probleme sécurité [ovh] - Divers - Programmation
Marsh Posté le 22-08-2004 à 13:13:22
[bis]
regardes les fichiers recemments modifiés...
[/bis]
Marsh Posté le 22-08-2004 à 13:15:51
spa bete sa
Bon j'ai trouvé sa:
Code :
|
je l'ai dl et voici ce que Gnome me met comme nom de fichier (il arrive a me l'affichier):
Code :
|
Je pense que ca pourrait etre sa, c'est un fichier qui aurait pu etre envoyé par un autre membre du site, je lui demanderait confirmation des qu'il sera connecté.
Je precise que le "?" apparait sur gnome, sur le ftp je l'ai deja supprimé donc je ne sais plus ce qu'il y avait.
Il s'agit du fichier modifié derniere (1/2jours) le plus byzarre. A part ce dernier + 2/3 jpg rien n'a été modifié ces derniers jours.
Les autres fichier ayant été modifié avant samedi dernier.
Je vais dl tous les fichiers modifié ces derniers jours et voir si ils sont byzarre.
Marsh Posté le 22-08-2004 à 13:12:24
J'ai recus ce mail d'ovh ce matin
le site: http://unimangaff.com
Bonjour,
Notre système de surveillance (Okillerd) a detecté que l'un de vos
scripts ne s'exécute pas normalement: il est lancé comme un serveur.
Il s'agit de:
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Utilisatr Inode PID/Program name
tcp 0 0 0.0.0.0:59768 0.0.0.0:* LISTEN 22363 272504603 2695/raven
Ce genre de scripts n'est pas autorisé sur nos installations
car c'est une tentative potentielle de piratage.
Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour l'installer.
Nous avons désactivé l'espace web temporairement pour qu'aucun dégat
ne soit fait sur celui-ci.
Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problèmes. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.
Une fois le problème résolu, vous pouvez réouvrir votre site
en remettant les bons droits sur le répertoire "www" (chmod 705 www).
Amicalement
L'équipe d'ovh
Je dois dire que je ne sais pas trop quoi faire.
Je suis sur un hebergement mutualisé (60GP)
je n'ai apporté aucune modification au site des derniers jours donc cela ne vient pas de moi donc sa serait un hackers.
Je ne suis pas spécialiste sécurité donc pour trouver comment il a fait sa ne va pas etre facile
Pour le moment il faudrait que je desactive ce script mais je ne sais pas où le trouver, je suppose qu'il est lié a des fichiers present sur le ftp mais y en a beaucooup ^
Je me suis dit que vous auriez peut etre une idée
PS: je n'ai pas trouvé de section mieux appropriée