Keylogger ftp [Résolu/Fermé]

Signaler
Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
-
mimigenie
Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
-
Bonjour,

Mon site a subit une attaque d'un pirate via mon ftp.
Je pense donc que mon pc est peut-être infecté par un logiciel malveillant.

Comment m'assurer que je n'ai rien comme crasse ?
Mon antivirus est avast dernière version.

Merci d'avance,

Mic


8 réponses

Messages postés
175013
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 février 2020
19 452
Salut,

FTP est un service sensible.
Si tu peux, faut filtrer sur l'IP.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
214
Messages postés
175013
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 février 2020
19 452
Ton rapport est correct.
Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
214
Merci ca me rassure mais d'un autre côté je ne sais toujours pas comment le pirate a eu accès à mon ftp ...

C'était une attaque ciblée qui a modifié uniquement les fichiers .htaccess et les fichiers sensibles de mon fraework ( symfony 2.2 ) et c'est google qui m'a averti de l'injection de code des mes fichiers.

Merci pour votre aide,

Mic
Messages postés
175013
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 février 2020
19 452
Classique : http://forum.malekal.com/hack-web-site-fichier-htaccess-t26095.html

Ca peux être du tepfer : http://www.malekal.com/2012/07/18/psw-win32-tepfer-vol-ftp-et-injectionhack-de-sites/
c'est du jetable, il sel ance vol les mots de passe et il ne reste pas en place.

Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
214
Si mon pc est clean ainsi que me serveur ( j'ai remplacé tout les fichiers infectés ) je ne risque plus rien tant que je ne rechope pas ce keylogger pour ftp ?

Y-a-t-il un moyen particulier de s'en protéger ou il y a uniquement les conseils habituels ( ne rien télécharger d'inconnu etc. ) ?

Mic
Messages postés
175013
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 février 2020
19 452
Regarde là : http://forum.malekal.com/comment-securiser-son-ordinateur.html
et là : http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
1189
Date d'inscription
dimanche 3 janvier 2010
Statut
Membre
Dernière intervention
4 août 2018
214
Merci beaucoup de votre aide.

Mic