Bonsoir.
Suite à l'enquête que je mène depuis plusieurs jours, je constate que je ne
suis pas le seul dans le cas d'une fermeture de site forcée - chez notre
hébergeur préféré OVH.
Sur le forum OVH, on commence à trouver les premières réclamations qui
restent sans réponses. Il n'y a, semble-t-il, pas seulement les "Mutualisés"
ou les "dédiés" de touchés mais aussi les petits plans (720 - 60gp etc). Le
support OVH ne répond pas clairement aux raisons de ces fermetures soudaines
; rendant ainsi les accés aux sites impossibles, ou bien même totalement
indisponibles depuis plusieurs heures ou plusieurs jours pour
certains. Combien sommes nous dans ce cas ? C'est la raison de mon
intervention sur ce forum, même si cela peut en agacer certains. Je remercie
pleinement la compréhension des autres.
Sommes nous nombreux à être touchés par ces nouvelles mesures (si c'est le
cas de nouvelles mesures ou nouvelles configurations système) ?
Peut-être allez vous m'aider à récupérer l'info ici même.
A réception de plusieurs témoignages, et encore une fois suite aux
migrations (coïncidence facheuse pour notre hébergeur Top), quelques clients
ont reçu
le message du type : " votre site a été hacké, fermeture temporaire, etc."
Les témoignages relatent le fait que le support OVH leur demande de vérifier
leurs scripts, de revoir leurs protections, de faire des mises à jour php
(ou perl), sans pour autant leur fournir des indices de types "logs
systèmes" réclamés de manière insistante pour ma part et celle d'un autre
client.
J'ai même réceptionné les remarques concernant le problème de dates de ce
week-end. Les serveurs OVH ne semblaient plus à l'heure à différents moments
de la journée. Malgré le signalement de cette anomalie, nos messages sont
encore une fois restés sans réponses.
D'autres part, le laxisme conséquent et imposant de ces derniers jours,
laisse à penser qu'OVH ne dit pas tout concernant - de nouvelles mesures de
sécurité peut-être ?
Si désormais vos scripts comportent des erreurs, vous risquez fort de voir
s'abattre sur vous (et sans délais) la fermeture dite temporaire (qui
s'éternise finalement) de votre hébergement.
Alors que devons nous faire pour qu'OVH agisse et surtout ne réponde pas de
manière incompréhensible aux raisons de ces condamnations fortuites ?
Pour l'anecdote, l'un de mes premiers contacts m'a relaté en fin de journée,
que son site avait été fermé pour cause de "backdoor" lancé sur / par un
fichier index.html.- ? - Le propriétaire du site m'a tout bonnement avoué
qu'il s'agissait d'une simple erreur dans ses balises d'en-tête. Le <HTML>
du fichier n'était pas présent depuis plusieurs jours et qu'en effet, cela
avait pu provoquer une erreur de compréhension chez la "surveillance"
du support. Va savoir ce que peuvent raconter des logs dans ce cas là, selon
la configuration du système, des firewall, des protections etc.
Enfin, comme pour moi, le problème sur ce fichier index.html n'était pas
très claire, la réponse d'OVH encore moins. Je ne suis pas un professionnel
de la
protection, mais l'explication de l'hébergeur était là, très maladroite ou
très mal formulée. Avec l'accord du destinataire, nous avons transmis le
message à des experts en sécurité réseau afin de mieux comprendre ce qu'OVH
a souhaité transmettre - ? -
Si ce type de message vous dit quelque chose :
===============================================================
Des backdoor ont été lancées depuis votre compte sur plusieurs de nos
serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00 ./index.html
xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00 ./index.html
xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00 ./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
PID/Program name
tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN
31513/index.html
================================================================
Réponses apportées :
"
> > Il se trouve simplement qu'il y a une faille de sécurité au niveau d'un
de vos scripts (PHP ou Perl). Cette faille (dont nous ignorons la
localisation précise) a permis à un pirate de gagner un accès à 3 serveurs
webs (par le biais d'un shell)
> >
> > Ce pirate a lancé des backdoor sur ces serveurs afin de pouvoir s'y
connecter à tout moment, probablement dans le but de lancer une attaque sur
une autre cible. Nous ne devons notre salut qu'à une surveillance attentive
de l'activité de nos serveurs qui nous permet de remarque rapidement ce
genre de chose.
> >
> > Le pirate a nommé son programme index.html en espérant que nous ne le
remarquerions pas de cette façon, mais le problème ne vient pas du fichier
index.html (les fichiers HTML ne permettent pas se genre d'attaque, seul un
script PHP ou Perl le permet)
> >
> > Ce que nous attendons de vous, c'est de combler cette faille. Comme il
s'agit de votre site, vous êtes le plus à même de savoir ce qu'il peut y
avoir à faire. SI vous utilisez des scripts récupérés sur internet, vérifiez
leur validité et que vous possédez bien la dernière version. Si vous faites
vos propres scripts, consultez les sites spécialisés en sécurité software,
quelques trucs suffisent généralement à boucher la quasi-totalité des
failles de sécurité.
> >
> > Une fois que vous aurez fait le nécessaire, recontactez-nous et nous
réouvrirons votre site sans difficulté.
"
================================================================
En résumé, OVH a donné comme explications, qu'il s'agissait d'un pirate qui
avait nommé son programme de hacking "index.html", qu'il avait été lancé
depuis le site concerné - ? -
Pour précisions, le FTP n'avait pas été touché, aucuns fichiers n'avaient
été manipulés, mais le support a refusé de transmettre la moindre
information complémentaire pour connaître "les scripts" mis en cause de
manière autoritaire et sans indications précises (noms /répertoire etc.).
Je suis un peu surpris par des décisions aussi radicales, hormis le fait
(qu'en effet), un hébergeur est tenu de prendre des décisions rapides pour
protéger un ensemble de sites qui pourrait être touchés par le hacking d'un
seul.
Dans ce cas précis, durant ces dernières heures, nous sommes déjà quelques
uns, semble-t-il, à être touchés par des fermetures instantanées de nos
hébergements. Un peu léger de la part d'OVH.
De plus si on reprend l'historique des opérations chez eux, entre les
migrations de serveurs, les migrations SQL, les problèmes de dates, puis la
réception de messages indiquant des fermetures - ALORS même que le support
ne répond plus - ? - Des questions restent à se poser.
Je sais, vous risquez d'être fort nombreux à répondre à cette "longue
préface", mais mon but est simplement d'obtenir les témoignages de personnes
"qui subissent" actuellement.
Je ne souhaite pas ouvrir de débat sur la sécurité etc, je cherche juste des
réponses avant de prendre des décisions comme la plupart mes contacts
actuels.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Tchesmeli serge
../.. blabla ../..
Si ce type de message vous dit quelque chose : ============================================================== > Des backdoor ont été lancées depuis votre compte sur plusieurs de nos serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00 ./index.html xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00 ./index.html xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00 ./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN 31513/index.html =============================================================== >
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx= le compte incriminé je supose) et ouvre une socket sur le port 31513. Donc oui ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est tout a fait correct. S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps, les pages html ne sont pas des process visible sous ps (on voir juste les httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été trouvée et à permit à une personne tierce de lancer ce programme "index.html". Si vous utiliser des "usines à gaz" du type "spip", "phpbb", "phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés courant que des failles soient trouvées et divulguées. Si vous n'avez pas mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse faille" ou autre erreur de programation facilement detectable (par exemple des url ou l'on voit en clair l'include de fichiers/pages sans aucunes vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la derniére version stable et sécurisée, si c'est du fait maison sachez que l'on s'improvise pas "devellopeur web" sans avoir un minimum de connaissance en devellopement, demandez à un devellopeur confirmé de vérifier vos scripts (et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
../.. blabla ../..
Si ce type de message vous dit quelque chose :
============================================================== > Des backdoor ont été lancées depuis votre compte sur plusieurs de nos
serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00
./index.html
xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00
./index.html
xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00
./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
PID/Program name
tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN
31513/index.html
=============================================================== >
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un
programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx= le
compte incriminé je supose) et ouvre une socket sur le port 31513. Donc oui
ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est tout
a fait correct.
S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps,
les pages html ne sont pas des process visible sous ps (on voir juste les
httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été
trouvée et à permit à une personne tierce de lancer ce programme
"index.html". Si vous utiliser des "usines à gaz" du type "spip", "phpbb",
"phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés
courant que des failles soient trouvées et divulguées. Si vous n'avez pas
mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse
faille" ou autre erreur de programation facilement detectable (par exemple
des url ou l'on voit en clair l'include de fichiers/pages sans aucunes
vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la
derniére version stable et sécurisée, si c'est du fait maison sachez que
l'on s'improvise pas "devellopeur web" sans avoir un minimum de connaissance
en devellopement, demandez à un devellopeur confirmé de vérifier vos scripts
(et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais
qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant
leur migration et ont ouvert eux même des failles de sécu (mais peu
probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu
"hack".
Si ce type de message vous dit quelque chose : ============================================================== > Des backdoor ont été lancées depuis votre compte sur plusieurs de nos serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00 ./index.html xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00 ./index.html xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00 ./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN 31513/index.html =============================================================== >
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx= le compte incriminé je supose) et ouvre une socket sur le port 31513. Donc oui ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est tout a fait correct. S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps, les pages html ne sont pas des process visible sous ps (on voir juste les httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été trouvée et à permit à une personne tierce de lancer ce programme "index.html". Si vous utiliser des "usines à gaz" du type "spip", "phpbb", "phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés courant que des failles soient trouvées et divulguées. Si vous n'avez pas mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse faille" ou autre erreur de programation facilement detectable (par exemple des url ou l'on voit en clair l'include de fichiers/pages sans aucunes vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la derniére version stable et sécurisée, si c'est du fait maison sachez que l'on s'improvise pas "devellopeur web" sans avoir un minimum de connaissance en devellopement, demandez à un devellopeur confirmé de vérifier vos scripts (et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
zenzenzen
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais
qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant
leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
J'ai moi même connu des ouvertures lorsque les accés SQL saturaient, par deux fois, alors pour savoir ce qu'il y a eu lors des migrations, OVH ne s'en ventera pas si problèmes il y a eu. Mais bon, c'est une nouvelle leçon à retenir.
Si on en juge par les événements, OVH est parti en guerre contre le "préfabriqué" et ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés en peu de temps ? Mais pourquoi maintenant et pas avant ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement convaincu, n'ayant eu aucune réponse du support.
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
Ok merci pour ces réponses Serge, je transmets l'info à mes correspondants, notamment au site concerné.
Amicalement
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script
(mais
qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé
pendant
leur migration et ont ouvert eux même des failles de sécu (mais peu
probable).
J'ai moi même connu des ouvertures lorsque les accés SQL saturaient, par
deux fois,
alors pour savoir ce qu'il y a eu lors des migrations, OVH ne s'en ventera
pas si problèmes
il y a eu. Mais bon, c'est une nouvelle leçon à retenir.
Si on en juge par les événements, OVH est parti en guerre contre le
"préfabriqué" et
ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés
en peu de temps ?
Mais pourquoi maintenant et pas avant ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement
convaincu, n'ayant
eu aucune réponse du support.
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu
"hack".
Ok merci pour ces réponses Serge, je transmets l'info à mes correspondants,
notamment au site concerné.
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais
qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant
leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
J'ai moi même connu des ouvertures lorsque les accés SQL saturaient, par deux fois, alors pour savoir ce qu'il y a eu lors des migrations, OVH ne s'en ventera pas si problèmes il y a eu. Mais bon, c'est une nouvelle leçon à retenir.
Si on en juge par les événements, OVH est parti en guerre contre le "préfabriqué" et ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés en peu de temps ? Mais pourquoi maintenant et pas avant ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement convaincu, n'ayant eu aucune réponse du support.
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
Ok merci pour ces réponses Serge, je transmets l'info à mes correspondants, notamment au site concerné.
Amicalement
The Zed
On Tue, 7 Sep 2004 23:33:29 +0200, Tchesmeli serge wrote:
../.. blabla ../..
Si ce type de message vous dit quelque chose : ============================================================== >> Des backdoor ont été lancées depuis votre compte sur plusieurs de nos serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00 ./index.html xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00 ./index.html xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00 ./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN 31513/index.html =============================================================== >>
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx= le compte incriminé je supose) et ouvre une socket sur le port 31513. Donc
Juste histoire de couper les cheveux en quatre 31513 est un des process id, le port est le 18383, ouvert en ecoute sur toutes les interfaces (probablement le meme sur les trois machines).... just for correctness' sake!
oui ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est tout a fait correct. S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps, les pages html ne sont pas des process visible sous ps (on voir juste les httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été trouvée et à permit à une personne tierce de lancer ce programme "index.html". Si vous utiliser des "usines à gaz" du type "spip", "phpbb", "phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés courant que des failles soient trouvées et divulguées. Si vous n'avez pas mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse faille" ou autre erreur de programation facilement detectable (par exemple des url ou l'on voit en clair l'include de fichiers/pages sans aucunes vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la derniére version stable et sécurisée, si c'est du fait maison sachez que l'on s'improvise pas "devellopeur web" sans avoir un minimum de connaissance en devellopement, demandez à un devellopeur confirmé de vérifier vos scripts (et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
-- Using Opera's revolutionary e-mail client: http://www.opera.com/m2/
Si ce type de message vous dit quelque chose :
============================================================== >> Des backdoor ont été lancées depuis votre compte sur plusieurs de nos
serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00
./index.html
xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00
./index.html
xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00
./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
PID/Program name
tcp 0 0 0.0.0.0:18383 0.0.0.0:*
LISTEN
31513/index.html
=============================================================== >>
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un
programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx=
le
compte incriminé je supose) et ouvre une socket sur le port 31513. Donc
Juste histoire de couper les cheveux en quatre 31513 est un des process
id, le port est le 18383, ouvert en ecoute sur toutes les interfaces
(probablement le meme sur les trois machines).... just for correctness'
sake!
oui
ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est
tout
a fait correct.
S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps,
les pages html ne sont pas des process visible sous ps (on voir juste les
httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été
trouvée et à permit à une personne tierce de lancer ce programme
"index.html". Si vous utiliser des "usines à gaz" du type "spip",
"phpbb",
"phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés
courant que des failles soient trouvées et divulguées. Si vous n'avez pas
mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse
faille" ou autre erreur de programation facilement detectable (par
exemple
des url ou l'on voit en clair l'include de fichiers/pages sans aucunes
vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la
derniére version stable et sécurisée, si c'est du fait maison sachez que
l'on s'improvise pas "devellopeur web" sans avoir un minimum de
connaissance
en devellopement, demandez à un devellopeur confirmé de vérifier vos
scripts
(et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script
(mais
qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé
pendant
leur migration et ont ouvert eux même des failles de sécu (mais peu
probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu
"hack".
--
Using Opera's revolutionary e-mail client: http://www.opera.com/m2/
On Tue, 7 Sep 2004 23:33:29 +0200, Tchesmeli serge wrote:
../.. blabla ../..
Si ce type de message vous dit quelque chose : ============================================================== >> Des backdoor ont été lancées depuis votre compte sur plusieurs de nos serveurs webs :
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND xxxxxxxx 31513 0.0 0.0 1184 312 ? S Sep06 0:00 ./index.html xxxxxxxx 31096 0.0 0.1 1184 276 ? S Sep06 0:00 ./index.html xxxxxxxx 1635 0.0 0.0 1184 352 ? S Sep06 0:00 ./index.html
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:18383 0.0.0.0:* LISTEN 31513/index.html =============================================================== >>
Ce log (en fait plutot cette capture de ps et netstat) montre qu'un programme appelé index.html a été lancé sous l'utilisateur "xxxx" (xxx= le compte incriminé je supose) et ouvre une socket sur le port 31513. Donc
Juste histoire de couper les cheveux en quatre 31513 est un des process id, le port est le 18383, ouvert en ecoute sur toutes les interfaces (probablement le meme sur les trois machines).... just for correctness' sake!
oui ca a de forte chance d'etre une backdoor. Ce que dis le support OVH est tout a fait correct. S'il s'agissait d'une page web, on ne verais pas de "index.html" sous ps, les pages html ne sont pas des process visible sous ps (on voir juste les httpd qui servent les pages sous ps et pas le nom de la page).
Donc cela veut dire qu'une faille sous le compte utilisateur xxx a été trouvée et à permit à une personne tierce de lancer ce programme "index.html". Si vous utiliser des "usines à gaz" du type "spip", "phpbb", "phpnuke" ou script perl trouvé sur un site et j'en passe, il est trés courant que des failles soient trouvées et divulguées. Si vous n'avez pas mis vos scripts à jour: blam piratage assurée.
Si le site est entiérement fait "maison" alors il comporte de "grosse faille" ou autre erreur de programation facilement detectable (par exemple des url ou l'on voit en clair l'include de fichiers/pages sans aucunes vérifications dans le script, etc...).
Bref, si vous utilisez des moteurs tout fait, faire gaffe à avoir bien la derniére version stable et sécurisée, si c'est du fait maison sachez que l'on s'improvise pas "devellopeur web" sans avoir un minimum de connaissance en devellopement, demandez à un devellopeur confirmé de vérifier vos scripts (et surtout la sécurité de ces derniers).
Maintenant si vous etes sur qu'il n'y a aucunes failles sur vos script (mais qui peu prétendre cela?), p-e (je dis bien PEUT ETRE) qu'ovh a merdé pendant leur migration et ont ouvert eux même des failles de sécu (mais peu probable).
En tout cas je te confirme qu'a la vu du ps et netstat il y a bien eu "hack".
-- Using Opera's revolutionary e-mail client: http://www.opera.com/m2/
nicolas vigier
In article <413e2ca2$0$31395$, zenzenzen wrote:
Si on en juge par les événements, OVH est parti en guerre contre le "préfabriqué" et ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés en peu de temps ?
Qu'est ce qui vous permet de dire ca ? A mon avis ils sont en guerre simplement contre les scripts buggues qui ouvrent des failles de securite.
Mais pourquoi maintenant et pas avant ?
Par ce que c'est maintenant qu'un de vos script a ete utilise par un pirate pour s'introduire sur les serveurs ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement convaincu, n'ayant eu aucune réponse du support.
Il n'est pas forcement tres simple de trouver d'ou vient la faille. Vous n'avez pas acces aux logs de votre site ? Mais c'est a vous de debugger vos scripts, pas a OVH de le faire.
In article <413e2ca2$0$31395$626a14ce@news.free.fr>, zenzenzen wrote:
Si on en juge par les événements, OVH est parti en guerre contre le
"préfabriqué" et
ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés
en peu de temps ?
Qu'est ce qui vous permet de dire ca ? A mon avis ils sont en guerre
simplement contre les scripts buggues qui ouvrent des failles de
securite.
Mais pourquoi maintenant et pas avant ?
Par ce que c'est maintenant qu'un de vos script a ete utilise par un
pirate pour s'introduire sur les serveurs ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement
convaincu, n'ayant
eu aucune réponse du support.
Il n'est pas forcement tres simple de trouver d'ou vient la faille. Vous
n'avez pas acces aux logs de votre site ? Mais c'est a vous de debugger
vos scripts, pas a OVH de le faire.
Si on en juge par les événements, OVH est parti en guerre contre le "préfabriqué" et ce serait la raison d'autant de sites (je ne connais pas le nombre ) fermés en peu de temps ?
Qu'est ce qui vous permet de dire ca ? A mon avis ils sont en guerre simplement contre les scripts buggues qui ouvrent des failles de securite.
Mais pourquoi maintenant et pas avant ?
Par ce que c'est maintenant qu'un de vos script a ete utilise par un pirate pour s'introduire sur les serveurs ?
Pour ma part, je vais éplucher mes scripts mais je ne suis pas totalement convaincu, n'ayant eu aucune réponse du support.
Il n'est pas forcement tres simple de trouver d'ou vient la faille. Vous n'avez pas acces aux logs de votre site ? Mais c'est a vous de debugger vos scripts, pas a OVH de le faire.
Tchesmeli serge
../..
Juste histoire de couper les cheveux en quatre 31513 est un des process id, le port est le 18383, ouvert en ecoute sur toutes les interfaces (probablement le meme sur les trois machines).... just for correctness' sake!
Exact :) J'ai trop vite lu la capture de netstat :) 18383 le port ouvert, 31513 le PID du process qui à ouvert ce port.
../..
Juste histoire de couper les cheveux en quatre 31513 est un des process
id, le port est le 18383, ouvert en ecoute sur toutes les interfaces
(probablement le meme sur les trois machines).... just for correctness'
sake!
Exact :)
J'ai trop vite lu la capture de netstat :) 18383 le port ouvert, 31513 le
PID du process qui à ouvert ce port.
Juste histoire de couper les cheveux en quatre 31513 est un des process id, le port est le 18383, ouvert en ecoute sur toutes les interfaces (probablement le meme sur les trois machines).... just for correctness' sake!
Exact :) J'ai trop vite lu la capture de netstat :) 18383 le port ouvert, 31513 le PID du process qui à ouvert ce port.
Thierry SPERY
Bonjour,
je suis à la recherche de scripts et programes en langage MySql pour créer un soft de réservation horaire et journalier de matériel pour un club de sport, Vos grandes compétences aparantes m'engages a vous demandez si vous pouvez m'eguiller sur un site. Mille merci TS
Bonjour,
je suis à la recherche de scripts et programes en langage MySql pour créer
un soft de réservation horaire et journalier de matériel pour un club de
sport, Vos grandes compétences aparantes m'engages a vous demandez si vous
pouvez m'eguiller sur un site.
Mille merci TS
je suis à la recherche de scripts et programes en langage MySql pour créer un soft de réservation horaire et journalier de matériel pour un club de sport, Vos grandes compétences aparantes m'engages a vous demandez si vous pouvez m'eguiller sur un site. Mille merci TS
