Message d'erreur :
193.169.254.179 www.mon-site.com - [08/Dec/2021:12:22:02 +0100] "GET /sftp-config.json HTTP/1.1" 200 1417 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
Bonjour,
Je me suis aperçu que le fichier sftp-config.php avait été envoyé sur mon serveur à une date que j'ignore, et ce fichier contient le mot de passe et mon nom d'utilisateur ftp/ssh en claire afin d'utiliser sftp lorsque je code.
De ce fait, mon site web pouvait afficher ce document sur l'url mon-site.com/sftp-config.json
Après avoir étudié tous les logs web, j'ai aperçu qu'un robot de teste de failles a trouvé cette adresse en décembre qui a retournée un code http 200, de ce fait, le mot de passe de mon serveur était dans les mains de quelqu'un depuis décembre 2021.
J'ai évidemment changé mon mot de passe, retiré le fichier, et ajouté une règle htaccess pour éviter que ce soucis se reproduise,
Cependant j'aimerais solliciter votre aide car j'ai peur qu'un shell/backdoor puisse avoir été installé sur mon serveur,
Merci pour votre aide,
Ps: Je n'ai pas noté depuis décembre d'activité suspecte sur mon site si ce n'est une baisse de référencement fulgurante en février, mais sûrement aucun rapport à moins que mon mutualisé ai été utilisé pour spammer ou faire des choses dont j'ignore même l'existence
J'ai par ailleurs relevé une structure étrange dans mon serveur que je n'avais jamais vu avant, pourriez vous me confirmer si ces dossiers m, a et r sont normaux sur les mutualisés svp?
https://imgur.com/a/oCX5jn3
Merci beaucoup
Thomas.
pourriez vous me confirmer si ces dossiers m, a et r sont normaux sur les mutualisés svp?
Oui c'est ainsi sur plusieurs serveurs quand on les accède via SFTP. (3 premières lettres du login: /home/l/o/g/login )
Je me suis aperçu que le fichier sftp-config.php avait été envoyé sur mon serveur à une date que j'ignore
Ca a l'air très ancien, ça, avec un rapport avec Sublime FTP
Voir par exemple en 2012 déjà https://blog.sucuri.net/2012/11/psa-sftpftp-password-exposure-via-sftp-config-json.html
Ce fichier n'aurait pas dû se retrouver sur votre site.
Je me suis aperçu que le fichier sftp-config.php avait été envoyé sur mon serveur à une date que j'ignore, et ce fichier contient le mot de passe et mon nom d'utilisateur ftp/ssh en claire afin d'utiliser sftp lorsque je code.
De ce fait, mon site web pouvait afficher ce document sur l'url 1site.com/sftp-config.jsonsite.com/sftp-config.json
Bonjour @ThomasR42
Quelle grossière erreur et trou de sécurité.
Utilisez plutôt FILEZILLA et ajoutez un nouveau site dans le gestionnaire de site.
**_Vous n'aurez plus alors à retenir le mot de passe._**
Voir dans mon guide, paragraphe : **E - Installation du logiciel FTP FILEZILLA**
**__________________________________________________________________________________**
Voici un petit guide que j'ai écrit et qui pourrait vous apporter des éclaircissements pour une Installation complète et propre de votre Site.
**************************************************************************************************
* **Guide - Comprendre la Relation Domaine > Zone DNS > Hébergement > Dossier du site** *
**************************************************************************************************
Voir --> **https://www.wordetweb.com/word-et-web/WORDPRESS-guide-installation-de-WordPress-premier-domaine-chez-OVH-FR.htm CMS - WordPress - Guide Installation chez OVH**
Contrôler votre situation en suivant **attentivement** les paragraphes : **A** à **J**
_N'hésitez pas à me faire un retour : positif ou négatif._
_C'est comme cela que je peaufine mon Guide._
_Si ce guide vous a bien aidé, n'hésitez pas à cliquer sur le bouton « j'aime »_
Bonjour,
Je suis développeur de métier, je connais très bien filezilla, et j'ai bien conscience de la gravité de ce genre d'erreur qui n'est, évidemment, pas volontaire.
Ce fichier json n'est pas sensé être uploadé, et j'utilise SFTP pour sauvegarder d'un simple ctrl + S les fichiers des sites sur lesquels je travaille, sauf que le fichier de configuration a été envoyé aussi à un moment donné, chose qui n'aurait pas dû arriver, et qui semble tellement évident que j'ai réalisé seulement maintenant que ce n'était pas le cas.
Ma crainte aujourd'hui est que mon serveur soit infecté par un shell ou une backdoor, via un fichier ou un bout de code rajouté dans un fichier existant,
J'aurais aimé savoir comment vérifier cela sachant que j'ai un grand nombre de fichiers, j'ai analysé en détails les logs OVH mais je ne trouve pas d'options pour mettre en avant toutes les différentes url ayant menées à des réponses HTTP 200, pour ainsi avoir une vue sur tout ça et trouver une url qui ne serait pas souhaitable.
J'ai cependant épluché les logs ligne par ligne entre décembre 2021 et aout 2022, au niveau des logs FTP et SSH, et aucunes ip autre que la mienne n'a été enregistrée dans l'ensemble de ces logs. Est-ce que cela veut dire que personne n'a utilisé ce mot de passe ? J'avoue ne pas être très compétent en réseau, mais je comprends la chose comme cela,
Merci pour vos réponses
Merci pour votre réponse très complète.
Mais je ne saurai vous aider sur ce point.
J'ai cependant épluché les logs ligne par ligne entre décembre 2021 et aout 2022, au niveau des logs FTP et SSH, et aucunes ip autre que la mienne n'a été enregistrée dans l'ensemble de ces logs
Je pense que vous êtes safe dans ce cas.
Pour injecter un webshell ou autre cheval de troie/backdoor, il n'y a pas de raison de chercher dans les logs web (sauf si votre site présente d'autre vulnérabilités évidemment)
Je suis plutôt optimiste dans votre cas.
Sinon vous faites la liste des MD5 de tous les fichiers présents sur votre copie locale, vous téléchargez tout votre site depuis OVH, et vous faites la liste de tous les fichiers dont le MD5 est introuvable dans votre copie locale.
par exemple un truc dans le genre :
`find /copie/ovh/ -exec "md5sum {} | grep -v -f liste_des_MD5 \;"`
(pas testé, évidemment)
Ok merci
Le soucis c'est que j'ai les fichiers originaux mais je les synchronise d'un pc à l'autre quand je bosse donc si un des fichier a été infecté avec du code, il est probable que le code soit aussi dans mes fichiers locaux
Quel est l'intérêt d'un hackeur de chercher des vulnérabilités en spammant des urls sensibles, si une fois trouvé, il ne fait rien?
j'ai les fichiers originaux
C'est un site que vous avez codé vous-même, ou bien c'est un Wordpress/Joomla/Drupal/... ?
Bonjour,
Un site codé par moi même, un genre de cms
codé par moi même
Dans ce cas vous êtes le fournisseur ("supplier") et êtes la meilleure personne placée pour déceler un "supply chain attack"
https://www.wired.com/story/hacker-lexicon-what-is-a-supply-chain-attack/
Des firmes comme sucuri ont peut-être des outils pour analyser des codes sources PHP et déceler les instructions suspectes qui servent à masquer (_obfuscation_) des instructions _malicieuses_ .
Je vais jeter un oeil dans ce cas, merci