Bonjour à tous,
 
Aujourd'hui, je viens de me rendre compte que mon serveur avait été compromis. Les premiers symptômes ont été l'apparition de pages blanches sur certains des sites hébergés (problème qui peut disparaitre en environ une journée).
 
J'ai donc décidé de regarder de plus près les pages posant problème, et j'ai remarqué que certains fichiers (principalement du index.php, login.php, header.php, footer.php et leurs variantes) ont été modifiés, et au vu des dates, je sais que ce n'est pas de mon fait.
 
En regardant le contenu des fichiers modifiés, j'ai trouvé ce genre de code :
 

 
Les pages blanches s'expliquent donc par la désactivation des erreurs par ce bout de code, qui à mon avis peut être foireux (il n'est pas toujours identique suivant les fichiers). D'après ce que j'ai compris, ce bout de script va chercher du code sur un serveur distant pour l'exécuter. Je n'ai aucune idée de ce que le code distant fait (mais je soupçonne qu'il tente de propager un trojan ou de de voler des informations). Si quelqu'un a déjà rencontré ce problème, je veux bien quelques explications de plus ...
 
En fouillant dans les logs, j'ai trouvé que les modifications des fichiers proviennent du FTP et qu'elles sont effectuées avec les comptes utilisateurs associés. Je suppose donc que le pirate a réussi à récupérer la liste des mots de passe des comptes FTP, mais pour cette partie, je ne me l'explique pas ...
 
Mon antivirus n'a pas protesté lors du surf sur les pages modifiées, ni lors du scan de mes machines qui vient de se terminer ...
 
Si vous avez des idées, n'hésitez pas à m'en faire part ... j'ai un peu peur de me lancer dans le changement de tous les mots de passe et dans le nettoyage des fichiers modifiés en ne sachant pas trop d'où est venue l'obtention des mot de passe FTP ...
 
edit : j'oublais la configuration du serveur (qui commence à dater) : Ubuntu Server 10.04.4 LTS (Lucid Lynx), Apache2, MySQL, PHP5, Proftpd. Tout le monde est bien à jour depuis les dépots.

Salut
 
Y a des virus qui récupèrent les mots de passe de filezilla par ex
Un bot modifie alors les fichiers automatiquement
 
Change tes pass ftp

J'ai déjà été victime de ce type d'attaque il y a 3 ans (faille flash, puis trojan), mais depuis, je ne stocke plus rien dans firefox/filezilla ... donc même en cas de virus, je doute que ce soit passé par là ... J'avais été bien plus emmerdé cette fois là (tentative d'utilisation du compte mail pour spammer, tentative de vol du solde du compte paypal, ...).
 
Mais depuis j'ai changé de machine ... mais si vous avez des moyens plus efficace qu'un anti virus pour chercher ce type d'infection, je suis preneur !

Ca va être dur de voir d'où ça vient
 
bruteforce, sniffing mot de passe ?

Tu indiques toi même dans ton 1er post la source : FTP avec des comptes existants.
 
A partir de là, il faut changer les mdp et prévenir les utilisateurs de ces comptes de vérifier qu'ils n'ont pas de virus sur le poste avec leur client FTP.
 
J'ai déjà eu ce problème avec un dev qui avait accès à plusieurs sites et a eu un virus sur son PC qui a récupéré les mdp de son client FTP.

Je viens de passer un deuxième anti virus sur ma machine, il n'a rien trouvé non plus ...
 
Curieusement, il ya deux comptes sur le serveur qui semblent pas avoir été touchés ...

y a des virus qui peuvent ne pas être détectés
Regarde dans les logs si c'est une ip à toi qui s'est connecté pour modifier les fichiers

Non, ce sont des IP de serveurs polonais, hongrois ou espagnols ... probablement compromis eux aussi

ok donc il reste àa savoir comment ils ont trouvé ton mot de passe
Il est sécurisé ? t'as un fail2ban ? tu te connectes en ftps ? tu l'as envoyé par mail ? ...

Ils font 8 caractères, contenant des majuscules, minuscules et chiffres ...
 
Il y a un fail2ban sur le serveur, je me connecte en FTP et je ne l'ai jamais envoyé par mail.

Bonjour,
 
la première faille c'est l'utilisation du protocole FTP car les données ne sont pas sécurisées et les informations circulent en claires, il suffit de faire  du sniff et  l'attaquant obtiendras  votre MDP , etc ..
 
pour remédier  à cela, utiliser  le Protocol SFTP avec Winscp par exemple.De  plus, utiliser  un générateur de mot de passe comme keepass. Vos mots de passe doivent être minimum du 100 Bits.
 
Ensuite, le rôle d'un anti-virus c'est de  détecter  des  virus sur  un poste OR  pour votre cas  , c'est la situation d'une anomalie réseaux/hotes et pour cela  il faut  mettre  en place  un NIDS et  HIDS ( Snort et OSSEC ) afin qu'ils puissent détecter  tout comportement suspect sur le réseau ou sur les machines.
 
je connais pas bien votre situation, mais  si vus voulez que  je vous aide  à la sécurisation de votre architecture, envoyer  moi plus d'information sur  cette attaque  par message privé.
 
Cordialement,
(Désoler des fautes d'orthographes)
Nicolas