Injection code malicieux

anduriltdm · Le 24/11/2016, à 09:43

Bonjour,

Depuis hier, j'ai reçu une attaque sur mon serveur. Je possède une centaine de sites virtuels dans le '/home' et tous envoient une énorme quantité de spam. J'ai passé un scan Linux Malware Detect et ClamAV dans le /home, les deux m'ont trouvé les fichiers PHP infectés et ont été supprimés.

L'envoie de mail en masse persiste, plus de 1000 à la seconde. J'ai remarqué qu'à chaque fois que j'ajoutais des nouveaux fichiers PHP dans le /home, des codes malicieux s'injectaient automatiquement dans ces fichiers. Je pense qu'un script caché fait ce travail.

Avez-vous une idée ?

Merci.

bruno · Le 24/11/2016, à 10:01

Bonjour,

Il est probable que tes sites aient été infectés par injection de code en exploitant une faille de sécurité d'un CMS ou de tes propres scripts.

Quand cela arrive il est préférable de tout supprimer et de réinstaller le site proprement plutôt que d'utiliser des outils plus ou moins fiable censés réparer automatiquement ou pire tenter de nettoyer manuellement (parfois des centaines de fichiers PHP sur un CMS).

Si l'infection ne s'est pas limité à un seul site mais s'est propagée à tous tes sites, c'est soit que tu utilises le même code vulnérable sur tous les sites, soit que tu as un gros problème de configuration au niveau de tes hôtes virtuels (drois abusifs, pas de séparation des droits, etc.)

Dans tous les cas il est préférable de tout réinstaller à partir d'un sauvegarde saine après avoir trouvé l'origine de l'infection et apporté les corrections nécessaires. Et bien sûr changer tous les mots de passes et les clefs.

anduriltdm · Le 24/11/2016, à 10:43

Bonjour,

Le suexec est en place. Le problème est que je possède une centaine de sites.

bruno · Le 24/11/2016, à 10:46

Suexec bof…
Et ces sites utilisent quoi ? Un CMS, plusieurs CMS, des scripts maison ?

anduriltdm · Le 24/11/2016, à 10:51

Il a des sites en CMS Wordpress, Joomla, Drupal. Et d'autres en scripts maison, c'est très varié.

bruno · Le 24/11/2016, à 11:16

Je ne peux que répéter :
1. Essayer de trouver l'origine de l'infection : faille d'un ou plusieurs CMS/Scripts, mot(s) de passe compromis (faiblesse, attaque par force brute,…)
2. Prendre les mesures nécessaires pour sécuriser : mises à jour des CMS et de leur extensions, changement de tous les mots de passe ;
avec réinstallation complète à partir de sauvegardes saines.

anduriltdm · Le 29/11/2016, à 14:33

Je vois. Je vais de ce pas entamer ces procédures.

Merci pour votre aide.

LeoMajor · Le 29/11/2016, à 16:37

bonjour,

plus de 1000 à la seconde

si tu utilises un MTA, type postfix, cela devrait ralentir

smtp_destination_concurrency_limit = 5
smtp_destination_rate_delay = 1
smtpd_client_connection_count_limit = 4
smtpd_client_connection_rate_limit = 25

débrouille toi de capturer un minimum de log

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/11/2016, à 09:43

Injection code malicieux

#2 Le 24/11/2016, à 10:01

Re : Injection code malicieux

#3 Le 24/11/2016, à 10:43

Re : Injection code malicieux

#4 Le 24/11/2016, à 10:46

Re : Injection code malicieux

#5 Le 24/11/2016, à 10:51

Re : Injection code malicieux

#6 Le 24/11/2016, à 11:16

Re : Injection code malicieux

#7 Le 29/11/2016, à 14:33

Re : Injection code malicieux

#8 Le 29/11/2016, à 16:37

Re : Injection code malicieux

Pied de page des forums