Piratage site

[JP54]

Bonsoir,

J'ai eu la désagréable surprise mercredi matin de voir d'un Email de mon hébergeur OVH me disant qu'ils avaient temporairement désactivé mon site suite à une tentative de piratge.

Ne sachant pas trop quoi faire, j'ai pris contact avec OVH et ils vons s'occuper de faire un diagnostic de mon site pour voir si un virus a été installer ou un script ou autres choses.

Bien sur mon site n'était pas protéger contre le piratage.

Cette mésaventure vous ai déjà arrivé?

J'ai vu sur Internet qu'il y avait beaucoup de solutions simple et compliqué à mettre en oeuvre pour sécurisez un site, et vous pour quelle solution avez vous opté?

[Fred59_]

Oui, Infoclimat, fin mars 2010 sous la V4 !

Solution : vérifier et sécuriser son code (PHP?), installer un pare-feu et des outils de sécurisation (rkhunter...), les configurer, et vérifier qu'il n'y a rien de suspect qui tourne sur le serveur (trafic réseau, processus inhabituels?). Attention certains scripts malicieux prennent la place d'autres utilitaires du système et se font passer pour des processus légitimes...

[JP54]

Merci Fred pour ta réponse; Parmis tout ce que j'ai trouvé sur la protection des sites, je n'ai rien vu sur Rkhunter. Je vais faire une petite recheche

[Fred59_]

J'imagine que ton serveur utilise Debian ou un truc du genre ? Plus d'info => http://doc.ubuntu-fr.org/rkhunter

Ce n'est pas le seul utilitaire du genre, mais il est très utile.

D'autres infos intéressantes ici : http://doc.ubuntu-fr.org/securite

Penser aussi à des Web Application Firewall tels que mod_security si le patch du code est impossible (nous n'utilisons pas ça sur IC pour des raisons de performances, mais ça peut être utile à d'autres), et surtout à mettre à jour fréquemment les trucs installés sur son serveur, modifier fréquemment les mots de passe, interdire les accès root distants,... bref c'est tout un boulot! Toujours se rappeler qu'à partir du moment où un ordinateur est relié au net, il est susceptible de se faire attaquer, que ce soit à cause de failles dans le code source (PHP), ou à plus bas niveau.

[JP54]

Je ne sais pas du tout ce qu'utilise le serveur OVH, de mon côté je n'ai aucunes protections.

Je viens de lire toute cette liste de protections, c'est impressionnant et ça fait même peur

[Fred59_]

Je ne sais pas du tout ce qu'utilise le serveur OVH, de mon côté je n'ai aucunes protections.

Je viens de lire toute cette liste de protections, c'est impressionnant et ça fait même peur

C'est un serveur dédié ou un mutualisé?

[JP54]

C'est un serveur mutualisé

[Fred59_]

Ah, oui... donc mes propos précédents deviennent hors sujet, puisque sur un mutualisé on n'a pas la main sur l'OS et compagnie je pense. Le problème doit donc "juste" se situer au niveau du code des pages. À lire en introduction : http://g-rossolini.developpez.com/tutoriels/php/devzone/astuces-securite/

[Cleofide]

JP54, je suis dans la même situation que toi, mais depuis maintenant un mois. Est-ce que tu as installé sur ton site un système de ping, par exemple pingdom (http://stats.pingdom.com/) ? Cela te permet de suivre la santé de ton site.

Je crois me souvenir que, comme moi, tu utilises un script saratoga. Après enquête, et réfaction intégrale de mon site, il s'est avéré qu'il n'avait jamais été piraté, et qu'il n'est pas question de virus. Le problème vient de la fréquence de mise à jour de weatherdisplay qu'OVH semble ne pas apprécier du tout (j'étais à une mise à jour toutes les 6 secondes). Depuis, je suis passé à une mise à jour toutes les 60 secondes, et les problèmes sont stabilisés (mais pas résolus, comme le prouve mon pingdom erratique (http://stats.pingdom.com/td0t3d97vv54/106630)).

Tu as peut-être eu plus de chance que moi, car ils m'ont demandé de payer pour avoir un diagnostic. Je te conseille pour le moment d'abaisser la fréquence de mise à jour, d'installer le service pingdom, et d'attendre. Il n'y a qu'ainsi qu'on peut pister l'origine du problème.

Voici le message reçu :

Notre système de surveillance (Okillerd) a détecté une opérationirrégulière au niveau de votre site. Les détails de cette opération sont les suivants : ******* Problème rencontré : BackdoorCommande apparente : /usr/sbin/nscdExécutable utilisé : /usr/sbin/nscdHorodatage: Wed Apr 3 23:33:21 CEST 2013 Ceci n'est pas autorisé sur nos installations,car c'est une tentative potentielle de piratage.

Si tu as également reçu ce message, cela voudrait dire qu'OVH a modifié ses paramètres et que la fréquence d'upload est maintenant limitée.

[JP54]

Bonjour Cleofide,

Je n'ai pas installer de système de ping.

Je travaille avec Weatherlink et Graphweather et c'est graphweather qui envoit mes donnés toutes les 10 minutes pour les plus fréquents.

Sinon je travaille également avec Active Webcam qui envoie mes images toutes les 5 minutes. Maintenant Dominique de Météo Canéjan a déjà eu des soucies avec Active Webcam, il envoyait les images sans arrêt. Peut-être la source du problème. je ne peux malheureusement pas vérifier car le journal ne remonte pas jusqu'au 17-04.

Ils m'ont également demauder de payer, 20 HT, ne sachant pas trop quoi faire sur le coup j'ai accepter, j'espère qu'ils vont trouvé d'ou vient le problème.

J'ai également reçu un mail d'OVH, voici ce qu'il dit:

Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

meteo-jarny.com

Problème rencontré : Backdoor

Commande apparente : /usr/sbin/nscd

Exécutable utilisé : /usr/sbin/nscd

Horodatage: Wed Apr 17 00:40:55 CEST 2013

Ceci n'est pas autorisé sur nos installations, car c'est une tentative potentielle de piratage.

J'en sais pas plus pour le moment, mon site est hros ligne, j'attends des nouvelles d'OVH, je vous tiendrais bien sur au courant

[Cleofide]

Il est très surprenant que toi aussi tu aies un problème de backdoor et de "/usr/sbin/nscd". Je n'en crois pas un mot et pense qu'il s'agit d'une faiblesse de leur côté.

Étant donné que notre problème est le même, je te propose de faire le point sur les scripts que nous utilisons. Pour ma part, j'utilise saratoga, et les prévisions yr.no. Est-ce le cas sur ton site ?

Je crains qu'OVH ne te sorte une excuse en carton. N'hésite pas à réclamer plus de précisions s'ils ne te disent pas clairement comment régler le problème. J'attends de lire ce qu'ils vont te répondre.

[JP54]

En effet, c'est surprenant.

je n'utilise ni saratoga, ni yr.no, tu peux me dire en quelques mots ce que c'est, je ne connais pas du tout.

J'attends avec impatince leur réponse, je ne manqurais pas de te tenir au courant

[Lud29]

Bonsoir,

J’ai également ce problème avec OVH depuis le mois dernier, il est apparemment bien lié aux mises à jour trop nombreuses de WeatherDisplay :

------------------------

Problème rencontré : Backdoor

Commande apparente : /usr/sbin/nscd

Exécutable utilisé : /usr/sbin/nscd

Horodatage: Fri Mar 29 02:00:58 CET 2013

------------------------

J’ai un ticket ouvert avec OVH depuis le 29 mars, le 16 avril ils m’ont informé que les fichiers « clientraw.txt » sont trop sollicités (J’ai deux stations sur mon site avec WeatherDisplay)!

Suite à ma réponse du même jour sur l’explication de ces fichiers, je n’ai pas eu de retour de leur part!

Vendredi dernier j’ai eu droit à une nouvelle erreur « 502 Bad Gateway » :

http://travaux.ovh.com/?do=details&id=8503

Aujourd’hui j’ai eu un message d’OVH sans lien avec mon ticket en cours pour m’informer que mon site effectue trop de requêtes par jour et qu’il a de ce fait été placé sur un Filer spécifique.

http://forum.ovh.net/showthread.php?t=88113

Ça fonctionnait pourtant bien depuis plus de deux ans avec la même configuration, mais depuis novembre dernier c’est problème sur problème!

Je prépare actuellement un VPS pour sortir au plus vite du mutualisé...

Ludovic

[Cleofide]

Bien, cela permet de ne plus passer des heures à se demander si les scripts php sont corrompus. Cela fonctionnait très bien depuis 4 ans pour ma part... La solution est de dégrader les mises à jour (côté serveur et client) :

WD envoie toutes les 60 secondes côté serveur.

Le script ne récupère clientraw qu'une fois toutes les 5 secondes (2 secondes avant, ce qui était peut-être exagéré, je m'en rends compte : aux heures de pointe il y a 100 connectés simultanés, ce qui fait 3 000 requêtes par minutes sur le fichier).

J'espère qu'ils vont arranger le problème.

[JP54]

Bonjour,

Merci Ludovic pour ces explications, ça confirme bien ce que disais Cleofide, je dois avoir le même problème. Mes logiciels envoient les donnés toutes les 5 minutes pour AW et toutes les 10minutes pour GW depuis des années sans aucuns problèmes, et là tout d'un coup ça ne fonctionne plus. Bizarre cette histoire.

Mis à part réduire les envois, y-a-t-il une autre solutions pour supprimer le problème, peut-être changer d'offre chez OVH?

Je vais les contactés ce matin car ça va faire une semaine et pas de nouvelles

[JP54]

Je viens de jeté un oeil sur les offres VPS d'OVH, Quel offre vas tu choisir Ludovic?

[JP54]

Ca y est, mon site est de nouveau en ligne.

Voici la réponse d'OVH:

Le blocage vient de l'exécution répétée de fichiers sur votre hébergement causant des surcharges temporaire

L'exécution en boucle effectué sur votre hébergement provient notamment du script "releves-journalier.php".

C'est bien le même problème que Cléofide et que Ludovic. j'ai bien sur demandé des explications un peu plus clair car les relevés de cette pages sont envoyer toutes les 10 minutes depuis des années. Pourquoi ça pose problème que maintenant.

En attente d'une réponse clair

[Fred59_]

On peut le comprendre. Free avertit la même chose sur ses pages perso. Le souci majeur étant que sur ce type d'hébergement mutualisé, la partie "stockage" n'est pas conçue pour être autant sollicitée, mais plutôt pour déporter sur des bases SQL, ce pourquoi Infoclimat conseille d'héberger ses fichiers météo sur ses serveurs plutôt que sur des serveurs distants et mutualisés, plus sujets aux pannes et divers problèmes comme celui-ci.

Bien sûr, dans la limite des capacités des serveurs d'Infoclimat

[JP54]

Je suis daccord avec toi Fred, mais comment tu expliques que depuis 2007 Virtaul Weather Station puis en 2011 Graphweather envoie mes données toutes les 10 minutes et ça fonctionne sans problèmes et tout d'un coup ça bug, et je ne suis pas le seul dans ce cas.

[Fred59_]

Ben, c'est parce qu'OVH a sûrement mis un peu à jour ses politiques de sécurité depuis /emoticons/smile@2x.png 2x" width="20" height="20">

[JP54]

Sans doute, mais OVH aurait pu nous prévenir

[Lud29]

Bonsoir,

Ca y est, mon site est de nouveau en ligne.

Tu peux directement débloquer ton site en suivant la procédure suivante :

http://guides.ovh.com/ReouvertureHackMutu

J’ai eu une journée où j’ai dû réactiver mon hébergement une dizaine de fois ! J’ai diminué le nombre de mise à jour, mais les problèmes persistent de temps à autre comme c'était encore le cas la nuit dernière !

Je viens de jeté un oeil sur les offres VPS d'OVH, Quel offre vas tu choisir Ludovic?

J’ai pris pour l’instant un VPS Classic 1, même avec 512mo de mémoire c’est nettement plus rapide que sur un mutualisé. On verra ce que ça donne une fois mis en ligne, à suivre...

J'espère qu'ils vont arranger le problème.

Dans mon cas je n’y crois plus, il faudra passer chez un concurrent ou sur un autre type d’offre pour des sites comme les nôtres ! Comme dit Fred59, c’est très certainement une volonté d’OVH !

D'ailleurs c'est ce que précise la dernière réponse du jour d’OVH pour ma part :

« Cela vient du fait que ce type d'opération surcharge les serveurs.

Des mises à jour du système de surveillance ont été appliquées afin de bloquer ce type de surcharge.

Sur un serveur VPS, vous ne rencontrerez pas ce genre de désagrément. Étant seul sur la machine et étant également administrateur de votre propre serveur, c'est vous qui pourrait fixer les limites de ce dernier. »

Bonne soirée.

Ludovic

[Fred59_]

Le deuxième paragraphe de cet article (non officiel, et concernant Free) explique les raisons techniques de ce genre de restrictions concernant les hébergements mutualisés : http://les.pages.perso.chez.free.fr/index.php?post/2012/08/04/Suspension-pour-des-interfaces-utilisant-des-fichiers-locaux-comme-base-de-donn%C3%A9es/log

[JP54]

Merci à vous deux pour vos réponses et vos liens.

Je vais attendre la réponse d'OVH que je posterais ici, je pense qu'ils vont me dire la même chose que toi Ludovic, mais je pense passé à l'abonnement VPS rapidement.

[Cleofide]

Je lance une idée tout innocente : on pourrait regarder si on peut se mettre à plusieurs sur un VPS. Si cela intéresse quelques personnes...