# Faille de configuration Apache

## gorgorbhey

Bonjour,

Le serveur d'hébergement de mon entreprise se fait pirater régulièrement. Des pages de Phishing sont régulièrement installées sur différents sites hébergés sur le serveur.

Après avoir installé le SFTP, MySecureShell, désactivé le login Root, modifié les droits sur différents hôtes virtuels (de 775 en 755), changé le port de connexion SSH... je viens de m'apercevoir que l'utilisateur apache , dans httpd.conf est <NomUser> du groupe <NomGroupe>.

Dans suphp.conf le webserver_user est lui aussi au même <NomUser>.

Or c'est ce <NomUser>:<NomGroupe> le propriétaire de l'ensemble des sites internet du serveur (arg) !

Donc si je comprends bien l'utilisateur internet a des droits RWX sur les hôtes virtuels.

C'est une faille de sécurité tellement grosse que je n'ai pas pensé à la vérifier en premier.

Je me demande donc comment je vais faire pour rétablir une sécurité avec comme User:nobody et Group:nobody dans le httpd.conf et dans le suphp.conf

J'ai fais un essai bourrin mais j'ai eu une Server Internal Error.

Est-ce-que quelqu'un pourrait, s'il vous plaît, m'indiquer la méthodologie à suivre ?

Merci

----------

## gorgorbhey

Bon j'ai fais une modif de bourrin encore ce midi

chgt de user et group en nobody dans le httpd.conf

chgt du webserver_user en nobody dans le suphp.conf

et redémarrage apache

les sites ont l'air de bien fonctionner cependant je m'inquiète pour les upload et droits d'écriture nécessaire dans certains dossiers spécifiques

j'ai quand même bien envie de balancer un chmod -R 755 sur la racine du répertoire des hosts virtuels...

heuh... mais j'hésite...

----------

## tomk

Moved from Networking & Security to French.

----------

## RaX

Bonsoir,

Avant toute chose tu doit comprendre comment les attaquants sont arrivé a modifier tes pages où a uploader leur backdoor.

Et pour cela il ni y a pas de mystère il faut parser les logs apache, ftp etc...

Passer un petit coup de rkhunter est une bonne chose.

Mais si tu n'arrive pas a identifier comment l'attaquant ou le robots a fait pour pénétrer tes sites, tu ne pourra sécuriser correctement ton serveur Web.

Observe bien les logs (access et error) de tes sites PHP, tous ceux qui utilisent des CMS connu et pas à jour. Les PhpMyAdmin etc...

Bon courage.

----------

## geekounet

Hello, peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci  :Smile: 

----------

