Logs ovh - script malveillant ?

Bonjour tout le monde,

voila j'ai eu récemment quelques problèmes de site inaccessible concernant mon site hébergé chez OVH.

En regardant les logs error du serveur (mutualisé) je constate ce genre de chose :

[Tue Mar 24 02:22:27 2015] [ error ] [client 91.207.8.46] [host  www.mondomaine.com]  (103)Software caused connection abort: Failed to flush CGI output to client, referer:  http://filmstrek.ru/

Je constate également dans les logs web ceci :

91.207.8.46  www.mondomaine.com  - [24/Mar/2015:02:22:26 +0100] "GET / HTTP/1.1" 200 76771 "http://filmstrek.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
91.207.8.46  www.mondomaine.com  - [24/Mar/2015:02:22:26 +0100] "GET / HTTP/1.1" 200 76863 "http://filmstrek.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
91.207.8.46  www.mondomaine.com  - [24/Mar/2015:02:22:26 +0100] "GET / HTTP/1.1" 200 48760 "http://filmstrek.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"

J'ai ouvert un ticket incident auprès d'ovh mais le conseiller semble me répondre tout et n'importe quoi pour se débarrasser de moi

Ce dernier prétend que mon site "site fait appel à filmstrek.ru/" et donc que le problème vient de mes fichiers

Mais je ne suis pas certain que ces logs indique ceci.
Pour moi c'est ce site étranger (ukrainien ou je sais pas quoi) qui tente de se connecter à mon domaine.

Est ce que quelqu'un peut me confirmer ceci ? Je ne suis pas très habitué à analyser des logs serveurs.

Merci de votre aide.
Modifié par lupyo (24 Mar 2015 - 13:22)

Tiens c'est marrant mais j'ai le même soucis ce matin.

les "referer" sont soit des sites de Q, soit des .ru

Donc bon

Mon domaine est sous wordpress, logiquement à jour.
Je vais regarder du côté des plugins?

A ce stade je ne crois pas qu'il faille s'affoler.

A mon avis, c'est des sites qui essaient de trouver des failles attaquables; dans le genre on a aussi les w00t. Mais il y en a plein, tous les jours, tout le temps, sur tous les domaines, dès le moment où l'URL de son site commence à être diffusé.

dernière réponse affligeante d'ovh :

Bonjour,

Ceci concerne vos fichiers et c'est à vous de savoir
lequel parmi eux qui fait appel vers les sites externes.
Si vous n'êtes pas dans la capacité d'apporter les
corrections vous-même, je vous suggère, dans ce cas, de
vous diriger vers un webmaster, ou tout autre personne,
capable de vous faire les corrections.
Je vous souhaite une bonne journée.

Je reste à votre disposition pour tout renseignement
complémentaire.

Cordialement,
Amin

J'ai ouvert le ticket le 18 mars j'ai fermé aujourd'hui le 29 mars. Le support me ballade en me racontant n'importe quoi et répond tout les 3 à 4 jours.
J'envisage simplement de changer d'hébergeur pour peut-être PlanetHoster.

Ils n'ont pas totalement tort.

Wordpress = http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html

Vérifies les différents axes de sécu pour wordpress. L'hébergeur n'a en effet pas à vérifier comment doit se comporter l'application.

Ah oui mais moi j'ai pas Wordpress

Sinon pour info, plus aucun problème depuis que j'exclu ces ip ukrainienne via un Htaccess.
Ils ont essayé pendant quelques jours, puis finalement plus rien.

Ce qui me laisse donc penser que cela venait bien de l'extérieur

Je réagissais par rapport à la réponse de fl0rent

Cela ne change pas qu'il peut y avoir un souci; si l'un des scripts agit comme un proxy, ou contient une faille XSS, ce genre de symptôme peut apparaître. Ca ne change pas non plus le fait qu'un hébergeur ne DOIT pas être garant du comportement des scripts.

La réponse d'OVH n'est donc pas forcément illogique

OK mais cela ne me dit pas comment repérer un fichier douteux parmi mes nombreux fichier.
Et les logs ne sont pas très clairs. Il faudrait savoir comment les interpréter correctement.

Car quand j'essaye une analyse du log je lis bien :

[client 91.207.8.46] => client avec l'ip client (ici ukrainnienne.
[host www.mondomaine.com] => sa c'est mon site et je suis bien l'hôte
referer: http://filmstrek.ru/ => referer me laisse bien penser que c'est l'auteur et non la cible.

De plus comment expliquer que désormais avec le Htaccess, ces mêmes ips sont maintenant en DENIED.
Donc pour moi, cela vient bien de l'extérieur. Sinon il n'y aurait pas ces message Denied, non ?
Modifié par lupyo (31 Mar 2015 - 16:28)

Typiquement, j'ai l'impression que tu as d'abord envoyé un log partiel des erreurs Apache, suivi des accès Apache.

Si le premier arrive régulièrement, il faut se tourner vers Fast-CGI, et vérifier que tout est à jour (aussi bien dans l'applicatif que coté serveur).

Les seconds, ce sont généralement des explorations de bots. Dans ce genre de cas, il est intéressant de voir les pages que les bots tentent, avec quels paramètres, et vérifier si on est pas soumis aux failles testées, comme un phpmyadmin installé par exemple. Mais en substance, ça n'est pas problématique, à la limite à bloquer si cela génère du trafic pénible.

Concernant l'IN/OUT, la question est justement de se dire que si une faille ou un comportement proxy est présent, tu ne verras que les IN, pas les OUT; analyser les entrées est intéressant pour détecter et vérifier ce qui PEUT clocher.
Modifié par Lpu8er (31 Mar 2015 - 16:34)

Je te remercie pour tes conseils en tout cas.
Oui effectivement je vais opté pour Fast-CGI prochainement mais pas tout de suite car je suis en pleine migration PHP 5.2 => 5.4 (oui je suis en retard ) et il me semble que le passage en Fast-Cgi ne se fait que pour le PHP 5.4 sauf erreur de ma part.