Sécurité sur serveur web

a_me · 06/09/2007, 11h46

Bonjour,

j'ai eu un problème sur notre serveur web : il a été hacké.
j'ai beau à changer les accès ftp, rien n'y fasse, à chaque fois il y a sur nos sites hébergés dessus des messages "hacked by...etc"

j'ai récement installé ossec un logiciel de détection d'intrusion, mais il a été de nouveau hacké et je n'ai reçu aucune notification par email par ossec.

pouvez-vous me dire comment arrêter cela, et quels sont les meilleurs moyens de sécuriser ?

est ce qu'il y a possibilité que ce soit une faille sur joomla, vu qu'on l'utilise pour nos sites? à noter que la version la plus ancienne de joomla qu'il y a sur notre serveur est la 1.0.8, mais aussi qu'il y a des sites en mambo 4.5.2 et qui ont été aussi hacké.

j'ai oublié de prcéiser que notre serveur web est un Linux Fedora Core 6, et en effectuant un can avec rkhunter, on trouve des fichiers systèmes endommagés.

_solo · 06/09/2007, 14h37

Citation:

est ce qu'il y a possibilité que ce soit une faille sur joomla, vu qu'on l'utilise pour nos sites? à noter que la version la plus ancienne de joomla qu'il y a sur notre serveur est la 1.0.8, mais aussi qu'il y a des sites en mambo 4.5.2 et qui ont été aussi hacké.

http://osvdb.org/searchdb.php?source...n_title=joomla
http://osvdb.org/searchdb.php?source...ln_title=mambo
comme tu peut le voir les failles sur ces deux CMS sont absolument nombreuses il vaut mieux custumiser ton code autant que possible , car aujourd'hui les pirates ne se fatigue pas a chercher , ils utilisent des bots qui font tout ca a leur place...et croit moi le nombre de bot qui attaque joomla et mambo sont tres tres nombreux

( d'ailleurs joomla est un derivee de mambo ceci-explique cela ).

Pour ton scan de Rootkit Hunter il est possible qu'en utilisant une faille de tes CMS que des binaires malisieux ai ete deposer et executer sur ton serveur , ou alors c'est un faux positif , le mieux etant de poster le message d'erreur.

Comment est disposer l' architecture de ton/tes serveur(s).

herzleid · 07/09/2007, 14h08

Salut,

Tu peux également réinstaller les rpm qui contiennent les fichiers "marqués".

Tu te retrouvera peut-être avec une configuration saine. Mais bon à mon avis, tu as de fortes chances d'etre obligé de réinstaller la machine : tu ne sais pas à quel point ton système est corrompus. Donc cette ultime solution reste à prévoir.

Tu peux aussi tenter une chose : déporter tes logs sur un autre server. Ainsi, s'il y a intrusion tu aura les logs de connexion.

a_me · 07/09/2007, 16h35

@__solo:
merci pour ta réponse, eh bien on est pas sorti de l'auberge, la bosse veut qu'on travaille avec joomla comme cms, on a essayé d'autres (modx, etc.) mais joomla reste pour nous le plsu facilement modifiable et adaptable aux besoins.
quel message d'erreur dois-je poster ?

@herzleid:
merci à toi également, on ne peux pas avoir à réinstaller le système de nouveau c la deuxième fois que cela arrive, et ca vas prendre du temps à tout remttre en place.

outre les les hack il y a aussi eu des tentative de phishing à partir de notre serveur.
est ce que mettre php on safe_mode pourra résoudre l'affaire ou diminuer les risques?

Elboras · 07/09/2007, 23h52

si ils n'ont pas ete efface, essaye de voir tes logs serveur, genre les logs apache pour voir ce qui a été fait.
Cette simple action peut permettre de voir comment la faille a été exploite, prend une version de joomla recente, et de plus si tu a la derniere version, que la faille provient bien de joomla et que tu detecte l'exploitation dans certains logs :

- envoi un truc a joomla pour les prevenir
- fait un petit patch si tu peux pour eviter de te refaire avoir sur ce plan

- reinstall ton systeme qui est corrompu et repart sur de bonne base.

Ceci sont des idees pele mele. mais l'objectif etant d'identifier les failles, patcher tout ca repartir sur des bases saines.
Repartir ensuite sur des bases saines et faire des efforts sur le monitoring pour detecter des tentatives d'intrusions.

Enfin tu vois brievement les idees, tu va perdre du temps si tu te fais hacker tous les 2 jours, donc prend le facteur securite en compte, documente toi sur la securite en general.
Sinon, pour ce qui est de la securite des applications web je peux te conseiller "hacking web applications exposed".

a_me · 08/09/2007, 13h52

merci pour ta contribution elboras, ou puis-je trouver ce "hacking web applications exposed" ? c'est un magazine? un site?

Elboras · 08/09/2007, 17h19

Citation:

Envoyé par a_me

merci pour ta contribution elboras, ou puis-je trouver ce "hacking web applications exposed" ? c'est un magazine? un site?

un livre, c'est un livre ecrit en anglais donc doit etre plutot rare, je l'ai vu a la boutique eyrolles dans le 5eme arrondissement de paris, sinon sur amazon.com tu devrais pouvoir le commander s'il t'interesse vraiment

06/09/2007, 11h46	#1
a_me Membre du Club Inscription : novembre 2004 Messages : 64 Détails du profil Informations personnelles : Âge : 31 Localisation : Maroc Informations forums : Inscription : novembre 2004 Messages : 64 Points : 40 Points : 40	Sécurité sur serveur web Bonjour, j'ai eu un problème sur notre serveur web : il a été hacké. j'ai beau à changer les accès ftp, rien n'y fasse, à chaque fois il y a sur nos sites hébergés dessus des messages "hacked by...etc" j'ai récement installé ossec un logiciel de détection d'intrusion, mais il a été de nouveau hacké et je n'ai reçu aucune notification par email par ossec. pouvez-vous me dire comment arrêter cela, et quels sont les meilleurs moyens de sécuriser ? est ce qu'il y a possibilité que ce soit une faille sur joomla, vu qu'on l'utilise pour nos sites? à noter que la version la plus ancienne de joomla qu'il y a sur notre serveur est la 1.0.8, mais aussi qu'il y a des sites en mambo 4.5.2 et qui ont été aussi hacké. j'ai oublié de prcéiser que notre serveur web est un Linux Fedora Core 6, et en effectuant un can avec rkhunter, on trouve des fichiers systèmes endommagés.
	00

07/09/2007, 14h08	#3
herzleid Membre éclairé Inscription : juin 2002 Messages : 376 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juin 2002 Messages : 376 Points : 388 Points : 388	Salut, Tu peux également réinstaller les rpm qui contiennent les fichiers "marqués". Tu te retrouvera peut-être avec une configuration saine. Mais bon à mon avis, tu as de fortes chances d'etre obligé de réinstaller la machine : tu ne sais pas à quel point ton système est corrompus. Donc cette ultime solution reste à prévoir. Tu peux aussi tenter une chose : déporter tes logs sur un autre server. Ainsi, s'il y a intrusion tu aura les logs de connexion. __________________ www.kywyxy.net
	00

07/09/2007, 16h35	#4
a_me Membre du Club Inscription : novembre 2004 Messages : 64 Détails du profil Informations personnelles : Âge : 31 Localisation : Maroc Informations forums : Inscription : novembre 2004 Messages : 64 Points : 40 Points : 40	@__solo: merci pour ta réponse, eh bien on est pas sorti de l'auberge, la bosse veut qu'on travaille avec joomla comme cms, on a essayé d'autres (modx, etc.) mais joomla reste pour nous le plsu facilement modifiable et adaptable aux besoins. quel message d'erreur dois-je poster ? @herzleid: merci à toi également, on ne peux pas avoir à réinstaller le système de nouveau c la deuxième fois que cela arrive, et ca vas prendre du temps à tout remttre en place. outre les les hack il y a aussi eu des tentative de phishing à partir de notre serveur. est ce que mettre php on safe_mode pourra résoudre l'affaire ou diminuer les risques?
	00

07/09/2007, 23h52	#5
Elboras Membre confirmé Edouard Viot Ingénieur sécurité Inscription : juillet 2007 Messages : 193 Détails du profil Informations personnelles : Nom : Edouard Viot Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : juillet 2007 Messages : 193 Points : 262 Points : 262	si ils n'ont pas ete efface, essaye de voir tes logs serveur, genre les logs apache pour voir ce qui a été fait. Cette simple action peut permettre de voir comment la faille a été exploite, prend une version de joomla recente, et de plus si tu a la derniere version, que la faille provient bien de joomla et que tu detecte l'exploitation dans certains logs : - envoi un truc a joomla pour les prevenir - fait un petit patch si tu peux pour eviter de te refaire avoir sur ce plan - reinstall ton systeme qui est corrompu et repart sur de bonne base. Ceci sont des idees pele mele. mais l'objectif etant d'identifier les failles, patcher tout ca repartir sur des bases saines. Repartir ensuite sur des bases saines et faire des efforts sur le monitoring pour detecter des tentatives d'intrusions. Enfin tu vois brievement les idees, tu va perdre du temps si tu te fais hacker tous les 2 jours, donc prend le facteur securite en compte, documente toi sur la securite en general. Sinon, pour ce qui est de la securite des applications web je peux te conseiller "hacking web applications exposed".
	00

08/09/2007, 13h52	#6
a_me Membre du Club Inscription : novembre 2004 Messages : 64 Détails du profil Informations personnelles : Âge : 31 Localisation : Maroc Informations forums : Inscription : novembre 2004 Messages : 64 Points : 40 Points : 40	merci pour ta contribution elboras, ou puis-je trouver ce "hacking web applications exposed" ? c'est un magazine? un site?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email