Que faire si votre serveur a été hacké ?

Si votre serveur a été hacké, que faut-il faire ?

Appeler la police, la gendarmerie, un juge ? Ca ne servira à rien pour résoudre pratiquement votre problème.

Voici concrètement ce qu’il faut faire si votre serveur a été hacké.

Tout d’abord, il est préférable de sauvegarder régulièrement le contenu de votre serveur.

Si vous avez des sites faits sur wordpress, il existe des plugins qui permettent de sauvegarder et réinstaller facilement un site même complexe (cf Comment migrer facilement ou réinstaller un site WordPress et Comment migrer un GROS site WordPress ?).

De manière générale, la plupart des hébergeurs proposent des solutions de sauvegarde qui sont gratuites ou payantes selon la fréquence de sauvegarde.

Bien souvent, en cas de hack, il est préférable de tout effacer, de changer tous les noms de domaine et de tout réinstaller.

Sur Amen par exemple, vous utilisez le mode Récupération dans le Panneau de Contrôle. Cet outil monte le disque de récupération, après quoi vous pouvez effectuer le chroot du lecteur et le changement du mot de passe. Après ça, démontez le disque et redémarrez votre serveur en mode normal.
Sur OVH, la procédure est un peu plus compliquée: http://guide.ovh.com/RecuperDonneesBackup

Si le piratage de votre serveur est plus « profond » et a touché Plesk ( Plesk est une sorte de gestionnaire de serveurs qui équipe la quasi totalité des hébergeurs mondiaux (http://fr.wikipedia.org/wiki/Plesk ), il faut passer par une connexion SSH.

Dans SSH entrez :cat /etc/psa/.psa.shadow
Le mot de passe sera visible
Dans le cas ou le fichier shadow ait été effacé vous devez taper :
#/etc/rc.d/init.d/psa stopall
(cette commande arrête tous les services Plesk)
#/usr/local/psa/mysql/bin/safe_mysqld -skip-grant-tables &
ou
#/usr/bin/safe_mysqld -skip-grant-tables &
(cette commande lance MySQL, et passe la table par commande Grant [motdepasse])
#/usr/local/psa/mysql/bin/mysql mysql
(cette commande dirige vers MySQL)
#use mysql
#FLUSH PRIVILEGES
#SET PASSWORD FOR admin=PASSWORD(votre-motdepasse-ici)
(copiez cette entrée et remplacez « votre-motdepasse-ici » par votre nouveau mot de passe)
#exit
(retour à MySql et vous êtes logués dans le shell comme racine)
#killall mysqld
o
#/etc/rc.d/init.d/mysqld restart
(ceci arrête le deamon MySql)
#/etc/rc.d/init.d/psa start
(ceci démarre Plesk, qui a son tour démarrera le deamon MySql avec un nouveau mot de passe)

Si des fichiers apparaissent et disparaissent sur votre serveur, peut-être les mots de passe FTP et/ou utilisateurs et/ou comptes ont été piratés. Créez de nouveaux comptes et utilisateurs d’accès FTP pour votre serveur.

Dans tous les cas de figure, changez tous les mots de passe.

Et par précaution, faites aussi ça quand vous allez à l’étranger ou que vous vous connectez à un wifi public.

Commentez ou posez votre question

Votre email ne sera pas public.