Le 24/05/2010 20:41, Dubois Vincent a écrit : Le 20 mai, date des derniers fichiers corrompus : > "193.47.80.39 - - [20/May/2010:00:34:27 +0200] "GET / HTTP/1.1" 200 > 4001 "-" "Mozilla/5.0 (compatible; Exabot/3.0; > +http://www.exabot.com/go/robot)" > 194.199.224.145 - - [20/May/2010:04:40:12 +0200] "GET > /css/images/button_degrade.gif HTTP/1.1" 200 2539 "-" "Mozilla/4.0 > (compatible;)" > 67.195.37.108 - - [20/May/2010:05:34:35 +0200] "GET > /xhtarget/php/showimg.php?img=img/serguei.062.jpg HTTP/1.0" 200 88 "-" > "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; > http://help.yahoo.com/help/us/ysearch/slurp)" > 220.181.94.232 - - [20/May/2010:12:06:50 +0200] "GET / HTTP/1.1" 200 > 5559 "-" "Sogou-Test-Spider/4.0 (compatible; MSIE 5.5; Windows 98)" > 220.181.94.232 - - [20/May/2010:12:07:00 +0200] "GET /robots.txt > HTTP/1.1" 302 219 "-" "Sogou web > spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)" > 119.63.193.56 - - [20/May/2010:21:07:24 +0200] "GET /robots.txt > HTTP/1.1" 302 219 "-" "Baiduspider+(+http://www.baidu.jp/spider/)" > 119.63.193.56 - - [20/May/2010:21:07:25 +0200] "GET /error404.html > HTTP/1.1" 200 1092 "-" "Baiduspider+(+http://www.baidu.jp/spider/)" > 119.63.193.56 - - [20/May/2010:21:07:25 +0200] "GET /index.html > HTTP/1.1" 200 5559 "-" "Baiduspider+(+http://www.baidu.jp/spider/)" En fait, ça c'est les logs du serveur HTTP: chaque fois chaque quelqu'un demande une page, ça crée une requête GET, et quand on envoie des données, ça crée une requête "POST"... c'est donc toutes les requêtes "POST" qu'il faut chercher... > Traceroute me renvoie "car06-2.dslam.club-internet.fr (212.194.40.38)" Ça veut juste dire que celui qui à attaqué était chez "club-internet"... > Je cherche... mais j'ai un peu de mal, car je ne sais pas trop quoi > chercher! C'est forcément une faille. Il faut se poser la question "Comment ces fichiers on pu arriver là?!" À partir de là, on peu envisager une faille FTP, donc: changer tout les mots de passe. Mais surtout, il est très facile de cracker un système d'uploads d'image: On écrit en PHP dans un fichier texte dont on modifie le header avec HexEdit et on l'uploade sous le nom 'fichier.php\0.gif'. Comme pour PHP, '\0' signifie 'fin de la chaîne, il récriera le fichier sous le nom 'fichier.php' est le tour est joué. Comme le cracker avait lancé depuis le script PHP une liste de commande qui ouvre le firewall et transforme un shell en serveur avec NetCat, il n'a plus qu'à lancer NetCat sur le serveur, chez lui, en client et il peut s'amuser dans le shell, créer un RC pour que celui-cî soit relancé au démarrage, se servir du serveur pour flooder, provoquer un DoS, et j'en passe...
Bien entendu, la plupart des système d'uploads doivent se débrouiller pour changer aléatoirement le nom du fichier, mais si le codeur qui à fait ton site était débutant... Autre piste (qui m'est totalement inconnue), l'injection SQL: si ton site utilise ses bases, il faudra te documenter sur ça... Enfin, j'ai lancé un Nmap sur le serveur de lien que tu m'a donné (un serveur de free) et il s'est révélé incapable de détecter l'OS: si ton hébergeur utilise une version exotique q'un OS exotique, il est possible qu'il soit truffé de faille (j'ai d'ailleurs entendu parler d'une faille qui permettait d'uploader vers un FTP sur un Kernek Linux très ancien...) Bref, les pistes ne manquent pas! Voilà un site et un article: <http://www.spiritofhack.net> <http://forum.spiritofhack.net/viewtopic.php?id=1532> Ça te sera (peut-être) utile! Sinon, tu as dit dans ton message précédent, que ce n'était pas toi qui avait codé ton site... Dans ce cas là, efface tout! AMHA, quand on à du mal avec le PHP, il vaut mieux installer WordPress ou similaire: c'est libre, c'est facile, on à tout de suite son site opérationnel et c'est super-personnalisable... mais surtout, ce sont des hackers qui ont tout sécurisé: c'est un système sûr! On peut progresser en regardant "sous le capot" et en modifiant et si un jour on s'en sent l'envie, on fait un vrai site en PHP de Zer0... Après, c'est juste un conseil: je pense qu'on ne devrait jamais utilisé un système qu'on ne connait pas, et c'est pour ça que je suis sous GNU/Linux, mais chacun ses opinions, c'est juste un conseil... Dans tous les cas, cette attaque est une bonne occasion d'apprendre: Merci les crackers xD -- ╭─────────────────────────────────────────────╮ │ ⬚ [ xterm - r...@skami ] − □ X │ ├─────────────────────────────────────────────┤ │| r...@skami# cat /proc/info |│ │| Mail: <sk...@skami-laptop.dyndns.org> |│ │| Site: <http://sk18_website.sfhost.net> |│ │| Projet: <http://pspmt.googlecode.com> |│ │| Skami_18 is free software: you can |│ │| redistribute it and/or modify it under |│ │| the terms of the GNU General Public |│ │| License as published by the Free Software |│ │| Foundation, either version 3 of the |│ │| License, or any later version. |│ │| r...@skami# |│ └─────────────────────────────────────────────┘ Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
