Le 23/05/2010 21:11, Dubois Vincent a écrit : > Comment puis-je faire pour éviter cela? > Simplement changer le mot de passe de l'accès FTP? En fait, le cracker qui à fait ça s'est peut être introduit par le FTP, mais c'est peu probable: à moins que ton mot de passe soit très court ou très simple, cela prendrait des heures d'essayer toutes les combinaisons par force brute... Et les attaques par force brute sont les genres de trucs "qui se voient"... Sans compter que sur un FTP, on ne peut pas enchaîner 800 tentatives par secondes: avec maximum 2-3 requêtes d'authentifications par secondes, ça prendrait des mois pour tomber sur le mot de passe et on ne verrait que ça en examinant les logs...
À ta place, je changerai certes mon mot de passe (si quelqu'un c'est introduit dans le système, il faut le considérer comme obsolète), mais je chercherais des failles: Si le site est dynamique (en PHP, Python, Perl ou autre...), est ce qu'un formulaire d'envoi ne permettait pas d'envoyer de code?! Et surtout, regarde de côté des formulaires d'uploads, si il y en à: c'est très facile d'injecter un fichier texte sur un système d'upload d'images simplement en modifiant le header de ce fichier... le problème, c'est si ce fichier est exécuté comme de code PHP, par exemple: il suffit alors au cracker d'appeler une ou deux commandes externes (par exemple NetCat) et il se retrouve avec un accès au shell: il peut faire ce qu'il veut... Il faudrait aussi interroger les personnes pouvant accéder au FTP: sont-elles sûres de ne pas avoir été victimes de social-engineering?! Il faudrait enfin lire le code ajouté par le cracker: que fait ce code? Cela peut donner des information! Enfin, il faut regarder dans les logs du serveur: il y-à t'il eu plusieurs échecs d'authentifications récemment?, qui s'est connecté au FTP ou en SSH récemment, etc... Bref, ne te contente pas de changer ton mot de passe: cherche :-) -- ╭─────────────────────────────────────────────╮ │ ⬚ [ xterm - r...@skami ] − □ X │ ├─────────────────────────────────────────────┤ │| r...@skami# cat /proc/info |│ │| Mail: <[email protected]> |│ │| Site: <http://sk18_website.sfhost.net> |│ │| Projet: <http://pspmt.googlecode.com> |│ │| Skami_18 is free software: you can |│ │| redistribute it and/or modify it under |│ │| the terms of the GNU General Public |│ │| License as published by the Free Software |│ │| Foundation, either version 3 of the |│ │| License, or any later version. |│ │| r...@skami# |│ └─────────────────────────────────────────────┘ Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
