Attaque massive ce week end

7 réponses

Auteur	Message
caaptusss \| Membre Inscrit le : 25/09/2007	# Le 17/05/2010 à 02:24 Bonjour à tous, Un petit "day report" de ma part suite à un week end assez catastrophique ici même ! Voilà donc ce cher week end de l'ascension qui se termine et qui restera marqué pour un bon moment chez firstheberg. On s'est tapé l'intrusion et l'attaque la plus barbare qu'on ai connu depuis le lancement de l'activité. Vendredi vers 20h, un pirate, probablement turque, s'est introduit sur le NS10 via une faille OScommerce, a uploadé un shell encodé et executé par PHP et a réussit à écrire sur les autres dossiers utilisateurs et dans certains fichiers de configuration. Mais malgré ses efforts, il n'a pas pu prendre la main root sur la machine. Autrement dit, un semi-hack. Comprenez bien, un piratage, ce n'est jamais anodin, c'est toujours une succession de petites erreurs. Le pirate a ainsi altéré les quelques 4000 comptes clients présents sur le serveur, en modifiant le fichier index.php par un fichier "hacked by ...". Rentrant de soirée vendredi soir, avec 2 grammes, je découvre stupéfait cet incident, avec plusieurs dizaines de tickets qui n'attendais que moi, et un warning dans tous les sens sur mes mails. Portable en silencieux, je n'ai pas vu ces messages auparavant. Avec un peu de mal, j'ai su faire un appel sur les listes OVH, mon infogéreur étant offline et ne répondant pas à son téléphone. La société Nexylan a répondu présent, et a pris l'attaque en main vers 2h du matin. A 3h30, le mode opératoire du hackeur était cerné, le serveur patché et remis en fonction, et les données des clients restaurés grâce à un backup datant du 13 Mai (48 heures). Au final, l'interruption aura duré 6h30. La cause du hack ? Un kernel trop vieux (je ne donnerais pas la version tellement j'ai honte), un php.ini bien sécurisé mais on a oublié de disable les fonctions popen et proc_open, et un mauvais groupe sur les dossiers utilisateurs dans /home. L'erreur est humaine, la connerie aussi, pour le coup, on cumule les deux. Mais comme je dis toujours, on apprend de ses erreurs, il n'y a que comme ça qu'on avance. On s'en sort plutôt bien, aucun client ne perd ses données, et le serveur reste plus ou moins intacte. Du coup, patch party cette nuit, et check des autres serveurs dans la foulée. Pour mon premier week end "pont" que je prend depuis 3 ans, c'est réussit Bonne nuit à tous. FirstHeberg.com
PepsiCola \| Jean-Jacques En attente Inscrit le : 09/05/2005	# Le 17/05/2010 à 09:29 caaptusss a dit : On s'est tapé l'intrusion et l'attaque la plus barbare qu'on ai connu depuis le lancement de l'activité. Vendredi vers 20h, un pirate, probablement turque, s'est introduit Quand je disais dans un autre post que le nouveau régime turc était peu fréquentable abonné au gaz
PepsiCola \| Jean-Jacques En attente Inscrit le : 09/05/2005	# Le 17/05/2010 à 10:15 pagetronic a dit : Ca prouve que les Turcs sont très fort, et que les updates sont à faire coûte que coûte. (et que Zepsy est un gros raciste, mais ca on le savait) Quand on est dans ta situation, en cavale, on évite de donner des leçons de morale. abonné au gaz
Atout \| Pierric Modérateur Inscrit le : 20/12/2007	# Le 17/05/2010 à 10:19 PepsiCola a dit : pagetronic a dit : Ca prouve que les Turcs sont très fort, et que les updates sont à faire coûte que coûte. (et que Zepsy est un gros raciste, mais ca on le savait) Quand on est dans ta situation, en cavale, on évite de donner des leçons de morale. Quelle bande de Naaaaaaaaaaaazes !!!
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 23/06/2010 à 16:34 45 comptes mutualisés suspendu en raison d'une prise contrôle par un pirate via un vol de mot de passe (probablement un trojan sur les postes clients). L'activité de piratage redouble de puissance depuis quelques jours, je vous invite donc à être très prudent en ce qui concerne le stockage de vos données, de vos mots de passes et de vos e-mails. FirstHeberg.com
Liliandev \| Lilian Membre Inscrit le : 06/03/2009	# Le 29/06/2010 à 18:45 Petit truc pour le php.ini ... un open_basedir n'a jamais fait de mal ... et limite la casse Lilian \| High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix
revoltman \| Yalcin Membre Inscrit le : 10/06/2005	# Le 29/06/2010 à 19:10 PepsiCola a dit : Quand je disais dans un autre post que le nouveau régime turc était peu fréquentable Mais LOL Genre c'est le gouvernement turc qui a piloté le hack des serveurs à Jeremy ! LOL Les murs ne parlent pas.
koreth \| Sébastien Membre Inscrit le : 17/09/2009	# Le 29/06/2010 à 19:46 Héhé ... Moi je dis que c'est une bonne période pour investir dans la sécurisation de vos architecture & serveurs ... et comme je suis pour le libre partage, je dirai que Bool, moi-même et d'autres ne seront pas trop nombreux pour vous aider dans ce sens ! ;) Seb Sébastien BAUDRU, CEO DRASTIC http://www.drastic-securite.com Viadeo LinkedIn Facebook

Auteur

Message

Inscrit le : 25/09/2007

# Le 17/05/2010 à 02:24

Bonjour à tous,

Un petit "day report" de ma part suite à un week end assez catastrophique ici même !

Voilà donc ce cher week end de l'ascension qui se termine et qui restera marqué pour un bon moment chez firstheberg.
On s'est tapé l'intrusion et l'attaque la plus barbare qu'on ai connu depuis le lancement de l'activité.

Vendredi vers 20h, un pirate, probablement turque, s'est introduit sur le NS10 via une faille OScommerce, a uploadé un shell encodé et executé par PHP et a réussit à écrire sur les autres dossiers utilisateurs et dans certains fichiers de configuration. Mais malgré ses efforts, il n'a pas pu prendre la main root sur la machine. Autrement dit, un semi-hack. Comprenez bien, un piratage, ce n'est jamais anodin, c'est toujours une succession de petites erreurs.

Le pirate a ainsi altéré les quelques 4000 comptes clients présents sur le serveur, en modifiant le fichier index.php par un fichier "hacked by ...".

Rentrant de soirée vendredi soir, avec 2 grammes, je découvre stupéfait cet incident, avec plusieurs dizaines de tickets qui n'attendais que moi, et un warning dans tous les sens sur mes mails. Portable en silencieux, je n'ai pas vu ces messages auparavant.

Avec un peu de mal, j'ai su faire un appel sur les listes OVH, mon infogéreur étant offline et ne répondant pas à son téléphone. La société Nexylan a répondu présent, et a pris l'attaque en main vers 2h du matin.
A 3h30, le mode opératoire du hackeur était cerné, le serveur patché et remis en fonction, et les données des clients restaurés grâce à un backup datant du 13 Mai (48 heures).

Au final, l'interruption aura duré 6h30.

La cause du hack ? Un kernel trop vieux (je ne donnerais pas la version tellement j'ai honte), un php.ini bien sécurisé mais on a oublié de disable les fonctions popen et proc_open, et un mauvais groupe sur les dossiers utilisateurs dans /home.

L'erreur est humaine, la connerie aussi, pour le coup, on cumule les deux. Mais comme je dis toujours, on apprend de ses erreurs, il n'y a que comme ça qu'on avance. On s'en sort plutôt bien, aucun client ne perd ses données, et le serveur reste plus ou moins intacte.

Du coup, patch party cette nuit, et check des autres serveurs dans la foulée. Pour mon premier week end "pont" que je prend depuis 3 ans, c'est réussit

Bonne nuit à tous.

FirstHeberg.com

PepsiCola | Jean-Jacques
En attente

Inscrit le : 09/05/2005

# Le 17/05/2010 à 09:29

caaptusss a dit :

On s'est tapé l'intrusion et l'attaque la plus barbare qu'on ai connu depuis le lancement de l'activité.

Vendredi vers 20h, un pirate, probablement turque, s'est introduit

Quand je disais dans un autre post que le nouveau régime turc était peu fréquentable

abonné au gaz

PepsiCola | Jean-Jacques
En attente

Inscrit le : 09/05/2005

# Le 17/05/2010 à 10:15

pagetronic a dit :
Ca prouve que les Turcs sont très fort, et que les updates sont à faire coûte que coûte.

(et que Zepsy est un gros raciste, mais ca on le savait)

Quand on est dans ta situation, en cavale, on évite de donner des leçons de morale.

abonné au gaz

Atout | Pierric
Modérateur

Inscrit le : 20/12/2007

# Le 17/05/2010 à 10:19

PepsiCola a dit :

pagetronic a dit :
Ca prouve que les Turcs sont très fort, et que les updates sont à faire coûte que coûte.

(et que Zepsy est un gros raciste, mais ca on le savait)

Quand on est dans ta situation, en cavale, on évite de donner des leçons de morale.

Quelle bande de Naaaaaaaaaaaazes !!!

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 23/06/2010 à 16:34

45 comptes mutualisés suspendu en raison d'une prise contrôle par un pirate via un vol de mot de passe (probablement un trojan sur les postes clients).

L'activité de piratage redouble de puissance depuis quelques jours, je vous invite donc à être très prudent en ce qui concerne le stockage de vos données, de vos mots de passes et de vos e-mails.

FirstHeberg.com

Liliandev | Lilian
Membre

Inscrit le : 06/03/2009

# Le 29/06/2010 à 18:45

Petit truc pour le php.ini ... un open_basedir n'a jamais fait de mal ... et limite la casse

Lilian | High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

revoltman | Yalcin
Membre

Inscrit le : 10/06/2005

# Le 29/06/2010 à 19:10

PepsiCola a dit :

Quand je disais dans un autre post que le nouveau régime turc était peu fréquentable

Mais LOL

Genre c'est le gouvernement turc qui a piloté le hack des serveurs à Jeremy !

LOL

Les murs ne parlent pas.

koreth | Sébastien
Membre

Inscrit le : 17/09/2009

# Le 29/06/2010 à 19:46

Héhé ...

Moi je dis que c'est une bonne période pour investir dans la sécurisation de vos architecture & serveurs ... et comme je suis pour le libre partage, je dirai que Bool, moi-même et d'autres ne seront pas trop nombreux pour vous aider dans ce sens !

;)
Seb

Sébastien BAUDRU, CEO DRASTIC
http://www.drastic-securite.com

Viadeo LinkedIn Facebook

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.