Impossible de supprimer des fichiers porno !!!

[laurynzo]

Bonjour a tous

voila, visiblement, le 26 mars 2007, un hacker a pu uploader des centaines de fichiers porno sur mon serveur FTp (un russe certainement que je connais pas) : dans le chemin ftp : html/emoticons/tmp/

comment a t'il pu s'y introduire ??

Et surtout plus grave : je ne peu rien suprimer dans ce dossier, ça me met erreur 550 : vous n'etes pas authorisé a suprimer ce fichier ! (les autres dossier c'est impec par contre)

Le staff, vous etes les seul a savoir quoi faire, merci de m'aider !

[Tyrtamos]

Bonjour,

Le droit de créer, renommer ou effacer un fichier ne dépend que des droits que vous avez sur le répertoire concerné.

Le pirate a dû d'abord uploader un fichier php à lui, et c'est ce fichier (donc le script php) qui a créé un nouveau dossier et téléchargé les fichiers en question dedans.

Or, un dossier ou un fichier crée par un script php, a comme propriétaire "apache" et pas vous: d'où le problème de permission.

Si le dossier était vide, vous pourriez le supprimer parce qu'il se trouve lui-même dans un dossier à vous. Mais vous ne pouvez pas supprimer les fichiers qui sont à l'intérieur parce que le dossier du pirate ne vous le permet pas. Des infos complémentaires ici: http://linux.jpvweb.com/serveurwebperso.html#Droitdaccess.

La solution consiste à créer une page php pour effacer ces fichiers. Le problème a déjà été abordé ici dans ce forum http://www.edelweisshosting.net/index.php/topic,3620.0.html et j'ai fourni un exemple de solution. Dans votre cas, il suffirait, grâce à un script php, d'élargir à chmod 777 le dossier du pirate, et vous pourriez alors supprimer les fichiers porno ainsi que le dossier du pirate avec votre logiciel ftp.

Une fois ce problème réglé, il faut en chercher la cause: comment le pirate a pu télécharger sa page php sur votre site. En général, c'est en passant un script shell comme paramètre dans un formulaire mal programmé: il faut trouver le trou sinon, ça recommencera. Regardez si il y a une mise à jour de sécurité du logiciel php que vous utilisez. Cherchez la page php du pirate (regardez avec les dates des fichiers: la page du pirate a probablement une date postérieure aux autres). Dans le cas où cette page aurait un nom caché (=qui commence par un point), configurez votre logiciel ftp pour afficher les fichiers cachés. Et vérifiez (et corrigez si nécessaire), si vous avez mis les bons droits sur les fichiers et répertoires du logiciel php que vous utilisez. Ce genre de problème arrive souvent quand on a élargi trop généreusement les droits à chmod 777.

Tyrtamos

[staff]

Bonjour

Vous pouvez aussi nous contacter pour que nous supprimions ces fichiers avant qu'ils ne vous causent un préjudice.

Vous devez également contrôler votre site et le mettre à jour. Autrement, ce genre d'actes peuvent recommencer.

Merci

[laurynzo]

merci a tous

pour la faille d'un scrip php, visiblement d'apres le staff sur l'autre topic, ce n'ai plus possible, je cite :

2 - Interdiction a Apache d'aller chercher des fichiers PHP ailleurs que sur le serveur lui même.
Par exemple:
http://www.votresite.com/modifdroits.php?fichier=http://....
http://www.edelweisshosting.net/index.php/topic,3620.msg25601.html#msg25601

donc j'en déduit que la personne a le mot de passe ftp ?

ceci dit, c'est en effet dans un dossier a permission 777 qu'il a mis ce script, mais impossible de me souvenir si c'est moi qui l'avait mit comme ça ou lui qui a changer, les autres dossier a permission 755 n'on rien dedans...

Je vais voir avec le script de notre excelent forumeur Tyrtamos :

<?php
$fichier='rep1/rep2/';
chmod($fichier, 0777);
?>

J'envoie un Message privé au staff pour savoir si on peu me changer mon mot de passe ftp (que le ftp si possible)

Merci

[laurynzo]

Concernant la methode du hacker, il avait aussi crée uen dizaine de fichier porno dans un autre dossier a chmod 777 que j'ai pu suprimer avec le ftp, donc ça acrédite la these qu'il a un accées direct au ftp ?

Sinon je vient de tester la modification du chmod, ça marche impec, seulement il faut le faire pour chacun des fichier (il y en a des centaines) qui son en chmod 600, meme en faisant un chmod sur le dossier parent "tmp" ça ne change que la permission du dossier, vous avez pas une astuce ?

merci

[Tyrtamos]

Pour effacer un fichier, il suffit d'avoir le droit d'écriture sur le dossier dans lequel se trouve ce fichier. Ce qui est le cas quand vous mettez le droit 777 sur le dossier.

Ça marche même pour un fichier root:root avec des droits "000"...

Donc, une fois le dossier passé en 777, effacez les fichiers sous ftp!

Essayez!

Tyrtamos

[laurynzo]

merci Tyrtamos , mais le chemin est le suivant : html/emoticons/tmp/
ces 3 dossiez son maintenant en chmod 777 !

ceci dit les centaines de fichiers, son toujours en chmod 600, et je ne peu pas les télécharger, ni renommer, ni supprimer

en revanche quand je fait le chmod sur un des fichier en 777, la je peu le suprimer...

mais je vais y passer un week end entier a metre chaques non  1 a 1, j'ai du oublier quelque chose ? faire un chmod 0000 ?

[Tyrtamos]

Bonjour,

Désolé que ça ne marche pas, mais la méthode que j'ai donnée correspond aux fondamentaux de gestion des droits linux (et Unix), et je suis sûr qu'elle marche: je l'ai utilisée de nombreuses fois, et je viens d'essayer encore: vos fichiers doivent pouvoir être effacés en ftp quelque soit leurs droits quand ils sont dans un répertoire sur lequel vous avez un droit d'écriture.

Bon, admettons que votre logiciel ftp ne vous le permet pas.

Je vous propose une autre solution: effacement par un script php!

Créez une page appelée "effacefichiers.php qui a ce contenu:

Code: [Select]

<?php
$handle=opendir('tmp/');
while ($fichier=readdir($handle)) {
  if (($fichier != ".") && ($fichier != "..")) {
    $fichieraeffacer="tmp/$fichier";
    unlink($fichieraeffacer);
    }
  }
closedir($handle);
?>
Vous uploadez cette page dans le dossier situé au-dessus de "tmp" (donc, dans "emoticons).

Et vous appelez cette page dans votre navigateur préféré: http://votresite/completezlechemin/effacefichiers.php

Ce script devrait vider tous les fichiers situés dans "tmp".

Il n'est cependant pas récursif: il n'effacera pas les éventuels sous-répertoires de "tmp", même s'ils sont vides, et affichera un message d'erreur pour chacun d'entre eux dans le navigateur. Ce n'est pas plus mal.

En changeant le nom du dossier dans le script php et son emplacement, vous pouvez vider le contenu de n'importe quel dossier sur lequel vous avez les droits d'écriture.

Faites quand même attention: l'effacement est définitif...

Ok?

Tyrtamos

[laurynzo]

merci Tyrtamos, je vais tester ça en te faisant une confiance aveugle

Mais avant j'aimerais que le staff me remette un autre mot de passe FTP, car j'ai peur que si il s'en rend compte (le hacker) se venge en me supprimant mon site complet (il a touché a rien d'autre).

Donc hier j'ai envoyer un MP au staff, si il peu faire avancer la situation ^^


Merci d'avance

[netmg]

mais je vais y passer un week end entier a metre chaques non  1 a 1, j'ai du oublier quelque chose ? faire un chmod 0000 ?

Tu peux pas tout sélectionner en même temps ?
Je te conseille avant tout de vérifier la faille (à partir des fichiers logs) et de supprimer tous les fichiers qu'ils ont déposés dans ton espace. Sinon, il renouvellera l'opération.