Tutoriel N° 257
Serveur OVH hacké gentoo release 2
# Un serveur hacké en général sert
- de serveur de mail
- serveur de torrent
- place des liens sur vos pages en les modifiants
- serveur de torrent
- place des liens sur vos pages en les modifiants
# Dans un premier temps, il vous faut localiser le ou les problèmes, je vous conseille d'installer et d'executer
- Chkrootkit
- Rkhunter
- Rkhunter
Ces 2 scripts vous indiqueront si des fichiers sont vérolés sur votre machine !
Nous avons traiter l'installation de ces scripts dans le tutoriel suivant:
Sécuriser serveur OVH Kimsufi Gentoo Release 2
ce tutoriel vous explique notamment la façon d'activer les logs ftp, nécessaire !
# En général des scripts avec le user nobody nogroup s'executent, vous pouvez les localiser avec la commande linux:
ps auxw | grep ^nobody
# Les attaques et infections classiques consistent à modifier les fichier index.* (html, php ...) qui se trouvent sur votre serveur et d'y ajouter un code crypter qui se decode sur une base64
Dans un premier temps:
Afficher le code source de vos fichiers et regarder si un bout de code y a été ajouté
Si oui ==> Supprimer sur tous les fichier index (.htaccess, *.js) le bout de code ajouté.
# Voici quelques commandes pratiques pour détecter les fichiers infectés sur votre serveur
find / -iname "index.*" -mtime -3 -print
Cherche les fichiers modifier de 3 jours ou moins
find /home -cmin -60
fichier modifier depuis moins d'une heure
find / -iname ".htaccess"
find . -iname "ftpchk3*.*"
se mettre cd /
find . -type f -name ".htaccess" -exec grep -il 'RewriteCond %{REQUEST_FILENAME} !-f' {} ;
se mettre cd /
find . -type f -name "*.php" -exec grep -il 'base64' {} ;
affiche fichier
find . -type f -name "*.php" -exec grep -il 'eval' {} ;
Cherche les fichiers modifier de 3 jours ou moins
find /home -cmin -60
fichier modifier depuis moins d'une heure
find / -iname ".htaccess"
find . -iname "ftpchk3*.*"
se mettre cd /
find . -type f -name ".htaccess" -exec grep -il 'RewriteCond %{REQUEST_FILENAME} !-f' {} ;
se mettre cd /
find . -type f -name "*.php" -exec grep -il 'base64' {} ;
affiche fichier
find . -type f -name "*.php" -exec grep -il 'eval' {} ;
En général les fichier .htaccess sont également modifier et il se peut qu'il y est des création de fichier .js
# Il ne suffit pas de réinstaller votre serveur, il faut d'abord éliminer les fichiers vérolés !
# En général l'acces sur votre serveur s'est fait par ftp
==> Vous allez devoir changer vos mot de passe ftp
# les fichiers vérolés (qui servent à envoyer des mails, ou a autres choses, seront en général appelés de l'extérieur pour être exécutés des milliers de fois par jour.
==> Consulter vos logs pour voir le nom de ces fichiers, il se peut que ce soit des fichiers php crées par le virus installé !
# Consultation des logs:
cd /var/log/httpd
ls
lecture
nano domaine_access_log (remplacer domaine par le nom de vos domaines)
ls
lecture
nano domaine_access_log (remplacer domaine par le nom de vos domaines)
RESUME:
- Détection des fichiers vérolés
- Suppression des codes ajoutés à vos fichiers
- Suppression des fichiers ajoutés
- Modifications de tous les codes ftp (consultations des logs ftp, il faut les activer)
- Réinstallation du serveur
- Sécurisation du serveur (firewall, éviter attaque PHP, limitation acces ftp à votre ip ....)
Sécuriser serveur OVH Kimsufi Gentoo Release 2
