Journal Au secours ! Site défacé !

Posté par  (site Web personnel) .
Étiquettes : aucune
0
15
jan.
2007
J'ai mon site http://www.funix.org qui a été "défacé" par un obscure groupe turc qui a remplacé mon fichier index.php par un autre, et j'ai beau remettre en place mon fichier, ils remettent systématiquement en place le leur. Je ne comprends pas comment ils opèrent, si ça vient de mon hébergeur (online) ou de mes pages, je n'ai jamais utilisé de CMS justement pour des raisons de sécurité et j'ai toujours fait des pages simplissimes sans mot de passe ou autre base de données quitte à être non conforme. Voilà comment mon site funix est construit http://www.funix.org/fr/php/main-php.php?ref=configsite&(...) si quelqu'un voit une faille potentielle, je suis preneur pour éviter pareil désagrément.
  • # rapide coup d'oeil

    Posté par  . Évalué à 5.

    Salut,

    Tout d'abord merci pour ton site, il m'a bien dépanné il y a quelques années.

    J'ai regardé en diagonal, un truc par très net:

    if ($ref!="")
    {
    $file=$ref.".htm";
    }
    else
    {
    $file="main.htm";
    }
    include ($file);


    Car $ref pourrait très bien contenir une url d'un site malin.

    Sinon en regardant les logs du serveur Web tu verrais peut être des trucs bizarres.
    • [^] # Re: rapide coup d'oeil

      Posté par  . Évalué à 1.

      Effectivement, si fopen_url est activé, il est possible d'éxecuter n'importe quelle fonction php avec l'aide d'un serveur web ami .
    • [^] # Re: rapide coup d'oeil

      Posté par  (site Web personnel) . Évalué à 2.

      Pour le ref effectivement on m'avait déjà fait la remarque, avant de me lancer dans des modifs super lourdes, il faut que je modifie le code pour que ref soit dans une liste bien précise, j'ai pas trop le temps en semaine, tant pis on verra ça le week end prochain. Pour les logs malheureusement je n'ai pas accès aux logs du serveur, néanmoins les logs bruts de stat m'ont permis de voir que ces hackers avaient un site où ils se vantent de leur "exploit" http://www.zone-h.org/component/option,com_attacks/Itemid,43(...)

      https://www.funix.org mettez un manchot dans votre PC

      • [^] # Re: rapide coup d'oeil

        Posté par  . Évalué à 3.

        une petite correction rapide, mais ce n'est pas certifié : verifie que le fichier existe en local avant de l'include donc :

        if(file_exists('./' . $file))
        include ($file);
        • [^] # Re: rapide coup d'oeil

          Posté par  (site Web personnel) . Évalué à 3.

          Si c'est du pur HTML, j'utiliserai readfile ($file); tout simplement.

          Étienne.
          • [^] # Re: rapide coup d'oeil

            Posté par  . Évalué à 2.

            Ça empêche l'exécution de code côté serveur mais pas côté client (javascript, cross site scripting, tout ça).
            Ça n'empêche pas non plus l'affichage d'un fichier de config contenant mots de passes et autres infos.
      • [^] # Re: rapide coup d'oeil

        Posté par  . Évalué à 3.

        Il suffit de faire
        include "./$ref"
        et ca evite déjà tout ce qui est une URL . On ne pourra plus qu'includer à partir de ta machine
        • [^] # Re: rapide coup d'oeil

          Posté par  . Évalué à 2.

          Oui mais non, si tu arrive à écrire du code php quelque part sur le serveur (dans les logs par exemple, en faisant une erreur 404) et que tu inclus le fichier ça revient au même.

          Le mieux est de faire une liste des fichiers autorisés dans un tableau, et en attendant un preg_replace('#[^a-z0-9\.]#i','',$ref); doit suffire à corriger le problème.
      • [^] # Re: rapide coup d'oeil

        Posté par  (site Web personnel) . Évalué à 5.

        déjà tu peux t'assurer que le $ref ne contienne ni point, ni slash, ni caractère spéciaux, et limiter sa taille.

        ensuite, je te conseil l'utilisation de fopen plutôt que include, c'est plus sur si tes document ne contiennent pas de php
        • [^] # Re: rapide coup d'oeil

          Posté par  (site Web personnel) . Évalué à 1.

          Merci pour les trucs, je vais étudier tout ça ce week end pour renforcer tout ça.

          https://www.funix.org mettez un manchot dans votre PC

      • [^] # Re: rapide coup d'oeil

        Posté par  (site Web personnel) . Évalué à 5.

        We do not deface websites for fun, we do to teach you The Turkish Power.


        Franchement la "Turkish Power" elle me montre que ces mecs ils doivent vraiment avoir des vies bien moroses pour aimer passer leur temps à faire chier le monde ! Heureusement qu'ils "do not deface websites for fun" parce que sinon on pourrait se poser des questions... !
        • [^] # Re: rapide coup d'oeil

          Posté par  . Évalué à 2.

          Ben justement, s'ils ont une vie morose, je trouverais plus sain qu'ils le fassent pour s'amuser.
          Ce n'est pas que la fin justifie les moyens mais, quand la fin est bonne (s'amuser, je trouve ça bien), il suffit de changer les moyens.
  • # 2-3 pistes

    Posté par  . Évalué à 3.

    Salut,

    Dans cette partie,je suppose qu'il n'ont pas obtenu de compte root et qu'il s'agit d'un serveur dédié/virtualisé (donc avec accés aux logs)
    As-tu accés aux logs de cette machine ?
    Si tel est le cas, quelles sont les différentes IPs qui se sont connectées à ta machine (logs d'Apache,du serveur FTP,ssh aussi pour vérifier qui tentait des connections) . A ce sujet, les mots de passes d'admin pouvaient-ils être considérés comme fiables.
    Comme ta page est ancienne (dernière MAJ 2000), il faut aussi envisager des failles niveau serveur (PHP par exemple).
    Si on etudie le code, je pense qu'un bon principe est de désactiver les register_globals (qui sont activés par défault jusqu'à PHP 4.2) surtout pour du code simple,verifier que chaque fois que l'on fait un include,system_exec et autre commande de ce genre les variables sont sures (à ce sujet, désactiver fopen_url (je sais plus le nom exact) peut aussi être une bonne idée .
    S'ils ont obtenu le compte root, là c'est plus dur surtout s'il ont mis un rootkit.Il existe chkrootkit et rkhunter qui sont utiles mais à démarrer à partir du livecd (au cas ou les appels read/write ont été corrompus). Je suis d'accord qu'en cas de serveur hébergé, c'est plus difficile de faire la solution livecd
    • [^] # Re: 2-3 pistes

      Posté par  . Évalué à 2.

      Dans ce genre de cas (serveur dedie dans un datacenter) la solution a la fois la plus sure et la plus simple reste de redumper le serveur, et de remettre la configuration en place. Mais ca suppose d'avoir des backups de la config et du (des) site(s) tournant dessus.

      Au passage, autant en profiter pour upgrader apache/php et tous leurs copains a des versions plus recentes et plus sures (attention, comme dit plus haut par digits, a partir de php 4.2 register_globals est desactive par defaut ce qui risque de pourrir la compatibilite de ton code...)
  • # turc

    Posté par  . Évalué à 3.

    d'abord, merci pour ton site qui m'a beaucoup aidé quand j'ai débuté. Ensuite, juste pour info, il me semble que pas mal de mouvements nationalistes turcs avaient décidé d'attaquer un maximum de sites français après le vote par notre parlement de la malheureuse loi sur la pénalisation de la négation du génocide arménien. Il est donc probable que tu sois victime d'une sorte de représaille... M'enfin ça n'a peut être rien à voir non plus !!
    • [^] # Re: turc

      Posté par  . Évalué à 2.

      C'est pour se venger de la France qui retarde leur accés à l'europe ? C'est sur qu'avec de tel aggissement, on voudra encore plus vivre avec eux, tient...

      (on sait... la connerie n'a pas de limite mais bon, il suffirait que cela remonte dans la presse non spécialisé, et je sens que l'image de la turquie sera définitivement ternis)

      "La première sécurité est la liberté"

  • # Attention blague belge ...

    Posté par  (site Web personnel) . Évalué à 1.

    J'ai mon site http://www.funix.org qui a été "défacé" par un obscure groupe turc

    Dis moi, tu ne travaillerais pas pour l'armée belge des fois [1] ? Si c'est le cas, il y aurait peut-être moyen que tu me trouves quelques deniers pour meubler mon appartement, c'est que mon papa ne veut pas que je travaille et il ne me donne que 1500¤ d'argent de poche (c'est un peu chiche) ...

    1: http://www.lesoir.be/la_vie_du_net/societe/2007/01/14/articl(...)
    • [^] # Re: Attention blague belge ...

      Posté par  . Évalué à 2.

      ils sont forts quand même...

      d'ailleurs ne dit-on pas "fort comme un Turc" ?

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Faille du php connue... Un exemple encore d'actualité:

    Posté par  (site Web personnel) . Évalué à 1.

    un de mes potes, hébergé sur clicacasso, s'est fait pété la tête depuis au moins 3 mois: www.djnolive.fr

    Mais cet animal, malgré mes conseils, n'a toujours rien fait. En fait, son site n'était pas très utilisé :-))

    Effectivement, l'attaque est le fait de groupuscules Turcs qui nous reprochent le retardement des discussions sur l'adhésion de la Turquie à l'Europe, ainsi que la reconnaissance du génocide Arménien...


    Je n'en suis que plus réconforté dans mon action: www.djtonio.fr
    • [^] # PLUS INFO Re: Faille du php connue... Un exemple encore d'actualité:

      Posté par  (site Web personnel) . Évalué à 1.

      le détail à l'époque:

      lun. 20/11/2006 23:28
      Ce message concerne principalement les personnes qui utilisent des scripts php du type SPIP, PHPbb, Joomba, ... sur leur site.

      Ce week-end un serveur Clicasso a été hacké par des personnes qui ont exploité une faille de sécurité sur un des sites présent sur la machine. Le site avait un safe_mode* désactivé et les hackeurs ont pu accéder à tous les autres sites. Pour limiter les risques de voir ce genre d'icindent se reproduire nous allons activer le safe_mode* sur tous les sites et sur l'ensemble de nos serveurs.

      Si votre site fonctionne avec un safe_mode* à OFF nous vous invitons à nous contacter via le support; vous pouvez également visiter le site officiel du script que vous utilisez pour vérifier la mise à jour ou non de votre application.

      Nous vous remercions pour votre compréhension.

      * Le safe_mode active ou non le mode de sécurité de PHP


      -----
      Bien sûr, le "safe mode" sur PHP ne veut rien dire, mais il va de soi que je ne donnerais pas le "script kiddy" ici... un peu de Google s'impose... (pas compliqué en fait)
  • # Faut pas se laisser faire ...

    Posté par  . Évalué à -5.

    C'est vrai, pourquoi eux seul pourraient défacer ...
    Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-01-15 23:45 CET
    Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Interesting ports on zone-h.org (213.219.122.11):
    Not shown: 1676 filtered ports
    PORT STATE SERVICE
    25/tcp open smtp
    80/tcp open http
    443/tcp open https
    Device type: broadband router|general purpose
    Running: FiberLine embedded, Linksys embedded, Linux 2.4.X|2.5.X|2.6.X
    OS details: FiberLine Wireless DSL router, Linksys WAG54G Wireless Gateway, Linux 2.2.16, Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11, Linux 2.6.4 - 2.6.9, Linux 2.6.8 (Ubuntu)
    Uptime 5.231 days (since Wed Jan 10 18:17:45 2007)

    Nmap finished: 1 IP address (1 host up) scanned in 293.091 seconds


    C'est déjà un début ...

    telnet www.zone-h.org 25
    Trying 213.219.122.11...
    Connected to zone-h.org.
    Escape character is '^]'.
    220 zone-h.org ESMTP Postfix (Debian/GNU)


    Donc ça tourne sous Debian apparemment. Noyau pas récent ... Cool, doit y'avoir des failles ...

    La suite ... chacun l'écrira à sa façon (j'ai aussi une dent contre eux, ils ont défacé le site de ma fac, mais bon, ça a été réglé rapidement et depuis plus rien que je sache)
    • [^] # Re: Faut pas se laisser faire ...

      Posté par  . Évalué à 3.

      c'est cela, oui ... zone-h ne fait que (entre autres) stocker un historique des sites défigurés.

      plus d'infos: http://www.zone-h.org/content/view/8/83/
      • [^] # Re: Faut pas se laisser faire ...

        Posté par  . Évalué à 0.

        Ben quand t'es dans le site, tu vires les "performances" du gland qui a défacé ton site, il réfléchira la prochaine fois.

        Et entre nous, c'est quoi l'intérêt d'un site qui stocke un historique des sites défigurés ? Pousser à la défiguration ? Dans ce cas, rien n'empêche à ce qu'il figure dans ces propres statistiques ...
  • # .

    Posté par  (site Web personnel) . Évalué à 8.

    Bon, c'est pas drôle, mais il y a quand même un truc qui me fait rire, c'est que mon propre site (que j'admets être infiniment moins utile et sûrement infiniment moins consulté) est un wiki complètement ouvert à n'importe qui depuis des années et que je n'ai jamais le moindre soucis.
    Conclusion, plus c'est facile moins c'est tentant.
    Ou dans un autre genre, moins c'est sûr, plus c'est sûr.

    (Bon, soyez gentils de ne pas aller écrire n'importe quoi juste pour prouver le contraire... :)
  • # Correction

    Posté par  (site Web personnel) . Évalué à 2.

    N'oublie pas ton site perso : olivier.funix.org qui est toujours défaçable (j'arrive à exécuter du code php encore).
  • # Mais ca m'enerve ca ... Ptin ...

    Posté par  (site Web personnel) . Évalué à 1.


    Jamais utilisé de CMS justement pour des raisons de sécurité


    Mais tu te crois vraiment plus fort qu'une équipe de développeurs, qui passent leurs temps à relire le code, le corriger, sortir des patchs, passer des tests ?

    Et en plus, eux ils sont plusieurs, avec chacun des compétences différentes ... Et des connaissances différentes.

    Si tu étais réellement capable de connaitre toutes les failles que l'on peut faire en PHP, je ne dirais peut-être pas ca ... Mais le fait que ton site soit défacable, prouve que tu ne maitrise pas tout ... alors laisse le boulot a une équipe de personnes compétentes ....

    Si tu voulais vraiment avoir quelque chose de sécurisé,
    Tu utilise un cms sérieux, et tu suis les correctifs de sécurités.

    Bien fait pour toi ! Excès de confiance en sois ...
    • [^] # Re: Mais ca m'enerve ca ... Ptin ...

      Posté par  . Évalué à 4.

      Ou alors tu bricoles un truc, mais vraiment à ta sauce, et sans recopier les manières de faire des autres, et celui qui voudra te défacer devra analyser bien plus en profondeur ton site car il n'aura rien de directement connu à sa disposition pour t'attaquer.

      Ce sera probablement plus simple que de craquer la dernière version du dernier CMS avec patchs de sécurité, mais ça sera aussi nettement moins utile puisque ça ne marchera que contre toi, le jeu n'en vaut pas forcément la chandelle.

      Mes sites sont entièrement fait maison, et j'ai pas trop peur, pourtant je ne me prétend pas plus compétent que les gens qui codent les gros CMS en PHP.
      Mais c'est du python (pas Zope) et pas du PHP. La manière de faire m'est totalement personnelle. Et ya pas un site ailleurs dans le monde qui se craquera de la même manière que le mien.
      Excepté faille de sécurité d'apache par exemple, bien sûr.
      Ah, et je ne fais pas ça en réaction aux CMS existants, mes sites ne sont pas des CMS, même si un forum traîne au milieu.


      Yth.
      • [^] # Re: Mais ca m'enerve ca ... Ptin ...

        Posté par  . Évalué à 2.

        >> Excepté faille de sécurité d'apache par exemple, bien sûr.
        Utilise Karrigell alors, t'auras même plus ce problème.

        À ce sujet, je ne m'y connais pas trop là-dedans, mais comment peut-on faire pour héberger un site avec des outils un peu folklorique comme ceci ailleurs que chez soi (si possible gratuitement).
        • [^] # Re: Mais ca m'enerve ca ... Ptin ...

          Posté par  . Évalué à 2.

          Tiens, connais pas, reste à voir si on peut y mettre un module python qui marcherait comme celui pour apache et je veux bien y jeter un oeil :)

          Perso, c'est hébergé chez moi, je crois qu'autrement faut regarder du côté des serveurs dédiés, et configurer à ta sauce.

          Yth.
          • [^] # Re: Mais ca m'enerve ca ... Ptin ...

            Posté par  . Évalué à 2.

            Si c'est chez toi, va vraiment jeté un coup d'oeil, c'est légée et tout en python.

            Tu peux facilement configurer pour utiliser un autre port que le port 80 (par défaut si décommenté 8081) te permettant de lancer en plus un serveur web en simple utilisateur.

            On peut faire des page .pih qui sont l'équivalent du .php (on met le code python entre <% et %> au lieu de <? et ?>
            Sinon, on peut faire aussi des pages juste avec du python .py
            bref super bien intégré et on peut facilement utilisé toute les bibliothèque de python (Je m'en sert avec pysqlite)

            C'est vraiment très souple et très rapide à prendre en main.
            En plus, la doc est entièrement en français (c'est fait par un breton)


            Même si c'est facilement trouvable :

            Le site :
            http://karrigell.sourceforge.net

            La doc en Français
            http://karrigell.sourceforge.net/fr/front.htm

            PS : un grand merci à Laurent Pointal qui me l'a fait découvrir.
            http://linuxfr.org/comments/755757.html#755757
    • [^] # Re: Mais ca m'enerve ca ... Ptin ...

      Posté par  . Évalué à 2.

      Mais tu te crois vraiment plus fort qu'une équipe de développeurs, qui passent leurs temps à relire le code, le corriger, sortir des patchs, passer des tests ?


      Ce n'est absolument pas les propos de l'auteur. La lecture des commentaires montre d'ailleurs qu'il est tombé dans un piège plutot simple. Ton commentaire à l'emporte pièce peut aussi énerver.

      Ce que dit l'auteur, c'est simplement qu'il n'a pas installé de CMS pour des raisons de sécurité; pas qu'il est capable de faire mieux.

      Lorsqu'on développe son propre code, on sait précisement comment il fonctionne, et lorsqu'il y a un trou, on est capable de le corriger.
      Lorsqu'on installe un CMS, on se contente d'espérer que les correctifs de sécurité ne trainent pas trop après la découverte d'une faille.

      J'ai utilisé et j'utilise plusieurs logiciels tout fait en PHP, et je n'ai pas encore trouvé le CMS sérieux dont tu parles. A chaque fois que je me plonge dans l'un d'eux, et que je regarde la liste des alertes de sécurité, je suis comme l'auteur de ce journal, encouragé à écrire moi même le plus possible de ce qui m'est nécessaire. Non pas parce ce que je pense qu'il y aura moins de trous de sécurité, mais parce que je serai capable de les corriger.

      En prime, conscient du problème de sécurité, je m'astreints à respecter tout un tas de règles de codages et de paramétrage de PHP afin d'essayer de produire du code plus fiable, règle qui sont rarement utilisés dans les logiciels disponibles sur le net.
  • # Phishing et co.

    Posté par  (site Web personnel) . Évalué à 2.

    Je conseille également de vérifier si tu n'as aucun fichier ou répertoire qui a été créér depuis l'attaque. ( .xx; .\ \; .\. et j'en passe)

    Je vois pas mal de sites défacés utilisés pour heberger des scripts php pour le phishing de banques ebay etc. Les sites hacké sont également utilisés pour heberger des virus. Pas besoin de chercher des extensions .exe .pif .bat .scr et co les derniers trojan-downloader téléchargent des .gif des .jpg .txt qu'ils renomment sur l'ordinateur infecté.
    Je conseille un tripwire ou équivalent pour surveiller les fichiers sur au moins la racine de sites web [/var/www ou equivalents].
    Si tu trouves un script shell php je conseille une reinstallation du serveur ou d'en changer si le contraire est pas possible.

    Pour ceux qui peuvent pas acceder a un shell linux, y'a moyen de faire un rsync via un repertoire ftp monté sur la machine, et faire un synchro des deux repertoire.

    Sinon un CVS ou Subversion des pages web du site est en général indispensable a celui qui fait un peu de "bidouilles" sur son site avec en bonnus la possibilité de visualisé son site avant de le mettre live.

    Je sais ca peut prendre quelque temps a mettre en place mais après y'a que des avantages.

    Voila mes 0.02¤.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.