Ldfa Posté(e) le 4 mai 2015 Auteur Partager Posté(e) le 4 mai 2015 Voici l'adresse IP de mon Spammeur : 5.135.81.18 et il est chez OVH. Et voici le détail des vulnérabilité d'Ajaxplorer : http://www.cvedetails.com/vulnerability-list/vendor_id-9254/Ajaxplorer.html Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliver Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Trahi par les siens ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dixours Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Ah !!! Si c'est toujours du hasard, ça fait beaucoup de hasard !! Il scanne que les IP OVH non ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dixours Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Y a pas moyen de trouver les serveurs vérolés (par une recherche Google toute bête incluant le nom d'un fichier véreux par exemple) ? Juste pour voir ce que ça répond ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 4 mai 2015 Auteur Partager Posté(e) le 4 mai 2015 Il y a un GoogleBot qui scanne les vulnérabilités connues et il y a donc cette info quelque part chez Google. 66.249.78.249 - - [29/Apr/2015:20:44:47 +0200] "GET /ajaxplorer/plugins/editor.zoho/agent/files/cache.php?zp=best-dissertation-writing-service HTTP/1.1" 200 3334 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" On pourrait essayer ce type de recherche : "systemscash.php" -inurl:(htm|html|php) intitle:"index of" Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 5 mai 2015 Auteur Partager Posté(e) le 5 mai 2015 En guise de conclusion, voici ce qu'il faudrait faire pour éviter ce genre de désagréments : - Mettre à jour les différentes applications PHP que l'on installe et les supprimer si on ne s'en sert pas. - Eviter de nommer le dossier avec le nom de l'application, afin de ne pas faciliter la recherche.. - Utiliser Logwatch pour permettre de faire remonter toutes les tentatives d'accès réussites ou non. - Tester la présence de nouveaux fichiers PHP dans le dossier /var/tmp/ et /var/www, je vais essayer de préparer un petit script de rien du tout à faire tourner une fois par jour avec Cron. - Faire des sauvegardes journalières afin de revenir en arrière facilement après une infection, afin de ne pas trop prendre la tête à rechercher les fichiers infectés. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dixours Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 Il n'existe aucun outil pour vérifier que toutes les "applications" sont à jour ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 5 mai 2015 Auteur Partager Posté(e) le 5 mai 2015 Lorsque je parle d'application, ce sont en fait les applications écrites en PHP et non pas les applications Linux qui elles sont mises à jour à l'aide de la commande 'apt-get upgrade' pour une Debian. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 6 mai 2015 Auteur Partager Posté(e) le 6 mai 2015 J'étais finalement un petit peu trop confiant en moi car les Spammeurs sont revenus et j'ai eu de nouveau droit au courriel d'avertissement d'OVH avec blocage du SMTP. J'aurais dû redescendre une sauvegarde antérieure à l'infection afin d'être certain de ne plus être infecté. J'ai retrouvé les fichiers .header86.php, .javascript95.php, blog.php, login.php et option38.php disséminés dans les sous dossiers de /var/www. En notant la date du 1er fichier découvert en parcourant les fichiers de log de Nginx, j'ai noté sa date de création (29/04/2015) et j'ai saisie cette commande qui m'a listé tous les fichiers créés à cette date. C'étaient tous des Trojans/Malwares du même type que les précédents : find /var/www -mtime 6 -iname "*.php" J'ai donc supprimé tous ces fichiers et je vais pouvoir réactiver à nouveau les mails sur mon serveur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliver Posté(e) le 6 mai 2015 Partager Posté(e) le 6 mai 2015 Quel bande de p'tits salopards ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 6 mai 2015 Auteur Partager Posté(e) le 6 mai 2015 Oui, mais cette fois-ci, ils ne reviendront pas de sitôt ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dixours Posté(e) le 6 mai 2015 Partager Posté(e) le 6 mai 2015 C'est dingue ce truc Hyper puissant. Avec tout ce que t'avais viré, il restait encore de quoi spammer, franchement chapeau (enfin, si je puis dire ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ldfa Posté(e) le 11 mai 2015 Auteur Partager Posté(e) le 11 mai 2015 Encore un très bon article concernant la détection de Backdoor PHP chez Malekal : http://forum.malekal.com/detecter-les-backdoor-php-t51402.html Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.