Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1794 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  corriger les degats d'un virus

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

corriger les degats d'un virus

n°1308392
chasseur d​e poules
Posté le 02-04-2012 à 13:18:19  profilanswer
 

Salut à tous !
 
J'ai pris une attaque sur mon serveur et il faut que je corrige les degats au plus vite (après je vais appliquer plusieurs correctifs qui devraient eviter que cela se reproduise)
Mon probleme est le suivant :
tous les fichiers .php on été modifiés  
- chmodé en 444
- remplacement sur la ligne 1 du code

Code :
  1. <?php

par le code malicieux

Code :
  1. <?php             /*god_mode_on*/eval(base64_decode("ZXZhbChiYXN ... etc etc ...


 
Maintenant ce qu'il me reste a faire c'est de corriger la ligne 1
je passe par SSH et je peux lancer des commandes Linux
 
j'ai pensé a faire cela  

Code :
  1. find . -type f -name '*.php' -exec chmod 644 {} \;
  2. find /home/www -name '*.php' -type f -exec sed -i "/1/c <?php \n" \;


la premiere ligne marche bien mais la seconde ne fonctionne pas bien
Pourriez-vous m'aider a corriger la commande.
Merciiiiiiii  :bounce:


Message édité par chasseur de poules le 02-04-2012 à 14:07:16
mood
Publicité
Posté le 02-04-2012 à 13:18:19  profilanswer
 

n°1308394
Hanka
Posté le 02-04-2012 à 13:33:48  profilanswer
 

bonjour,
 
t'es sûr que c'est une bonne idée? Remettre une machine compromise en route. Es-tu certains que rien d'autre n'a été fait. Tu devrais repartir sur un backup sain de ta machine et y appliquer les correctifs avant la remise en production.  
 
Pour l'avoir vécu chez un client, ton intervention semble une bonne idée, mais tu prends des risques. Nous avions fait comme toi et nous avons spammé le monde entier. :-(

n°1308397
chasseur d​e poules
Posté le 02-04-2012 à 13:53:25  profilanswer
 

je comprend ta réaction mais j'ai pas de backup sain. Je dois corriger toutes les pages php directement sur le serveur de prod ... après j’appliquerais des patch de sécu.
Tu dis avoir fait comme moi... alors tu as fait comment exactement ça m’intéresse.


Message édité par chasseur de poules le 02-04-2012 à 14:01:06
n°1308399
Hanka
Posté le 02-04-2012 à 14:13:57  profilanswer
 

Nous avions un backup sain. nous n'avions décelé des dégâts que dans le site, nous n'avons restauré que cette partie et corrigé les failles propres à PHP/Apache.    
 
Mais l'OS était également touché, le virus avait installé un cheval de Troie et le pirate s'est servi du serveur web comme passerelle pour spammer le monde entier.  
 
Conséquences directes, plus aucun mail provenant du range d'IP de ce client n'était accepté par les machines utilisant les listes rbl et le fournisseur d'accès a été contraint de couper l'accès web de cette boîte. Nous avons dû réinstaller la machine et prouver à notre provider que nous ne représentions plus un risque. Il ne faut pas croire, ils ne rigolent pas avec le spam.


Message édité par Hanka le 02-04-2012 à 14:14:44
n°1308403
chasseur d​e poules
Posté le 02-04-2012 à 14:50:49  profilanswer
 

je vois mais mon cas est different car je suis en mutu !
 
j'ai eu ma reponse sur un autre forum (comment ca marche)
je vous la livre
 
Pour corriger la premiere ligne

Code :
  1. find /home/www/ -name '*.php' -type f -exec sed -i '1 c <?php \n' {} \;


 
Pour proteger les .php en ecriture et eviter que cela se reproduise

Code :
  1. find . -type f -name '*.php' -exec chmod 404 {} \;


Message édité par chasseur de poules le 06-04-2012 à 13:58:03
n°1308419
bardiel
Debian powa !
Posté le 02-04-2012 à 18:17:50  profilanswer
 

Un mutu qui s'est fait hacké ?
J'espère que l'hébergeur a été mis au courant, ou que le hack t'a été communiqué par l'hébergeur (même si un "bon" mutu il n'y a pas grand risque)
 
Pour le code : tu accès à un /home/www ? [:transparency]  
Je regarderais aussi à ta place s'il n'y a pas d'ajout dans de code javascript, de liens insérés, d'iframe,...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1308477
chasseur d​e poules
Posté le 03-04-2012 à 11:16:51  profilanswer
 

en fait je suis sur une solution intermediaire.. j'ai accés a pas mal de chose (php.ini, ssh, home, ...) mais cela reste du mutualisé
j'ai surement pris le hack via un script js  

n°1308793
art_dupond
je suis neuneu... oui oui !!
Posté le 06-04-2012 à 12:16:51  profilanswer
 

Regarde aussi si tu n'as pas de trojan sur ton pc.
 
Me suis fait avoir par un truc qui ressemblait à ce qui est décrit ici : http://forum.ovh.com/showthread.php?t=49433
 


---------------
oui oui
n°1308798
bardiel
Debian powa !
Posté le 06-04-2012 à 13:10:46  profilanswer
 

chasseur de poules a écrit :

en fait je suis sur une solution intermediaire.. j'ai accés a pas mal de chose (php.ini, ssh, home, ...) mais cela reste du mutualisé


C'est qui ton hébergeur ? [:transparency]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1308808
chasseur d​e poules
Posté le 06-04-2012 à 13:53:08  profilanswer
 

PHPNET avec la formule Premium


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  corriger les degats d'un virus

 

Sujets relatifs
Comment corriger un décalage son/image dans un divx ?pas de virus ni spyware sous linux: intox?
Virus? Rootkit? Deconnexion intempestive, Help!Comment installer un virus sur ubuntu 8.1
ubuntu - virus sous partition windowsvirus linux
Grave probleme avec un virus (ou plusieurs)virus sur linux ?
decalage son, corriger => reencodage ?VIRUS MSN
Plus de sujets relatifs à : corriger les degats d'un virus


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR