J'ai un dédié chez OVH depuis genre 2 ans, avec 5 users (un pour chaque sous-domaine), 3 qui ne me servent pas tellement (test, dev, ...) et 2 sur lesquels j'ai des sites qui tournent.

Aujourd'hui je recois le mail suivant:

Dear Customer,
We have detected unusual activity on your server ks ******.ip-*** - ***-**.net.
Please do not hesitate to contact our technical support so that this
situation does not become critical.
You can find the logs brought up by our system below which led to this alert.
- START OF ADDITIONAL INFORMATION -
Category: phishing
Date: 2014-05-21 14:42:56.087623231 +0200 CEST
IP: ***.***. **.** // C'est effectivement l'IP de mon serveur
Complainant(s):
    - Netcraft
URL: http:// *******.org/js/vendor/www.autenticacaoTABELA.com.Bradesco/42657657refsdf46565654/acessoLogin/
// C'est effectivement mon domaine

- END OF ADDITIONAL INFORMATION -
Kind regards,
OVH Customer Support
Regards,
Support OVH
Phone: 1-855-OVH-LINE (684-5463)
Email: support@ovh.us

Du coup je vais voir et effectivement, il y a de nouveaux fichiers et dossiers dans le répertoir www de l'un de mes users, sur lequel point l'un de mes vhost. Faciles a voir puisqu'ils on été créés hiers alors que les autres fichiers (les miens) remontent a 1 an. Il y a celui correpondant a l'adresse mentionnée sur l'email, et d'autres.

Ce que j'ai fait dans la panique ^^

  • J'ai viré tout les dossiers et fichiers qui n'ont rien a y faire
  • J'ai changé les mdp de tous mes users
  • J'ai changé le mdp root
  • J'ai disabled les 3 sites dont je ne me sert pas, dont celui d'ou venait l'attaque par phishing (a2dissite)
  • J'ai vérifié les dernières connections (commande linux 'last'), et je vois que c'est par ftp (et non ssh) que le vilain hacker s'est connecté (je suppose que c'est un moindre mal), et seulement sur ce user.

Questions:

  • Devrais-je faire ou vérifier autre chose pour etre sur de m'etre completement débarrassé de cette attaque particulière ?
  • Devrais-je prendre d'autres mesures pour m'assurer que cela ne se reproduise pas ?
  • Y a-t-il un moyen de me faire envoyer un mail sur une adresse perso gmail (sachant qu'il n'y a pas de serveur mail installé sur mon serveur OVH) a chaque connection ftp ou ssh ?
  • D'autres suggestions ou commentaires ?

Merci de votre aide !

10 réponses


Salut vallyan ;)

Bon deja, est ce que ton site à besoin du ftp ? est ce que sftp ne suffirait pas ? Autre chose combien de personne peuvent acceder à ton serveur, est ce qu'ils ont une ip fixe ?

Est ce que tu peux chroot ton ftp ?

Si tu veux je suis souvent connecté sur l'irc, si tu veux en parler ;)

Cordialement

Vallyan
Auteur

Décidément on ne se quitte plus toi et moi ;)

Alors, déja je vais ajouter, histoire de bien planter le décor, que je suis une bille en gestion de serveur ...

Ceci étant dit:

  • Si 'chroot mon ftp' ca veut dire que les utilisateurs sont confinés a leur home directory, alors c'est déja le cas.

  • Je suis le seul a avoir les acces et mdp de mon serveur, pour tous les users et pour le root. D'autre part seul un user (sur les 5 + root) est autorisé a se logger en ssh (je fais un 'su kiki' par la suite si je dois changer), et ce n'est pas le user qui a été hacké (ni le root évidement).

  • Je ne sais pas si j'ai besoin du ftp plutot qu'aure chose. Ce que je sais c'est que j'ai installé proftpd, et que coté client c'est filezilla que j'utilise. Je ne connais pas d'autre méthode de connection pour mettre mes fichiers (developpement en local, soit sous win, soit sous debian dans une machine virtuelle hosté par mon win).

Je peux as tellement asser sur irc pour le moment, mais je n'exclu pas d'y faire un tour plus tard s besoin. Merci pour ton retour en tous cas.

Pas de soucis ;) tu m'aide alors j'essaye de t'aider, on partage nos connaissances, le forum est fait pour ça ;)

Alors le fonctionnement d'un ftp via sftp c'est que l'on rajoute l'encryption dans un tunnel ssh pour te connecter à ton serveur et donc tes données ne sont plus envoyé en clair sur le reseau.

Le ftp je l'utilise au minimum voir jamais, je me connecte toujours via filezilla et en sftp et je ne rencontre aucun soucis de fonctionnement.

Alors apres je pense qu'il va falloir que l'on rentre dans le vif du sujet car il va falloir que tu me communique sur ta configuration de serveur.

Connait tu fail2ban ? Est ce qu'il est deja en place ?

Dans un premier temps, je te conseillerai de passer sur du sftp et de couper le ftp qui ne sert plus à rien.

Est ce que connais un peu l'iptable, la gestion des ports sur un serveur etc ?

Vallyan
Auteur

non :( ...

Enfin je connais de nom, je sais que ca existe, et j'ai une vague idée de ce que ca fait, mais ce n'est pas installé.

Je vais t'écouter, et passer du ftp au sftp, ca je devrais m'en sortir sans trop de mal. Je viens de mater quelques vidéos et c'est dans mes cordes.

Pour le reste, je vais attendre quelques semaines. Ce serveur me sert pour mon boulot, l'un des sites qui sont dessus est actuellement en cours de révision pour publication dans un journal scientifique, et je ne peux pas prendre le risque de faire une connerie et de foirer un truc qui rendrait le site indisponible ne serait-ce qu'un moment.

Par contre des que je peux je vais tenter de rendre le truc un peu plus secure, et si ca t'emmerde pas trop j'irai te harceler ici ou sur irc. En attendant je vais me faire un peu plus de video, histoire que j'ai pas l'air d'un gros noob la prochaine fois.

Tiens question, d'ailleurs:
j'ai mes 5 users, chacun avec un /home/username/www (vers lesquels pointent mes vhost, donc), qui ont tous un shell ... j'avais du voir ce type de config dans un tuto quelconque quelque part.

Mais je regardais une vidéo tout l'heure (justement sur sftp) qui montrait bien 1 user par sous-domaine, mais dont les home dir étaient dans /var/www/username, et sans shell (du genre 'usermod -s /bin/false username') ...

C'est quel genre de config qui te parle le plus, a toi ?

J'ai plus vue le deuxieme cas car comme ça on ne donne aucun shell de connexion pour ces users qui ne serviront que pour le sftp.

C'est quoi le probleme ils ont injecté des fichier sur ton domaine ?

Vallyan
Auteur

Oui :(
des fichiers php qui ont servi pour une attaque.

Bon, je dois admettre que mon mdp ftp etait pas hyper secure ...

Tu as regardé les log par où ils sont rentrés ? J'ai eu un probleme equivalent sur mon dedié où il y avait un vieux oscommerce. Ils avaient fait un emailling bien crade chez moi... J'ai nettoyé aussi un ftp d'un ami, qui avait eu un problème avec joomla :p

C'est depuis que je suis devenu un psycho rigide :p

Bonjour à tous,

depuis quelques jours, j'ai plusieurs sites hébergés sur des mutu ovh (des 60gp) qui ont été attaqué via FTP à priori. "Ils" téléchargent les fichiers puis les renvoient avec des modifications. Certaines fois pour des envois d'e-mail massif qui ont généré des blocages de la part d'ovh ou d'autres fois, pour injecter des trucs pas net du tout qui sont bloqués par l'antivirus de son PC lorsqu'on visite le site, dans le meilleur des cas. J'ai eu le retour d'une personne qui s'est malheureusement retrouvé attaqué par un virus "Cryptowall" en visitant un des sites...

Le support technique reste pour le moment sans réponses mais comment est-ce possible de récupérer les mdp ftp ? Je suis le seul à les avoir, et encore en crypté, sur mon flashfxp...

Je vous remercie de votre aide.

Bonjour,

Je rappele que le protocole ftp est un protocole qui n'encode pas les transactions et laisse passer en clair vos informations de connexion, si ils arrivent à avoir vos mots de passe c'est parce qu'il sniffe le reseau vers les serveurs mutu ovh.

http://guide.ovh.com/UtilisationSFTP

Cordialement