Lutin Jaune Posté 31 Janvier 2012 Posté 31 Janvier 2012 (modifié) Je me suis fait hacké mon serveur et mes sites (dédié OVH Debian-DirectAdmin-Joomla) j'ai du tout fermer et Dan a du tout remettre à plat (merci Dan) je vais essayer dans ce post de vous faire partager mon retour d'expérience, en postant le fruit de mes erreurs/recherche/tips trouvés, que je viendrai compléter par la suite, en fonction des nouvelles recherches. (excusez le style un peu brouillon, je jette mes pensées, je reviendrai les ranger et affiner) Tout à commencé, par un froide nuit d'hiver, la neige tombait doucem... je m'égare déjà... Tout à commencé par des envois de spam, que j'ai d'abord detecté par des mails en retour dans le dossier : /maildir/new (à ce sujet j'aurais des question concernant la surveillance d'un dédié avec DA - on verra plus tard) apparemment les hackers utilisaient une faille joomla pour spammer la terre entière...on était fin-novembre 2011 N'ayant pas correctement configuré DirectAdmin, je pensais me simplifier la vie en gérant tout sous Admin (admin étant à la fois revendeur et utilisateur, ca simplifait l'administration mono-gérant/multi-domaine) ca simplifiait plutôt la vie aux hackers... mais je ne le savais pas encore. (voir l'article suivant sur les erreurs à ne pas commettre : http://www.edelweisshosting.net/index.php?topic=4380.0 il m'a donc été impossible de retrouver le domaine qui était hacké et qui envoyait les mails (retour des mails sur admin_AT_nsxxx.ovh.net, c'est pas facile à traquer on se croirait au bureau avec le chef de service: "- c'est qui qui a téléphoné en Chine pour 2000 depuis le poste de Gérard qu'est en congés?..." ) j'ai donc procédé à des mises à jour de tous les sites joomla et des extensions, le spam s'est calmé mais les màj joomla devait encore comporter certaines failles (je pense) et les attaques ont repris mi-décembre, (voir l'article suivant sur le hack des sites joomla : http://www.tux-planet.fr/faille-de-securite-dans-joomla-15x-remote-admin-password-change/) ils ont ensuite réussi à trouver les mdp joomla, accés au superuser de /administrator de failles en failles et erreur de config DirectAdmin, mots de passe identiques pour faire plus simple... ils en sont arrivé à trouver le mot de passe admin du serveur (ou par attaque en force brute... voir cet article : http://www.tux-planet.fr/comment-cracker-22-milliards-de-mots-de-passe-a-la-seconde/) va falloir mettre des mdp archi super trés forts dans les années à venir (sinon on aura droit à des "votre mot de passe ne comporte que 28 caractères et 12 signes... pas assez fort!!") (petite remarque concernant NVidia Cuda et sa puissance, je fais du calcul partagé FAH depuis des années, d'abord sur Workstation Monoprocesseur P4, il fallait 7à 10 jours pour une unité de calcul avec le 1CPU, je suis ensuite passé à des workstations BiXeon P4HT avec 4 coeurs.. le calcul est passé à 3-4 jours avec 4CPU depuis je suis passé au calcul GPU avec Nvidia sur une FX4700-X2 (256 coeurs), le calcul met de 3 à 5 heures pour des unités de calcul beaucoup plus grosses, Stanford envoyant des plus gros calculs à faire aux GPU - fin de la remarque) sous admin, le spam s'en est trouvé décuplé... 2 millions de mails envoyés en 10 jours environs.. ça cause! deuxième riposte (pas graduée celle-là) par màj des sites joomla/sécurisation htpasswd/changement mot de passe c'était ce qu'il ne fallait pas faire, je crois que j'ai froissé l'un des pirates! ne pouvant plus utiliser de failles joomla pour du spam il a préféré s'attaquer à tous mes sites, par rajout d'un iframe dans toutes les pages index de tous les sites (et oui, sous admin, on atteint tous les sites avec un seul script et sans les mains) Fermeture du serveur! Fin de l'acte. Rideau 2eme acte (en cours de rédaction) - la renaissance remise à plat Debian par Dan, (merci Dan pour ta rapidité) remontage de mes sites en essayant d'éviter la même désagréable mésaventure. 1) éviter que les attaques repassent : ne pas remettre sa sauvegarde clean (mais passoire) trop vite ca veut dire changement de tous mes mot de passe, directadmin, joomla user/admin,... Organisation correcte des user DirectAdmin avec changement de mots de passe Un vrai Admin, un vrai revendeur et un user par domaine, avec chacun son mot de passe bien distinct! Zut! j'avais stocké mes mots de passe dans mon navigateur préféré et maintenant il se mélange les crayons en ne proposant jamais le bon mot de passe au bon moment, pas de panique, mais attention à Fail2Ban qui peut bannir votre IP (notamment si votre client Ftp fait 10 accés en cas d'erreur mot de passe invalide, putty se fait dans ce cas instantanément déconnecter, et plus d'accés par putty, obligé d'appeler Dan à la rescousse - merci Dan) pour nettoyer la liste des mots de passe IE stockés, je vous conseille d'aller chez http://www.nirsoft.net,'> http://www.nirsoft.net, télécharger IEPass - fonctionne sous W7 et IE9, pour Chrome, ChromPass existe aussi, mais c'est dans chrome que ca se passe pour la suppression d'un mot de passe) 2) passage à joomla 2.5 (les 1.5 et 1.7 arrivant en fin de vie c'est le moment) Captcha est notamment inclus en natif. renommage base Mysql, changement de préfixe des tables (export table avec phpmyadmin, recherche/modif avec un noteepad du nom de la base et des jos_ réimport de la base) modif de configuration.php pour l'adapter au nouveau nom de base et préfixe table envoi des fichiers sur le serveur: pas avec Filezilla s'il vous plait Dan nous l'a assez répété ABANDONNEZ FILEZILLA, suivez le conseil de Dan! je vous propose une petite expérience, rendez-vous sur le site http://www.nirsoft.net et téléchargez "sniffpass - password sniffer",c'est un zip, il existe en 32 et 64bits, pas d'install, juste un exe à dézipper (si vous souhaitez les fichiers langues sont disponibles plus bas) executez le, mettez une capture en route (flèche verte), choisissez la carte réseau à observer et connectez vous à votre serveur avec filezilla, vous allez vite comprendre, recommencez la connection avec cuteftp (si cher à Dan) ou avec votre client ftp favori et plus jamais vous n'utiliserez filezilla. 2,5) régler le problème de la sécurité des mails joomla mais je sèche un peu sur les possibilité d'envoi de mails de joomla que choisir : phpmail? sendmail? smtp : c'est testé, je me suis fait voler mon mdp de mon mail FAI (que j'ai changé depuis) j'ai trouvé cet article trés bien expliqué pour une fois sur les implications de chaque choix http://www.opensourcevarsity.com/joomlaadmin/l1joomlaglobalconfiguration paramétrer joomla pour que chaque domaine envoie ses mails correctement avec sendmail je pense que la solution est dans ce post: http://forum.ovh.com/showthread.php?t=18277 première méthode phpmail envoie par un script php, mais je n'arrive pas à le faire fonctionner, les mails sont bloqué par le serveur et ne partent pas (frozen) - quels identifiants faut-il renseigner? ceux de DirectAdmin ou du user joomla? l'autre méthode par sendmail envoie par le serveur smtp du dédié, mais dans ce cas il faut créer un compte pop, dans le domaine concerné, et ça implique la gestion d'un nouveau compte pop pour mes clients... qui ont déjà du mal à consulter leur webmail fai et ne veulent pas entendre parler d'une autre adresse mail et d'un logiciel client mail sachant relever deux comptes. (1h du mat !! ca marche - débloqué en 1 heure, mail circulent explications plus tard reste à régler souci encodage utf-8/iso des accents j'ai trouvé ça à tester? mettre dans un .htaccess AddDefaultCharset UTF-8 ou AddDefaultCharset ISO-8859-1) Bonne pioche pour la config sendmail car au deuxième essai le mail part, mais je le retrouve dans la liste des mails en attente, frozen! car j'ai des messages de blacklistage ou bloclistage de mon serveur 'erreur 550' phase suivante donc, deblacklistage de mon serveur j'ai trouvé cet article qui explique clairement les principes des serveurs mails, pourquoi ils relaient ou pas vos mails et donc pourquoi votre serveur finit par se faire blacklister, ca s'applique à outlook, mais le principe reste le même pour un serveur webmail/>http://office.microsoft.com/fr-ca/outlook-help/resoudre-les-erreurs-550-et-553-et-les-erreurs-de-relais-non-autorise-HA001112833.aspx 2,75) Dé-blacklister mon serveur : trés bon site pour démarrer, en allant sur http://www.mxtoolbox.com/blacklists.aspx indiquez l'IP de votre serveur et interrogez la liste pour savoir si votre serveur est blacklisté: ensuite cliquez sur Détail de chaque service annoncant un blacklistage vous trouverez sur chaque page détaillée, un lien vers le site "mère" qui gère la liste, un formulaire est en général accessible pour demander le dé-blacklistage. sinon vous pouvez aller directement sur les sites suivants:/>http://www.senderbase.org/senderbase_queries/rep_lookup (portail cisco)/>http://www.spamhaus.org/lookup.lasso (gère spamhaus et spamcop)/>http://mailspike.org/iplookup.html (gère Mailspike,Spamhaus et Spamcop)/>http://www.barracudacentral.org/rbl/removal-request (gère BCR)/>http://cbl.abuseat.org/lookup.cgi (gère cbl) (à noter que orange utilise spamhaus et spamcop) 3) Sécurisation maximum des sites une fois remis en ligne (aprés vérification que le hack n'est pas présent dans un de mes sources php - voir point 4): - concernant les attaques par insertion iframe, c'est invisible, et en plus ca ne marche souvent que sous IE... en travaillant avec chrome, je n'avais même pas remarqué que mes sites étaient en train de se faire infecter, c'est un client qui m'a prévenu, car sous IE son site ne "s'affichait plus comme hier et il avait rien fait à son PC". je vous conseille donc la lecture des articles suivants pour maxi sécuriser le CMS Joomla: les sécurisations de base (modif id admin, racine tables,nom base...) sont expliquées dans l'article suivant:/>http://www.revue-hebergement-web.com/tutoriel/joomla/securiser-joomla.php autre article intéressant trouvé sur le support joomla, qui aborde également des notions plus générales, comme par exemple organiser ses sauvegardes, ne pas mettre des mots de passe trop simple.../>http://www.support-joomla.com/administration/securite et ce dernier article explique comment changer le nom du repertoire /administrator de Joomla, le rendant plus difficile à trouver et donc à attaquer:/>http://www.shantee.net/comment-changer-le-nom-du-repertoire-qadministratorq-pour-plus-de-securite-avec-joomla.html et enfin pour finir celui-ci:/>http://forum.ovh.com/showthread.php?t=49433 qui traite également de la sécurisation des CMS, c'est le plus radical au niveau de la sécurité puisqu'il propose de passer les fichiers et repertoire en chmod 404 et 505 4) analyse des sources infectées pour comprendre "comment ca marche" cet exploit JS/blacole.BF et passage de mon réseau complet à la lessive antivirus Le virus étant trop récent,(attaqué le 23 janvier, signalé le 27 chez MS) Avira et Mbam n'ont rien vu, MSE m'a averti... install de MSE sur mes postes (ca mange pas de pain) 5) install de tools sur les postes de travail pour éviter que ça recommence (j'ai trouvé l'extension Chrome Meta SEO inspector- fenêtre pop-up qui affiche si iframe dans la page, et autres meta présents) ca permet une surveillance rapide en surfant sur les sites de mes clients, j'y ai inclus une balise iframe avec Google analytics, donc le jour où le compteur passe à 2 en arrivant sur la page d'accueil, je ferme le site!! concernant le virus blacole (virus qui été intégré dans mes pages index.htm) j'ai trouvé ces infos qui expliquent comment nos dédiés se retrouvent enrôles de force dans un botnet/>http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html ca fait peur quand on pense aux nombre des PC pas à jour qui surfent innocemment sur des sites (dits de confiance) cet autre article traite de l'exploitation de blacole et la monétisation du système on comprend mieux pourquoi nos dédiés sont hackés:/>http://www.malekal.com/2011/11/30/blackhole-exploit-webkit-presentation/ si des kits de hack, clés en main sont vendus 1500, va falloir se faire du souci pour nos sites 2011 ayant connu un pic de trafic au niveau des ranconware ce qui se confirme en lisant cet article:/>http://www.malekal.com/2011/12/14/a-propos-du-rotator-du-virus-gendarmerie/ un ami m'ayant appelé parce que le fiston a recu un avertissement avec amende de la gendarmerie, l'invasion commence... PC bloqué contre une rancon et peur bleue pour le fiston... on a bien rigolé, j'ai rappelé le lendemain en me faisant passer pour le commandant de la gendarmerie... au sujet d'un message apparu sur son écran... le fiston est vacciné, il ira plus surfer n'importe où sans mettre son Pc à jour. Modifié 1 Février 2012 par Lutin Jaune
playmannba Posté 31 Janvier 2012 Posté 31 Janvier 2012 Erf pas de chance, au moins en partageant ta mésaventure tu nous donnes pas mal d'astuces pour sécuriser un site J'espère que maintenant tout est réglé.
Lutin Jaune Posté 31 Janvier 2012 Auteur Posté 31 Janvier 2012 (modifié) Tout n'est pas encore remis en place... je procède par étape en essayant de blinder au maximum l'installation le premier site n'utilise pas de formulaire, je n'ai pas remis les mails en route (un peu peur du spam) j'ai remis le second site, qui a besoin de formulaire, j'ai bien activé Captcha... ca roule Erf pas de chance, au moins en partageant ta mésaventure tu nous donnes pas mal d'astuces pour sécuriser un site J'espère que maintenant tout est réglé. Modifié 1 Février 2012 par Lutin Jaune
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant