Configuration:
Serveur dédié bare metal
Produit : Plesk Obsidian 18.0.53.2
OS version: CentOS 7 x86_64
----------
Bonjour à toutes et à tous,
Je rencontre la problématique suivante :
Après avoir été hacké par un "B374k Web Shell Packer", j'ai activé le mode rescue et j'ai supprimé les fichiers suspicieux. (ex: /www/vhosts/domain.tld/httpdocs/wp-includes/b374k-28.php)
Pour se faire j'ai monté mes deux partitions
mkdir /media/imagesysteme
mount /dev/md2 /media/imagesysteme
mount /dev/md3 /media/imagesysteme/var (je pense que les fichiers utilisateurs sont dans var)
J'ai vérifié la config réseau
cat /media/imagesysteme/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
IPADDR=w.x.y.z
NETMASK=255.255.255.0
ONBOOT=yes
GATEWAY=w.x.y.254
IPV6INIT=yes
IPV6_AUTOCONF=no
IPV6ADDR=abcdefabcdef::/64
Les adresses IP mentionnées sont bien celles attendues.
J'ai lancé un chroot
chroot /media/imagesysteme
J'ai ensuite parcouru mes différents sites situés dans /var/www/vhosts et supprimé la totalité (enfin je pense) des fichiers php suspicieux (tous injectés entre le 25 et le 28 Juillet) .
J'ai rebooté le serveur en mode hdd mais le serveur n'est toujours pas accessible via son IP habituelle.
Je ne peux donc pas accéder à Plesk pour terminer ma sécurisation et relancer mes services.
L'inaccessibilité d'une adresse IP publique est-elle une mesure de sécurité appliquée par OVH après un hack sur un de ses serveurs ou est-ce une problématique logicielle non résolue qui bloque encore le redémarrage normal ?
Auriez vous quelques pistes que je pourrais explorer (fichiers de logs, etc…) pour tenter de le redémarrer ?
Rappel de notre config
Serveur dédié bare metal
Produit : Plesk Obsidian 18.0.53.2
OS version: CentOS 7 x86_64
Merci par avance pour votre aide et votre compétence…
Philippe