Aller au contenu

Mon serveur virtuel Maxthon4.me s'est fait pirater


Ldfa

Messages recommandés

Il y a un GoogleBot qui scanne les vulnérabilités connues et il y a donc cette info quelque part chez Google. :tongue:

66.249.78.249 - - [29/Apr/2015:20:44:47 +0200] "GET /ajaxplorer/plugins/editor.zoho/agent/files/cache.php?zp=best-dissertation-writing-service HTTP/1.1" 200 3334 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

On pourrait essayer ce type de recherche :

"systemscash.php" -inurl:(htm|html|php) intitle:"index of"
Lien vers le commentaire
Partager sur d’autres sites

En guise de conclusion, voici ce qu'il faudrait faire pour éviter ce genre de désagréments :

 

- Mettre à jour les différentes applications PHP que l'on installe et les supprimer si on ne s'en sert pas.

 

- Eviter de nommer le dossier avec le nom de l'application, afin de ne pas faciliter la recherche..

 

- Utiliser Logwatch pour permettre de faire remonter toutes les tentatives d'accès réussites ou non.

 

- Tester la présence de nouveaux fichiers PHP dans le dossier /var/tmp/ et /var/www, je vais essayer de préparer un petit script de rien du tout à faire tourner une fois par jour avec Cron. ;)

 

- Faire des sauvegardes journalières afin de revenir en arrière facilement après une infection, afin de ne pas trop prendre la tête à rechercher les fichiers infectés. ;)

Lien vers le commentaire
Partager sur d’autres sites

J'étais finalement un petit peu trop confiant en moi car les Spammeurs sont revenus et j'ai eu de nouveau droit au courriel d'avertissement d'OVH avec blocage du SMTP. :angelic:

 

J'aurais dû redescendre une sauvegarde antérieure à l'infection afin d'être certain de ne plus être infecté. J'ai retrouvé les fichiers .header86.php, .javascript95.php, blog.php, login.php et option38.php disséminés dans les sous dossiers de /var/www.

 

En notant la date du 1er fichier découvert en parcourant les fichiers de log de Nginx, j'ai noté sa date de création (29/04/2015) et j'ai saisie cette commande qui m'a listé tous les fichiers créés à cette date. C'étaient tous des Trojans/Malwares du même type que les précédents :

find /var/www -mtime 6 -iname "*.php"

J'ai donc supprimé tous ces fichiers et je vais pouvoir réactiver à nouveau les mails sur mon serveur. :s:

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.