Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 30/08/2015, à 10:23

Voyageuse

risque de contaminer un serveur par une connexion ftp

Bonjour,

J'ai une question de débutante, ne vous moquez pas...
J'ai accepté, pour rendre service à une assoce dont je fais partie, de reprendre l'administration de son forum internet (PHPBB) bien que n'y connaissant pas grand-chose... mais y'avait personne d'autre. J'ai donc appris tout récemment à utiliser filezilla, je sais récupérer des fichiers du serveur distant, en envoyer, faire des mises à jour, et appris à utiliser phpmyadmin aussi.

Mais bizarrement, juste après que j'aie fait une mise à jour en juin, le forum a été infecté par un virus (qui a ensuite contaminé le site de l'assoce : l'informaticien qui le gère dit que les attaques viennent du forum) ; donc j'ai remis, en août, des fichiers tout neufs et ça a de nouveau été vérolé juste après. C'est le genre de virus qui envoie les utilisateurs du site internet vers des sites distants introuvables ou des références google bizarres, et qui au bout de quelques temps me bouzille certains fichiers du forum et m'oblige à les réinstaller.

Donc j'ai une question bête : est-il possible que ce soit moi qui aie contaminé le serveur via ma connexion ftp ? Je suis sous ubuntu depuis des années donc je ne me préoccupe plus de virus ou autre... mais est-il possible que j'aie un virus quelconque qui sache, tout seul, profiter de ma connexion ftp pour se glisser dans les fichiers que je transfère ? Ça existe, ça ? J'y connais absolument rien, je le répète...
L'autre possibilité est que le virus est présent sur le serveur de notre hébergeur, qui a de toute façon une version de php trop ancienne... Ou alors c'est un hasard, des attaques virales juste après ma connexion.

Voilà, si quelqu'un pouvait me rassurer et me dire que ça peut pas venir de moi... Ou me dire comment faire pour m'en assurer ? Merci !

Hors ligne

#2 Le 30/08/2015, à 11:42

bruno

Re : risque de contaminer un serveur par une connexion ftp

Bonjour,

Il est effectivement possible que la contamination ait eu lieu au moment du transfert FTP. Cela supposerait que la machine qui a fait le transfert des fichiers est elle même infectée ou compromise (transmission des identifiants FTP à un tiers). Je doute que cela soit le cas, d'autant que tu travaille sous Ubuntu.

Le plus probable est que la faille se situe au niveau des scripts du forum (PHPBB) lui même. C'est généralement une faille qui permet l'injection de code à distance depuis une simple connexion HTTP (un navigateur web pour faire simple).
Il y a de nombreux « robots » sur le web qui scannent les sites à la recherche de ce type de faille. Dès qu'un site vulnérable est trouvé il est immédiatement infecté. Ce qui explique qu'il ait été de nouveau infecté tout de suite après avoir remis des fichiers « propres ».

Je ne peux que te conseiller ces mesures :
- mettre temporairement le site hoirs ligne ;
- changer tous les identifiants/mots de passe : FTP et MySQL ;
- remettre une installation « propre » du forum à partir d'une sauvegarde saine ;
- mettre à jour PHPBB : il y a sûrement eu des correctifs de sécurité ;
- surveiller attentivement le site et notamment, si tu en as la possibilité, les logs du serveur.

Hors ligne

#3 Le 30/08/2015, à 12:09

Voyageuse

Re : risque de contaminer un serveur par une connexion ftp

Merci pour les conseils !

PHPBB est à jour, du moins autant qu'il peut l'être compte tenu de la version de PHP qu'il y a sur le site de l'hébergeur (ça m'oblige à rester en phpbb 3.0.**, au lieu de 3.1.**, et la dernière mise à jour disponible est celle que j'ai faite, elle date de mai).
Je ne crois pas avoir la possibilité de surveiller les logs du serveur (et/ou je ne sais pas faire).
Mais donc, je vais changer les mots de passe ftp et mysql et réinstaller quelque chose de propre (la dernière fois, je l'ai fait à partir des fichiers téléchargés sur le site phpBB). On verra bien si ça change les choses.

Et tu dis qu'il est quand même peu probable que le souci vienne de mon ordi... Mais pas complètement impossible non plus, forcément. J'aimerais bien pouvoir en être certaine : on parle de changer d'hébergeur pour avoir une version moins obsolète, mais si le souci vient de moi ça ne résoudra rien. Existe-t-il un moyen "simple" d'être sûr que je n'ai pas ce genre de virus chez moi ? (à tout hasard, j'ai installé et lancé clamav, il a trouvé 2-3 trucs sur des vieux fichiers qui datent de l'époque où j'avais windows, rien à voir il me semble ; depuis j'ai tout supprimé)

Hors ligne

#4 Le 30/08/2015, à 13:14

bruno

Re : risque de contaminer un serveur par une connexion ftp

La probabilité d'infection sur une Ubuntu maintenue à jour et n'utilisant que des dépôts officiels est proche de zéro.

Comme je l'ai dit, il est presque certains que le problème vient de PHPBB lui même (une simple recherche sur le web montre que PHPBB est victime de nombreuses failles). Le moyen d'en être sûr serait d'examiner les logs au moment où l'infection (injection de code) s'est produite. À voir avec l'hébergeur du site qui doit normalement fournir un accès aux logs bruts.

Hors ligne

#5 Le 30/08/2015, à 14:03

Voyageuse

Re : risque de contaminer un serveur par une connexion ftp

Me voilà rassurée ! Normalement, le souci ne vient donc pas de moi.
Ce qui n'empêche pas de changer les mots de passe, ça peut pas faire de mal...
Et je verrai avec l'informaticien qui gère le site (mais juste le site et pas le forum) s'il peut avoir accès aux logs et creuser la question, à l'occasion.
Merci en tout cas pour les explications !

Hors ligne

Pages : 1