Joomladay francophone 2018 à Paris 18 et 19 mai

Ho non, moi aussi !!

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Ho non, moi aussi !!

    Bonjour, je viens de recevoir le message suivant de la part d'OVH.

    >Bonjour,
    >
    > Notre système de surveillance (Okillerd) a détecté une opération
    > irrégulière au niveau de votre site.
    >
    > Les détails de cette opération sont les suivants :
    >
    >
    > Problème rencontré : prog launched from tmp directory
    > Commande apparente : ./httpd -b ssh174.c
    > Exécutable utilisé : /var/log/tmp/.home/.lib/httpd
    >
    > Ceci n'est pas autorisé sur nos installations,
    > car c'est une tentative potentielle de piratage.
    >
    > Si ce n'est pas vous qui avez lancé ce script, cela signifie
    > qu'il y a une faille sur votre site et qu'un hacker s'en
    > est servi pour réaliser cette opération.
    >
    > Nous avons désactivé l'accès web temporairement pour éviter tout
    > risque de nouveau piratage.
    >
    Ce message est un peu inquietant, surtout que je ne sais pas quel site a été visé (car c 'est un hebergement mutualisé)

    pouvez vous me donner des informations sur l'attack, quel est la faille ? que dois je faire ? est ce que ca risque de se reproduire ?
    Agence de communication web Marseille - RG Design http://www.rgdesign.fr
    Vide dressing vente de vêtements et accessoires - Dressing enligne
    http://www.dressingenligne.fr

  • #2
    Yop,

    C'est pas potentielle, ca en est une . Je connais pas trop les serveurs OVH mais je te donnerai une serie de commande à taper sur ton serveur et on identifiera vite la nature de ton problème.

    Te donner des informations sur l'attaque, pas évident avec si peu d'information, mais je vais tenter de t'aider .

    La faille une appli WEB, laquelle ? ca va falloir chercher. Ca se reproduira tant que l'application web ne sera pas patchée. Si tu as la possibilité bloque avec une règle de firewall la type de connexion (regarde le type de connexion qu effectue le script).


    Ici, un attaquant à utiliser une faille présente sur l'un des sites web ou application webisé installé sur le serveur afin d'importer dans le répertoire /var/log/tmp de ton serveur des données (dont un script). Dans les systèmes Unix, le répertoire /tmp est accessible par tous, ce qui fait que lorsque des failles sont exploités sur une application web, bien souvent les scripts illégaux sont présents dans ce répertoire. Là je vais faire une supposition mais, /var/log/tmp n'est pas une répertoire très courant dans les distro Linux, peut être est ce un config particulière de OVH. En tout cas, l'attaquant s'en est servi comme d'un /tmp.

    Faudra que tu nous dises les droits du répertoire /var/log/tmp ainsi que les droits et le owner du répertoire /var/log/tmp/.home. ca pourra nous donner des informations supplémentaires.

    En tout cas, il est clair que les droits sont suffisement ouvert pour qu'il y ait accès.

    Le pirate a créé un répertoire "caché" en utilisant le . devant le nom du répertoire. L'admin est donc obligé de faire un "ls -al" pour voir ce répertoire et nombreux sont les admins qui n'utilisent pas l'option "-a".

    Ensuite, le script utilisé est "./httpd -b ssh174.c", je mets ma main à couper qu'il s'agit d'un bot IRC . Utilises tu Apache 1.x ou Apache 2.x ?

    Si tu utilises Apache2, tu aurais du identifier le processus "httpd" comme illicite car il s'agit du nom du démon de Apache 1.x.

    Si tu n'as pas supprimé ce script et qu'il tourne, on va tenter de l'analyser. Si tu l'as viré dommage, on va pas pouvoir aller très loin.

    Pour connaitre la nature de ce script, fait un "netstat -anupt" et regarde vers quel port le script se connecte (je parie que le port depuis ta machine est 80, généralement ouvert sur les firewalls).

    Si tu es avec un Apache1.x, utilise un "ps -ax" pour identifier le PID du process et le trouver dans "netstat -anupt".

    Regarde le port de destination ! Tu peux également lire le contenu du fichier "ssh174.c" ca peut apprendre pas mal. Quant à "httpd" ca doit être un binaire précompilé donc illisible (sauf avec nasm )...

    Comment te protéger de tout ca ?

    1) Vérifie la partinence de /var/log/tmp. Ce répertoire ne devrait pas avoir lieu d'exister (sauf si c est OVH qui le met en place pour sa mutualisation). Le /tmp est là pour ca...
    2) Essaie d'identifier dans tes logs applicatifs (a coup de find et de grep) quand ce script a été téléchargé et par quelle application ? Regarde dans /var/log/.home et .lib si y a pas une archive et un script de téléchargement. Bien souvent le pirate peut installer son script, mais pas effacer les logs ni l'ensemble des mécanismes qu'il a utilisé pour rapattrier son script (puisqu'il passait par Apache). Tu as quelque part un archive ou un simple script php ou sh qui a permis de télécharger ce soft.

    Là je te donne des manières d'auditer ton serveur, mais y en a plein d'autre... Comme ca c'est pas évident de t'aider.
    3) Supprime le répertoire /var/log/tmp/.home (après avoir audité)
    4) Kill le process (après avoir audité).

    Le problème des hébergements mutualisés c'est qu'en terme de protection c'est difficile de mettre de bon verrou... ta securité depend de celle des autres...

    Y a t-il un IPTABLES sur ce serveur ? si oui as tu accès aux règles de firewalling ? Y a t-il SELINUX ?

    Sans faire de pub... je suis sur que tu trouveras au meme prix un serveur dédié chez un autre fournisseur dont je tairais le nom.

    Dernière question, tu as quoi comme appli d'installer ? Phpmyadmin ? un logiciel de supervision ?

    Commentaire


    • #3
      Déja un GRAND merci pour ta reponse, car je me sens une petit peut perdu face a un monde que je ne connais pas du tout.

      j'ai essayé de relever point par point tes remarques et conseils, et j'ai ensuite appellé OVH pour repondre a certaines questions.

      je suis en serveur mutualisé, et d'apres le technicien, je n'ai pas de souci a me faire concernant la securité de la structure, je n'ai donc pas a m'occuper de toute les operations "ps -ax" et "netstat -anupt" (ce qui m'arrange car je ne sais pas ce que c 'est ni comment faire ...

      je n'ai pas non plus a me soucier du fichier "ssh174.c" ou du /var/log/tmp.home car c est ovh qui gere ca.

      Il y a effectivement un firewall.

      et le port ne peut etre que le port 80 d'apres le technicien

      je dois donc me concentrer sur le fichier log que j ai put récuperer.

      L'attaque a été déclaré par OVH a 18:12:30. Je suis donc allé regardé les logs de 18:12, et aparemment ca serai une faille du composant facileforms, et j'ai une adresse ip

      j'ai remarqué egalement qu' il y a des repertoires .flood avec un fichier .time et 2 ou 3 fichiers avec une adresse ip dans chaque dossier .flood

      Je n'ai pour le moment rien supprimé.

      1/ pour voir plus claire, puis je deposer mon fichier log sur le forum ou est ce préférable en MP ?

      2/ avant de supprimer les dossiers .flood, comment puis je les examiner (pour avoir des infos), est ce que je peux egalement les comuniquer avec les adresses ip ?

      J'attends avec impatience vos reponses

      PS: est il préférable dans mon cas de passer a joomla 1.0.14 ,
      Dernière édition par richo à 06/02/2008, 18h17
      Agence de communication web Marseille - RG Design http://www.rgdesign.fr
      Vide dressing vente de vêtements et accessoires - Dressing enligne
      http://www.dressingenligne.fr

      Commentaire


      • #4
        Tu peux m'envoyer en MP si tu le souhaites. Mais bon on ira pas hyper loin on verra au pire comment qu'il a fait.

        En revanche, si ils te disent que tu n'as pas à gérer /var/log/tmp et tout le reste, cela veut dire que c'est propre à OVH... donc ptre que cette faille n'est pas lié à toi mais un autre gars. De plus... si c'est eux qui le gère, qu'ils évitent de te spammer la gueule lol.

        Mais quand tu te connectes a ton serveur, tu ne peux faire que du depot (en FTP) ou tu peux lancer des commandes (via SSH). Je connais pas du tout OVH (perso suis chez dedibox ).

        Si tu peux pas faire de commande, on pourra pas tout analyser . Bref, en tout cas ce qui est sur c'est que le script httpd fait des requetes vers l'extérieur avec en port source le 80 pour passer le firewall (qui doit aussi être géré par OVH).

        La commande "ps -ax" te permet de lister tous les processus en cours sur ton serveur (linux). La commande "netstat -anupt" permet de lister toutes les connexions en cours ainsi que les sockets en attentent de connexion. De plus, pour chaqu'une d'elle, le nom du processus lié est indiqué. Cette dernière commande nous aurais permis de savoir vers où et surtout sur quel port se connecte. Mais je change pas d'avis je parie sur un bot IRC.

        Tes répertoires ".flood" ils sont où ? bah si ce sont des répertoires y a quoi de dans ?

        Commentaire


        • #5
          Bonsoir,
          je viens de t'envoyer un message privé avec tous les infos que je possédai.
          je ne sais pas si on peut les divulger sur le forum, mais si c est le cas alors faisons le, car tes explications sont precieuse, et peuvent servir a d'autres
          J'ai fait une petite recherche google, un bot IRC n'a pas l'aire si mechant ...
          J'ai hate de lire ton diagnostic
          Agence de communication web Marseille - RG Design http://www.rgdesign.fr
          Vide dressing vente de vêtements et accessoires - Dressing enligne
          http://www.dressingenligne.fr

          Commentaire


          • #6
            un bot irc n'est pas méchant... ca depent ce qu'il fait et surtout le nombre de bot irc qui exécute la meme attaque...

            Plusieurs très grosse boite te diront pas que "c'est pas méchant" .

            Le problème c'est que la vulgarisation des attaques limitent aussi leur domaine d'action.

            J'étudierai le log demain au taff . A demain

            PS: d'après ton offre tu as un accès ssh donc tu dois pouvoir taper une partie des commandes. Je dirais meme toutes les commandes étant donné que chrooté du ssh c'est pas évident et je pense pas que OVH se soit pris la tete a le faire.
            Dernière édition par Dunkel à 06/02/2008, 22h07

            Commentaire


            • #7
              Merci Dunkel, mais je ne veux pas que ca nuise a ton travail quand meme
              Bon Effectivmeent, je peux utiliser le ssh, alors apres une petite recherche sur son utilisation, je suis tombé sur ca
              je telecharge donc Putty, je me connecte a mon ftp, je rentre mon logine, on me demande le mot de passe, et là, IMPOSSIBLE d'ecrire quoique ce soit ni chiffre ni lettre gggrr !!!!

              je telecharges filzilla et d'autre clients comme axessh et WinSSHD-Inst, mais n'ayant pas la connaisance, je n'ai pas reussit a lancer une seule commande ...
              a demain !!
              Agence de communication web Marseille - RG Design http://www.rgdesign.fr
              Vide dressing vente de vêtements et accessoires - Dressing enligne
              http://www.dressingenligne.fr

              Commentaire


              • #8
                tu peux aussi faire appel a cette boite:

                http://www.scanalert.com

                Commentaire

                Annonce

                Réduire
                1 sur 2 < >

                C'est [Réglé] et on n'en parle plus ?

                A quoi ça sert ?
                La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                Comment ajouter la mention [Réglé] à votre discussion ?
                1 - Aller sur votre discussion et éditer votre premier message :


                2 - Cliquer sur la liste déroulante Préfixe.

                3 - Choisir le préfixe [Réglé].


                4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                2 sur 2 < >

                Assistance au forum - Outil de publication d'infos de votre site

                Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                UTILISER À VOS PROPRES RISQUES :
                L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                Problèmes connus :
                FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                Installation :

                1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                Archive zip : https://github.com/AFUJ/FPA/zipball/master

                2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                et remplacer www. votresite .com par votre nom de domaine


                Exemples:
                Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/
                Pour executer le script: http://www..com/fpa-fr.php

                Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/cms/
                Pour executer le script: http://www..com/cms/fpa-fr.php

                En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                Voir plus
                Voir moins
                Travaille ...
                X