PDA

Afficher la version complète : Qu'est-ce donc que ceci?



Nuke-Refugee
27/06/2011, 16h17
Hello la foule,

j'ai trouvé le script ci-dessous sur l'hébergement d'un client que je soupçonne fortement d'avoir été piraté (je parle de son site). J'ai tout vidé et remplacé ses mots de passe avant de mettre son nouveau site en place, mais juste par curiosité... Il y avait ce script à la racine:



sed -i "s/$1/$2/g" `grep -ir $1 ./*|grep -v '.svn'|cut -d: -f1`


Je n'y connais rien en bash... Qui peut me dire exactement ce qu'il fait (faisait, il a dégagé avec le reste)?

Merci.

Seb.

jluce
27/06/2011, 16h48
slt Nuke

c'est un sed pour remplacer l'argument $1 ( premier option quand tu lances le script ) par $2 ( deuxieme option quand tu lances le script) dans tous les fichier que te donne le grep visibleùent sur tous les fichier du répertoire courant contenant $1, et dont le nom de fichier ne contiens pas svn et après t'as le cut pour prendre la première colone du résultat avec délimiteur :

c'est pour faire du changement en groupe


je sais pas si j'ai été bien clair.....

a+

Nuke-Refugee
27/06/2011, 18h01
Je crois avoir saisi.
Bref un truc qui n'a strictement rien à faire à la racine d'un site Joomla! - si tu commences à t'amuser à renommer les fichiers de la racine ou des principaux dossiers plus rien ne va... C'est juste une brique de plus qui vient s'ajouter à mon lot de soupçons. J'ai bien fait de lui conseiller de faire le ménage par le vide!

spourre
29/06/2011, 18h28
Je crois avoir saisi.
Bref un truc qui n'a strictement rien à faire à la racine d'un site Joomla! - si tu commences à t'amuser à renommer les fichiers de la racine ou des principaux dossiers plus rien ne va... C'est juste une brique de plus qui vient s'ajouter à mon lot de soupçons. J'ai bien fait de lui conseiller de faire le ménage par le vide!

Bonsoir,

SVP, ne voir aucune attaque personnelle dans le propos qui suit.
AMHA, tu as agi en windozien si tu t'es contenté de virer et de réinstaller le site.
Un Unixien, donc un Linuxien, commencera par réfléchir, se documenter, analyser les journaux et essayer de comprendre comment le site a été compromis.
Ensuite, il appliquera tous les patchs de sécurité et, enfin, restaurera le site.
Si tu n'as fait que ce que tu nous as décrit, l'attaquant rentrera, à sa guise, par le même chemin.

--
Sylvain

jluce
29/06/2011, 22h39
+1 pour spourre

a+

Nuke-Refugee
30/06/2011, 18h41
Oui enfin je n'ai pas non plus décrit toute la situation ;)
J'étais de toute façon en train de réaliser son nouveau site... A quoi bon perdre mon temps à combler les failles de sécurité d'un site que je n'ai même pas conçu? Il était plus simple et plus rapide de tout nettoyer et de mettre le nouveau site en service. Sans compter que là au moins je suis en terrain connu. Et puis le temps que j'aurais passé à tenter de rétablir l'ancien site... Sans être certain de n'avoir pas laissé quelque chose derrière... Qui aurait payé la facture? Car le temps, ça se paie. Ma solution est donc bien plus économique pour le client. Sans compter que de toute façon à quelques semaines près, l'ancien site aurait fait place au nouveau de toute façon...

Burn2
18/07/2011, 17h20
Sauf que si c'est une faille du système et des couches sur lesquelles tu t'appuies, la faille existe potentiellement aussi pour ton site. :)
(injection sql and co etc).

Donc vérifie les majs de tous ces ensembles utilisés dans ton site web. ;)

spourre
20/07/2011, 22h39
Sauf que si c'est une faille du système et des couches sur lesquelles tu t'appuies, la faille existe potentiellement aussi pour ton site. :)
(injection sql and co etc).

Donc vérifie les majs de tous ces ensembles utilisés dans ton site web. ;)

J'ai bien senti qu'il avait une grosse blessure à l'ego et je n'ai pas voulu en rajoûter une couche mais c'est bien mon opinion.
S'il n'a pas analysé,compris et corrigé la faille qui a permis cet exploit, alors sa machine est toujours compromise et l'attaquant reviendra quand il le voudra.

--
Sylvain

Nuke-Refugee
29/07/2011, 12h09
LOL.
Je ne suis pas complètement abruti non plus...
D'abord j'ai refait un site depuis zéro. Ce n'est plus le même, je n'ai strictement gardé aucun élément de l'ancien, et j'ai changé tous les mots de passe. Ensuite je sais prendre mes précautions... Essaie donc de faire une injection de scripts ou SQL sur n'importe lequel de mes sites... Vas-y, tu as ma permission. Mais après il faudra me le dire, que je lève le bannissement!

Il y aura toujours des failles, quoi qu'on fasse. Je ne peux pas m'amuser à chasser les failles de Joomla et de ses composants, d'abord j'en suis incapable, ensuite comme je le disais le temps ça se paie. Par contre j'ai pour habitude de prendre les devants... Après, les précautions ne peuvent t'emmener que jusqu'à un certain point, et c'est pour ça qu'on fait des sauvegardes.

Enfin bref, comme je le disais, d'un point de vue purement économique ma réaction était la plus logique.