Page 1 of 1

Attaques en série

Posted: Wed May 26, 2010 8:08 am
by dec
Bonne surprise ce mardi matin avec non pas 1 mais une petite dizaine de mes sites attaqués et dont la page d'accueil affichait un simple:

Code: Select all

Parse error: syntax error, unexpected '<' in /.../.../.../index.php on line 90
.
Les deux fichiers du root de Joom index.php et index2.php étaient vérolés avec l'ajout d'un script en bas de page (la date de modif du 24/05 en référence).
Je rebalance donc les fichiers d'origine et là, base de données crashée.
Tiens, donc ?
Un simple "repair" avec mysql a suffit a refaire tourner l'ensemble.
Par contre, il a fallu vérifier l'intégralité des fichiers du serveurs car plusieurs, dont principalement les index.html, avaient été modifié dont également d'autres tels que .js Etc.
Travail long et fastidieux car mon ftp ne recherche pas par date de modification (si qqn connait un ftp qui fait cela...)
Je cherche la porte d'entrée de mon visiteur et... rien ! A croire qu'il était déjà dans la place...
Pas de logs curieux, pas d'alertes ni de blocage OVH...
J'étais tranquille jusqu'à maintenant car blindé en termes de sécurité (bon ok pas tous mais presque ;) )
Le gros soucis est de trouver la porte d'entrée.
Si quelqu'un a eu des échos...
Morphosys m'annonce un problème identique. je teste sa page d'accueil sauf que lui, le script fonctionne correctement et ça balance un gentil PDF.

edit: les sites concernés étaient tous en 1.5.16

Re: Attaques en série

Posted: Wed May 26, 2010 8:44 am
by morphosys
Bonjour,
Je confirme l'attaque
Pour moi, elle a eu le 24/05.
Sympa les gars. Ils peuvent pas attaquer des sites plus gros que nous...pfff
Je viens de remettre des nouveux fichiers index dans ma version v4
Je continue de chercher le pb avec mon gentil pdf....lol

Re: Attaques en série

Posted: Wed May 26, 2010 8:57 am
by dec
Recherche TOUS les fichiers modifiés (pas seulement des index) le 24 (ds ton cas) et écrase les avec les originaux.

Re: Attaques en série

Posted: Wed May 26, 2010 9:08 am
by dec
J'avance doucement.
Je confirme. A priori l'attaque ne concerne que des site en 1.5.16 et non antérieurs à cette version.

Re: Attaques en série

Posted: Wed May 26, 2010 2:23 pm
by morphosys
Je viens de modifié mon index pour ma page principale de mon site avec le pdf qui va bien....:)
Maintenant c ok. Je vous dit pas toutes les lignes qu'ils avaient rajouté.
Je continu ce soir ma recherche des fichiers infectés.

Re: Attaques en série

Posted: Wed May 26, 2010 3:31 pm
by dec
non pas de bol un vieux site en 1.0.15 également...
Et le téléphone sonne du genre hey il est où mon site??
Si quelqu'un a une idée de la faille. 15 de mes sites sont touchés. Aucun n'a le même composant, aucune trace dans les logs... Et pas de récurrence au niveau de la version.
J'ai détecté une faille avant tout le monde ou quoi ?

Re: Attaques en série

Posted: Sat May 29, 2010 6:57 am
by morphosys
Dit voi Dec, est ce que tu peux me redonner le htaccess que tu m'avais fait par hazard ou pas.