View previous topic :: View next topic |
Author |
Message |
gorgorbhey n00b
Joined: 10 Nov 2010 Posts: 2
|
Posted: Wed Nov 10, 2010 11:39 am Post subject: Faille de configuration Apache |
|
|
Bonjour,
Le serveur d'hébergement de mon entreprise se fait pirater régulièrement. Des pages de Phishing sont régulièrement installées sur différents sites hébergés sur le serveur.
Après avoir installé le SFTP, MySecureShell, désactivé le login Root, modifié les droits sur différents hôtes virtuels (de 775 en 755), changé le port de connexion SSH... je viens de m'apercevoir que l'utilisateur apache , dans httpd.conf est <NomUser> du groupe <NomGroupe>.
Dans suphp.conf le webserver_user est lui aussi au même <NomUser>.
Or c'est ce <NomUser>:<NomGroupe> le propriétaire de l'ensemble des sites internet du serveur (arg) !
Donc si je comprends bien l'utilisateur internet a des droits RWX sur les hôtes virtuels.
C'est une faille de sécurité tellement grosse que je n'ai pas pensé à la vérifier en premier.
Je me demande donc comment je vais faire pour rétablir une sécurité avec comme User:nobody et Group:nobody dans le httpd.conf et dans le suphp.conf
J'ai fais un essai bourrin mais j'ai eu une Server Internal Error.
Est-ce-que quelqu'un pourrait, s'il vous plaît, m'indiquer la méthodologie à suivre ?
Merci |
|
Back to top |
|
|
gorgorbhey n00b
Joined: 10 Nov 2010 Posts: 2
|
Posted: Wed Nov 10, 2010 12:03 pm Post subject: |
|
|
Bon j'ai fais une modif de bourrin encore ce midi
chgt de user et group en nobody dans le httpd.conf
chgt du webserver_user en nobody dans le suphp.conf
et redémarrage apache
les sites ont l'air de bien fonctionner cependant je m'inquiète pour les upload et droits d'écriture nécessaire dans certains dossiers spécifiques
j'ai quand même bien envie de balancer un chmod -R 755 sur la racine du répertoire des hosts virtuels...
heuh... mais j'hésite... |
|
Back to top |
|
|
tomk Bodhisattva
Joined: 23 Sep 2003 Posts: 7221 Location: Sat in front of my computer
|
Posted: Wed Nov 10, 2010 12:57 pm Post subject: |
|
|
Moved from Networking & Security to French. _________________ Search | Read | Answer | Report | Strip |
|
Back to top |
|
|
RaX Apprentice
Joined: 16 Aug 2007 Posts: 166
|
Posted: Wed Nov 10, 2010 7:47 pm Post subject: |
|
|
Bonsoir,
Avant toute chose tu doit comprendre comment les attaquants sont arrivé a modifier tes pages où a uploader leur backdoor.
Et pour cela il ni y a pas de mystère il faut parser les logs apache, ftp etc...
Passer un petit coup de rkhunter est une bonne chose.
Mais si tu n'arrive pas a identifier comment l'attaquant ou le robots a fait pour pénétrer tes sites, tu ne pourra sécuriser correctement ton serveur Web.
Observe bien les logs (access et error) de tes sites PHP, tous ceux qui utilisent des CMS connu et pas à jour. Les PhpMyAdmin etc...
Bon courage. |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Sat Nov 20, 2010 12:12 am Post subject: |
|
|
Hello, peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci |
|
Back to top |
|
|
|