566 tutoriels disponibles
Chercher un tutoriel
Bienvenue
sur Shareannonce
 
Nettoyer serveur vps release3 hack rootkit
Ecrit par: Shareannonce
Date création:  08-11-2015
Nombre de vues:  3432
Catégorie:  informatique > gestion > ovh
Note: 
 
   Tutoriel N° 284

Nettoyer serveur vps release3 hack rootkit


1/ Methode débutant
2/ Méthode expert

1/ Methode débutant

- Restaurer un backup des sites de votre serveur
- Corriger faille de sécurité (CMS Wordpress, scipt upload ...) Faire les mises à jours nécessaires
- Demander un réexamen de votre site à Google sur Google Webmaster
- Si le problème persiste avec un rejet de Google Webmaster, vous devez passer à la méthode expert ci dessous

2/ Méthode expert
Les fichiers contaminés sont en général
- index*.php, 100% des fichiers *.js, les fichiers .htaccess
- il y a probablement des fichiers crées du type shs.php, conns.php ... des répertoires nommés images, upload, js ...
- Repérer les chaines vérolées de ses fichiers et supprimer pour chaque fichier la chaine ajoutée.

Pour localiser les fichiers contaminés, vous pouvez éditer les fichiers manuellement (conseillé) ou faire une recherche via une commande linux:

Voici quelques exemples

find / -name ".htaccess"
find / -name "index*.php"
find / -name ".js"
find / -name "shs.php"
find / -name ".conns.php"
find . -type f -name "index*.*" -exec grep -il 'WP Security Check' {} \;
find . -type f -name "index*.*" -exec grep -il '54cebbde412f3f8fb6b742c75bf1a894' {} \;
find . -type f -name "index*.*" -exec grep -il 'var _0xf184' {} \;

se mettre cd /
find . -type f -name "*.php" -exec grep -il 'cz.cc' {} \;
find . -type f -name "*.php" -exec grep -il 'base64_decode' {} \;
find . -type f -name "loginrc2.php" -exec ls -la {} \;
find . -type f -name "*.php" -exec grep -il 'error_reporting(0)' {} \;
find . -type f -name "*.js" -exec grep -il 'unescape' {} \;
find . -type f -name "*.php" -exec grep -il 'eval' {} \;
find . -type f -name "*.php" -exec grep -il 'eval(' {} \;

Afficher les derniers fichiers modifiés sur le serveurs les 300 dernieres minutes
find / -not -path '/sys*' -not -path '/dev*' -not -path '/proc*' -mmin -30

En FTP, classez par date les fichiers des répertoires pour repérer des fichiers modifiés ou ajoutés sur le serveur dans chaque répertoire

Ensuite faire un backup de vos sites, réinstaller votre seveur et restaurer vos fichiers.

Demander le réexamen de votre site à Google

Si ce n'est pas nécessaire, continuer à chercher, vous pouvez installer chkrootkit sur le serveur par exemple


Il est évident que ce tuto doit s'accompagner d'un serveur sécurisé avec un firewall, et bien sécurisé de façon général.



 
 
   Autres tutoriels de la même catégorie >
 
ShareAnnonce version 2.0 Tous droits reserves. | Condition d'utilisation | Contact