Salut à tous !
 
J'ai pris une attaque sur mon serveur et il faut que je corrige les degats au plus vite (après je vais appliquer plusieurs correctifs qui devraient eviter que cela se reproduise)
Mon probleme est le suivant :
tous les fichiers .php on été modifiés  
- chmodé en 444
- remplacement sur la ligne 1 du code

par le code malicieux

 
Maintenant ce qu'il me reste a faire c'est de corriger la ligne 1
je passe par SSH et je peux lancer des commandes Linux
 
j'ai pensé a faire cela  

la premiere ligne marche bien mais la seconde ne fonctionne pas bien
Pourriez-vous m'aider a corriger la commande.
Merciiiiiiii  

bonjour,
 
t'es sûr que c'est une bonne idée? Remettre une machine compromise en route. Es-tu certains que rien d'autre n'a été fait. Tu devrais repartir sur un backup sain de ta machine et y appliquer les correctifs avant la remise en production.  
 
Pour l'avoir vécu chez un client, ton intervention semble une bonne idée, mais tu prends des risques. Nous avions fait comme toi et nous avons spammé le monde entier. :-(

je comprend ta réaction mais j'ai pas de backup sain. Je dois corriger toutes les pages php directement sur le serveur de prod ... après j’appliquerais des patch de sécu.
Tu dis avoir fait comme moi... alors tu as fait comment exactement ça m’intéresse.

Nous avions un backup sain. nous n'avions décelé des dégâts que dans le site, nous n'avons restauré que cette partie et corrigé les failles propres à PHP/Apache.    
 
Mais l'OS était également touché, le virus avait installé un cheval de Troie et le pirate s'est servi du serveur web comme passerelle pour spammer le monde entier.  
 
Conséquences directes, plus aucun mail provenant du range d'IP de ce client n'était accepté par les machines utilisant les listes rbl et le fournisseur d'accès a été contraint de couper l'accès web de cette boîte. Nous avons dû réinstaller la machine et prouver à notre provider que nous ne représentions plus un risque. Il ne faut pas croire, ils ne rigolent pas avec le spam.

je vois mais mon cas est different car je suis en mutu !
 
j'ai eu ma reponse sur un autre forum (comment ca marche)
je vous la livre
 
Pour corriger la premiere ligne

 
Pour proteger les .php en ecriture et eviter que cela se reproduise

Un mutu qui s'est fait hacké ?
J'espère que l'hébergeur a été mis au courant, ou que le hack t'a été communiqué par l'hébergeur (même si un "bon" mutu il n'y a pas grand risque)
 
Pour le code : tu accès à un /home/www ?  
Je regarderais aussi à ta place s'il n'y a pas d'ajout dans de code javascript, de liens insérés, d'iframe,...

en fait je suis sur une solution intermediaire.. j'ai accés a pas mal de chose (php.ini, ssh, home, ...) mais cela reste du mutualisé
j'ai surement pris le hack via un script js  

Regarde aussi si tu n'as pas de trojan sur ton pc.
 
Me suis fait avoir par un truc qui ressemblait à ce qui est décrit ici : http://forum.ovh.com/showthread.php?t=49433
 

C'est qui ton hébergeur ?

PHPNET avec la formule Premium