Cela fait partie du quotidien d’internet, et pourtant, c’est toujours une révolution quand nous en sommes victime. Un robot hacker a réussi à s’infiltrer sur le serveur dédié d’un de nos clients. Son but était d’utiliser le serveur pour envoyer des tonnes de requêtes à d’autres (et les faire tomber par la même occasion). On appelle cela des attaques DoS.

Prévenu par 1&1, nous sommes intervenus pour reprendre le contrôle du serveur, colmater les brèches et opérer à un nettoyage de printemps.

Le site est depuis de retour, le client a de nouveau le sourire et l’activité reprend son cours.

Point technique – Astuces pour résoudre

1&1 nous a donné les accès à un mode rescue en SSH. (le mode sans échec pour un serveur Linux)

Il a fallu :

  • Monter les volumes (mount),
  • Vérifier les tables de montage (fstab),
  • Trouver les fichiers modifiés (diff)

Les fichiers touchés ont été : passwd / shadow / w / zcut …

Après nettoyage et suppression des fichiers infectés, il faut modifier l’ensemble des mots de passe (seulement après nettoyage car dans 90% des cas, votre serveur envoie votre mot de passe par email au hacker)

Démontage des volumes et redémarrage sur le système par défaut et voila le serveur de retour.

Si vous souhaitez connaitre les bonnes pratiques concernant l’exploration d’un site Linux hacké