Votre serveur a été compromis
Rappel : Vous êtes seul administrateur de votre VPS, et êtes donc responsable des actions effectuées sur ce dernier. Si votre VPS est utilisé par un tiers à votre insu (hack, fuite du mot de passe, etc) vous pourrez être tenu pour responsable des actions effectuées par ces derniers. Dès lors que vous soupçonnez que l'accès à votre VPS a été compromis, il est impératif de prendre des mesures appropriées pour bloquer cet accès.
Plusieurs éléments peuvent amener à la considération que l'accès à votre serveur a été compromis. Il peut s'agir :
D'une découverte d'accès non autorisés suite à l'analyse de logs.
Des comportements anormaux sur votre VPS (haute utilisation CPU, important flux réseau sortant, abuses, spam sortant, etc)
D'un signalement de notre support technique
D'un élément que vous ne reconnaissez pas sur votre VPS
Dès lors qu'un de ces éléments laisse songer que votre accès a été compromis, il est nécessaire d'agir très rapidement afin de rétablir la situation. Les actions générés par ces accès compromis peuvent en effet être illégales (envoi de SPAM en masse, utilisation comme VPN, hébergement de phishing, attaques DDoS, etc), ou bien rendre votre serveur inutilisable (utilisation de CPU très haute, empêchant votre VPS de fonctionner normalement.
Il est malheureusement très complexe, si ce n'est impossible, de nettoyer totalement un serveur, et de garantir qu'aucune porte dérobée (backdoor) n'est encore présente, permettant alors à l'attaquant de revenir sur le serveur. Il est donc vivement recommandé de réinstaller totalement votre VPS si vous découvrez que ce dernier a été compromis.
Si vous n'avez pas la possibilité de réinstaller le serveur dans l'immédiat, nous vous recommandons les actions suivantes :
Vous pouvez très aisément lister les processus en cours via la commande suivante :
Vous obtiendrez alors la liste de tous les processus actifs sur le VPS. Si certains vous semblent anormaux, vous pourrez aisément vérifier le chemin du fichier concerné pour prendre les actions nécessaires.
Vous pouvez également installer le paquet htop, pour voir quelques informations sur votre VPS, et lister ces derniers par ordre de consommation CPU.
Vous pouvez quitter HTOP en pressant F10 ou bien Ctrl+C
Le paquet "clamav" vous permet de facilement scanner les fichiers de votre VPS a la recherche de malware ou de backdoor connues. Ce dernier s'utilise de manière très simple :
Cela lancera un scan de la totalité des fichiers du VPS, et vous listera les fichiers considérés comme dangereux. Notez que ce scan peut prendre plusieurs minutes (ou heures) suivant la quantité de données de votre VPS, et de votre offre.
Nous vous invitons à suivre rapidement notre guide Renforcer la sécurité de votre VPS, afin d'éviter de nouveaux accès illicites à votre VPS.
Plusieurs éléments peuvent amener à la considération que l'accès à votre serveur a été compromis. Il peut s'agir :
D'une découverte d'accès non autorisés suite à l'analyse de logs.
Des comportements anormaux sur votre VPS (haute utilisation CPU, important flux réseau sortant, abuses, spam sortant, etc)
D'un signalement de notre support technique
D'un élément que vous ne reconnaissez pas sur votre VPS
Dès lors qu'un de ces éléments laisse songer que votre accès a été compromis, il est nécessaire d'agir très rapidement afin de rétablir la situation. Les actions générés par ces accès compromis peuvent en effet être illégales (envoi de SPAM en masse, utilisation comme VPN, hébergement de phishing, attaques DDoS, etc), ou bien rendre votre serveur inutilisable (utilisation de CPU très haute, empêchant votre VPS de fonctionner normalement.
Il est malheureusement très complexe, si ce n'est impossible, de nettoyer totalement un serveur, et de garantir qu'aucune porte dérobée (backdoor) n'est encore présente, permettant alors à l'attaquant de revenir sur le serveur. Il est donc vivement recommandé de réinstaller totalement votre VPS si vous découvrez que ce dernier a été compromis.
Si vous n'avez pas la possibilité de réinstaller le serveur dans l'immédiat, nous vous recommandons les actions suivantes :
1/ Vérifier les processus en cours
Vous pouvez très aisément lister les processus en cours via la commande suivante :
root@Helpdesk:~# ps aux
Vous obtiendrez alors la liste de tous les processus actifs sur le VPS. Si certains vous semblent anormaux, vous pourrez aisément vérifier le chemin du fichier concerné pour prendre les actions nécessaires.
Vous pouvez également installer le paquet htop, pour voir quelques informations sur votre VPS, et lister ces derniers par ordre de consommation CPU.
root@Helpdesk:~# apt-get install htoproot@Helpdesk:~# htop
Vous pouvez quitter HTOP en pressant F10 ou bien Ctrl+C
2/ Lancer un scan antivirus sur le VPS
Le paquet "clamav" vous permet de facilement scanner les fichiers de votre VPS a la recherche de malware ou de backdoor connues. Ce dernier s'utilise de manière très simple :
root@Helpdesk:~# apt-get install clamavroot@Helpdesk:~# freshclamroot@Helpdesk:~# clamscan -r --bell -i /
Cela lancera un scan de la totalité des fichiers du VPS, et vous listera les fichiers considérés comme dangereux. Notez que ce scan peut prendre plusieurs minutes (ou heures) suivant la quantité de données de votre VPS, et de votre offre.
3/ Sécuriser davantage votre VPS
Nous vous invitons à suivre rapidement notre guide Renforcer la sécurité de votre VPS, afin d'éviter de nouveaux accès illicites à votre VPS.
Mis à jour le : 05/04/2023
Merci !