Si plusieurs site ont été attaqués en même temps il faudrait trouver le dénominateur commun.
CMS utilisé ?
Code PHP identique ?
Pour le nettoyage c'est assez difficile.
Un site web pour vous aider:
http://sitecheck.sucuri.net/
Sitelock est une solution proposé par amen.
Il en existe beaucoup d'autre qui serons très efficace sur une attaque ScriptKiddies, plus difficile si le piratage à été fait sur mesure.
Sur un serveur dédié un comparateur de fichier peux être assez efficace mais long à gérer.
J'espère avoir répondu à toute vos questions, je vous joint le même type de message que nous envoyons à nos clients de serveurs dédiés.
Cordialement
Vincent
PS: Information serveur dédiés:
-Sur votre machine chez vous ou dans votre bureau:
1. Réaliser un scan de vos machines bureautiques (Certain malware utilise les comptes FTP pour déposer des pages malicieuses sur vos hébergements).
-Sur votre serveur :si notre équipe du centre de données le consent, nous allons remettre en ligne votre serveur pour un temps limité. Attention! vous devrez impérativement désactiver tous les services actifs sur votre serveur (ainsi votre serveur ne sera plus impliqué dans les problèmes indiqués préalablement). Aussi, si vous souhaitez que nous vous assistions dans ces démarches, vous pouvez nous autoriser un accès administrateur à votre serveur.
1. Vérifier quels logiciels sont installés antivirus/firewall/spyware, et nous indiquer s'il sont bien activés :
-Réaliser la liste des programmes installés sur votre serveur, ports ouverts, processus actifs. (exemple d'outils: netstat -na / GNU/Linux: paquets installés / Windows :
http://technet.microsoft.com/en-us/sysinternals, ou par les commandes suivantes dans PowerShell: Get-WmiObject -Class Win32_Product | Select-Object -Property Name > liste.txt).
-Faire les mises à jours non effectuées.
2. Analyse du système d'exploitation pour détecter les piratages "simples" :
-Réalisez une vérification de l'ensemble de votre serveur: rootkit, scripts malicieux,.... (exemple d'outils: AntiVirus / GNU/Linux: Chkrootkit, rkhunter, clamav, ... / Windows: Microsoft Baseline Security Analyzer, Microsoft Malicious Software Removal Tool,...).
-Vérifiez si des parties du système ont été modifié. (GNU/Linux: debsums,.../ Windows: HiJackThis, ccleaner,...).
3. Sauvegarde de vos données sur un autre serveur. (Hors mode KVM) :
-Réalisez des sauvegardes de l'ensemble de votre serveur sur une de vos machines. (Préparer une éventuelle réinstallation).
4. Changer les mots de passe, utilisateurs systèmes, FTP, Email... :
-Changez l'ensemble de vos mots de passe, en utilisant au minimum 10 caractères, avec les minuscules et des majuscules, des chiffres, et des caractères spéciaux.
5. Vérifier la configuration des logiciels serveurs :
-Utilisez des outils, suivant le service (Serveur de mail:
http://www.mailradar.com/openrelay/ ,...).
6. Vérifier les sites web: injections, modifications :
-Vérifiez la programmation de vos sites (Scripts avec vulnérabilités, upload de fichier sur des répertoires exécutable, permis, ...).
-Vérifiez si vos données n'ont pas été modifiées.
-Téléchargez l'ensemble de vos fichiers (effectué au point nº3) et lancez une analyse avec un antivirus des fichiers sur votre ordinateur.
-Mettre en place des outils de vérifications de modifications des fichiers. (AIDE,...).
Une fois le problème résolu:
-----------------------------
S'il s'agissait de problèmes de SPAM, nous vous conseillons de vérifier que votre serveur à bien été retiré des listes noires
Voici deux liens pour vous y aider:
http://www.dnsbl.info/dnsbl-database-check.php
http://multirbl.valli.org/
Pour éviter des problèmes d'abus dans le futur, nous vous conseillons les points suivant :
-Mise à jours des logiciels CMS, OS, ...
-Désactiver tous les services que vous n'utilisez pas.
-Vérifier la configuration des services que vous utilisez.
-Firewall en place.
-Mettre en place des outils pour limiter les forces butes (Linux: fail2ban, ...).
-Mettre en place des outils de vérification d'intégrité des données (Linux: Aide, ...)
-Vérification si un navigateur peut accéder aux répertoires UPLOAD de PHP.
-Vérification des formulaires.
-Vérification de la programmation en général.
-Abonnement à des listes de diffusion sur les alertes de vulnérabilité: OS, CMS, ...
Si vous avez Plesk :
--Dans le menu de gauche cliquer sur "Outils et paramètres".
--Dans le Menu "Sécurité", cliquer sur le premier sous menu "Politique de sécurité".
--Régler la "Complexité min. des mots de passe" sur "Forte".
Si la version de Plesk que vous avez est inférieure à la 12.0.18, il est possible de l'actualiser et d'activer certains modules de protection (maintenant proposés en standard) :
-modSecurity.
-Fail2ban.
-Limites d'envois de mails.
Dans votre Plesk :
Onglet "serveur", sous onglet "Outils et Paramètres", dans le sous menu "Parallels Panel", cliquer sur la sixième ligne "Mises à jour et à niveau".
Cliquer sur "Installer ou mettre à niveau le produit" puis sur "continuer"
Patientez jusqu'à la fin de l'actualisation.
Sinon, vous pouvez utiliser un proxy applicatif, pour filtrer/limiter les attaques notamment si vous utilisez des CMS pas tout à fait à jour. Plusieurs sociétés proposent ce type de produit, comme Amen avec SiteLock. Vous pouvez contacter le service commercial qui pourra vous conseiller.
===========
Les navigateurs récents utilisent des filtres pour protéger les utilisateurs.
Chaque navigateur utilise leur propre organismes de filtre.
Lorsqu'un robot comme celui de google détecte un malware, le site est ajouté dans les sites potentiellement dangereux, et une alerte est affichée par le navigateur.
Concernant la mise en place du code malicieux, c'est assez difficile de répondre, en principe notre plateforme est protégé au niveau du système et des logiciels serveurs utilisés, voici les indications que nous donnons à nos clients lorsque nous détectons ou recevons des alertes sur des sites.
En résumé il faut aussi vérifier le CMS si vous en utilisez un, les droits sur les répertoires, et le code de vos pages webs...
Voici quelques indications afin de détecter l'origine du problème.
-Sur votre machine chez vous ou dans votre bureau :
1. Réaliser un scan de vos machines bureautiques (Certain malware utilise les comptes FTP pour déposer des pages malicieuses sur vos hébergements).
Sur votre hébergement,
1. Changer les mots de passe, FTP, Email, de vos applications WEB... :
-Changez l'ensemble de vos mots de passe, en utilisant au minimum 10 caractères, avec les minuscules et des majuscules, des chiffres, et des caractères spéciaux.
2. Vérifier les sites web: injections, modifications :
-Vérifiez la programmation de vos sites (Scripts avec vulnérabilités, upload de fichier sur des répertoires exécutable, permis, ...).
-Vérifiez si vos données n'ont pas été modifiées.
-Téléchargez l'ensemble de vos fichiers et lancez une analyse avec un antivirus des fichiers sur votre ordinateur.
Voici les causes possibles d'un tel problème :
-Vous ou vos clients avez crée une page contenant un logiciel malveillant / malware.
-Les mots de passe que vous ou vos clients utilisent, sont trop simples et ont été "devinés".
-Une page web est trop permissive et peut être utilisée pour injecter/uploader des fichiers malicieux.
-Une de vos machines à été piratée et des programmes ou des pages ont été installées sur votre hébergement.
-...
Nous essayons de tout mettre en œuvre pour avoir une plate-forme sécurisée :
-Mise à jour des logiciels CMS, OS, ...
-Vérifier la configuration des services.
-...
Cependant, la sécurité doit aussi être prise en compte sur les CMS que vous utilisez, et au niveau de la programmation de votre site web :
-Vérification si un navigateur peut accéder aux répertoires UPLOAD de PHP.
-Vérification des formulaires.
-Vérification de la programmation en général.
Les attaquants sont imaginatifs et de nouvelles manières d'attaquer apparaissent régulièrement, qui peut prendre en défaut les deux derniers points indiqués dans ce mail.
Une façon de mitiger ce dernier point est de s'abonner à des listes de diffusions sur les alertes de vulnérabilité.
A la fin du problème nous envoyons ce deuxième courrier:
--------------------------------------------------------
Je me permets de vous informer que nous avons un nouveau produit qui permet d'être informé et protégé sur de futur intrusions sur vos produits d'hébergement et bases de données.
http://www.amen.fr/sitelock/
Afin d'éviter que cela se reproduise dans le futur, nous vous conseillons les points suivant :
- Avoir toujours à jour vos CMS.
- Modifier tous les mots de passe, (FTP, accès CMS, ...), en utilisant au minimum 10 caractères, avec des minuscules et des majuscules, des chiffres, et des caractères spéciaux.
- Contrôler vos machines locales (Anti-Virus, Anti-Spyware)
Nous restons à votre disposition pour tout renseignement complémentaire.
Partager