[Toulibre] Mon serveur herbergé a Myrys à été piraté ...

[Joyce MARKOLL]

On Sun, 24 Jun 2018 09:48:54 -0400
Knarx via Toulouse-ll <toulouse-ll at toulibre.org> wrote:

> Hello team technique TTN et Toulibre,
> 
> Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les passwords
> user/root, arrêté postfix pour bloquer l'envoie de spam, mais j'ai du mal à investiguer
> plus globalement mon serveur pour savoir si le pb est 100% résolu.
> 
> L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit moment avec moi et me
> montrer les bases de l’interprétation des différents logs et comprendre l'origine du
> pb ? et voir si tout est maintenant OK ?
> 
> Ca pourrait être une petite heure de partage de connaissance et de buvage de bières (ou
> autre) si ça interesse qqun.e :-)


Je ne peux pas t'aider avec les logs, mais une méthode en attendant, c'est de refaire ton
serveur à neuf en local, puis télécharger tout le serveur distant dans un répertoire
temporaire, et lancer un "diff -aur serveur1 serveur2 > fichiers-diff.txt" (met le
chemin complet de chaque en argument, à la place de "serveur1" et "serveur2" et ensuite,
regarder dans un éditeur de textes pour voir si tu trouves quelque chose de marquant dans
les différences.

En faisant ainsi pour un site wordpress un jour, j'ai trouvé un fichier en .php dans le
"wp-content/uploads" qui était louche, et qui s'est avéré être un programme malveillant.

Bon courage !


-- 
https://orditux.org
https://orditux.org/aol