Ldfa Posté(e) le 4 mai 2015 Auteur Posté(e) le 4 mai 2015 Voici l'adresse IP de mon Spammeur : 5.135.81.18 et il est chez OVH. Et voici le détail des vulnérabilité d'Ajaxplorer : http://www.cvedetails.com/vulnerability-list/vendor_id-9254/Ajaxplorer.html
Dixours Posté(e) le 4 mai 2015 Posté(e) le 4 mai 2015 Ah !!! Si c'est toujours du hasard, ça fait beaucoup de hasard !! Il scanne que les IP OVH non ?
Dixours Posté(e) le 4 mai 2015 Posté(e) le 4 mai 2015 Y a pas moyen de trouver les serveurs vérolés (par une recherche Google toute bête incluant le nom d'un fichier véreux par exemple) ? Juste pour voir ce que ça répond ?
Ldfa Posté(e) le 4 mai 2015 Auteur Posté(e) le 4 mai 2015 Il y a un GoogleBot qui scanne les vulnérabilités connues et il y a donc cette info quelque part chez Google. 66.249.78.249 - - [29/Apr/2015:20:44:47 +0200] "GET /ajaxplorer/plugins/editor.zoho/agent/files/cache.php?zp=best-dissertation-writing-service HTTP/1.1" 200 3334 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" On pourrait essayer ce type de recherche : "systemscash.php" -inurl:(htm|html|php) intitle:"index of"
Ldfa Posté(e) le 5 mai 2015 Auteur Posté(e) le 5 mai 2015 En guise de conclusion, voici ce qu'il faudrait faire pour éviter ce genre de désagréments : - Mettre à jour les différentes applications PHP que l'on installe et les supprimer si on ne s'en sert pas. - Eviter de nommer le dossier avec le nom de l'application, afin de ne pas faciliter la recherche.. - Utiliser Logwatch pour permettre de faire remonter toutes les tentatives d'accès réussites ou non. - Tester la présence de nouveaux fichiers PHP dans le dossier /var/tmp/ et /var/www, je vais essayer de préparer un petit script de rien du tout à faire tourner une fois par jour avec Cron. - Faire des sauvegardes journalières afin de revenir en arrière facilement après une infection, afin de ne pas trop prendre la tête à rechercher les fichiers infectés.
Dixours Posté(e) le 5 mai 2015 Posté(e) le 5 mai 2015 Il n'existe aucun outil pour vérifier que toutes les "applications" sont à jour ?
Ldfa Posté(e) le 5 mai 2015 Auteur Posté(e) le 5 mai 2015 Lorsque je parle d'application, ce sont en fait les applications écrites en PHP et non pas les applications Linux qui elles sont mises à jour à l'aide de la commande 'apt-get upgrade' pour une Debian.
Ldfa Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 J'étais finalement un petit peu trop confiant en moi car les Spammeurs sont revenus et j'ai eu de nouveau droit au courriel d'avertissement d'OVH avec blocage du SMTP. J'aurais dû redescendre une sauvegarde antérieure à l'infection afin d'être certain de ne plus être infecté. J'ai retrouvé les fichiers .header86.php, .javascript95.php, blog.php, login.php et option38.php disséminés dans les sous dossiers de /var/www. En notant la date du 1er fichier découvert en parcourant les fichiers de log de Nginx, j'ai noté sa date de création (29/04/2015) et j'ai saisie cette commande qui m'a listé tous les fichiers créés à cette date. C'étaient tous des Trojans/Malwares du même type que les précédents : find /var/www -mtime 6 -iname "*.php" J'ai donc supprimé tous ces fichiers et je vais pouvoir réactiver à nouveau les mails sur mon serveur.
Ldfa Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Oui, mais cette fois-ci, ils ne reviendront pas de sitôt !
Dixours Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 C'est dingue ce truc Hyper puissant. Avec tout ce que t'avais viré, il restait encore de quoi spammer, franchement chapeau (enfin, si je puis dire )
Ldfa Posté(e) le 11 mai 2015 Auteur Posté(e) le 11 mai 2015 Encore un très bon article concernant la détection de Backdoor PHP chez Malekal : http://forum.malekal.com/detecter-les-backdoor-php-t51402.html
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.