votre site à Google sur Google Webmaster
- Si le problème persiste avec un rejet de Google Webmaster, vous devez passer à la méthode expert ci dessous

2/ Méthode expert
Les fichiers contaminés sont en général
- index*.php, 100% des fichiers *.js, les fichiers .htaccess
- il y a probablement des fichiers crées du type shs.php, conns.php ... des répertoires nommés images, upload, js ...
- Repérer les chaines vérolées de ses fichiers et supprimer pour chaque fichier la chaine ajoutée.

Pour localiser les fichiers contaminés, vous pouvez éditer les fichiers manuellement (conseillé) ou faire une recherche via une commande linux:

Voici quelques exemples

find / -name ".htaccess"
find / -name "index*.php"
find / -name ".js"
find / -name "shs.php"
find / -name ".conns.php"
find . -type f -name "index*.*" -exec grep -il 'WP Security Check' {} ;
find . -type f -name "index*.*" -exec grep -il 'WP Security Check' {} ;
find . -type f -name "index*.*" -exec grep -il '54cebbde412f3f8fb6b742c75bf1a894' {} ;

se mettre cd /
find . -type f -name "*.php" -exec grep -il 'cz.cc' {} ;
find . -type f -name "*.php" -exec grep -il 'base64_decode' {} ;
find . -type f -name "loginrc2.php" -exec ls -la {} ;
find . -type f -name "*.php" -exec grep -il 'error_reporting(0)' {} ;
find . -type f -name "*.js" -exec grep -il 'unescape' {} ;
find . -type f -name "*.php" -exec grep -il 'eval' {} ;
find . -type f -name "*.php" -exec grep -il 'eval(' {} ;

Afficher les derniers fichiers modifiés sur le serveurs les 300 dernieres minutes
find / -not -path '/sys*' -not -path '/dev*' -not -path '/proc*' -mmin -30

En FTP, classez par date les fichiers des répertoires pour repérer des fichiers modifiés ou ajoutés sur le serveur dans chaque répertoire

Ensuite faire un backup de vos sites, réinstaller votre seveur et restaurer vos fichiers.

Demander le réexamen de votre site à Google

Si ce n'est pas nécessaire, continuer à chercher, vous pouvez installer chkrootkit sur le serveur par exemple


Il est évident que ce tuto doit s'accompagner d'un serveur sécurisé avec un firewall, et bien sécurisé de façon général.


Autres fiches (news, tutoriaux ou petites annonces) de David de la même catégorie >
Stop a ddos attack with iptables
Ecrit par DAVID
Saisir la mini description de votre tutoriel
Ecrit par DAVID
How to check if TLS 2.1 is installed ovh
Ecrit par DAVID
Contrer une attaque ddos
Ecrit par DAVID
Bounces - Mailer-Daemon avec POSTFIX
Ecrit par DAVID
Sécuriser serveur OVH release 3 avec un firewall
Ecrit par DAVID
Migration installation vps kimsufi release3 OVH
Ecrit par DAVID
Release 3 OVH Guide des problèmes et bugs corrigés
Ecrit par DAVID
Serveur OVH hacké gentoo release 2
Ecrit par DAVID
 
ShareAnnonce version 1.0 Tous droits reserves. | Condition d'utilisation | Qui sommes nous ? | Contact