|
Vous connaissez la Loi de Finagle ? Non ? En fait comme beaucoup de gens, vous avez tendance à l'appeler Loi de Murphy. Et bien ma journée ressemble un peu a une application de la Loi de Finagle.
Donc ce matin, jour de repos pour moi, je me lève, allume ma grosse machine pour lui laisser le temps de démarrer et puis je pars me faire mon petit déj. environ 20 minutes plus tard, je me plante devant le PC et découvre que l'écran de boot est resté tel quel, la machine n'a pas démarré. Je m'active, je teste, débranche, rebranche a peu prêt tout ce qu'il y a dans la machine pour la ranimer… Rien. Cet éternel écran de démarrage de la carte mère. Evidemment, je démarre mon EeePC pour me connecter et suivre un peu l'actu du blog, répondre à mes mails… Et là, je découvre les mails de lecteurs m'avertissant qu'une alerte virale est déclenchée lorsque l'on se connecte sur blogeee… Dubitatif, je m'y risque avec le portable de ma chérie. Nod32 s'affole et me signale bien une tentative malveillante. Bref je vous passe les détails, un énergumène a réussi à glisser un gentil petit bout de code pour récupérer les statistiques de blogeee.net. Je ne comprends pas bien l'intérêt de la manœuvre mais bon. Problème réglé. J'ai bataillé encore quelques heures et voilà Blogeee debout à nouveau, une machine principale a peut près récupérée et une installation de Windows toute fraiche. Je peux reprendre le cours de mes activités. Je ne pensais pas que tenir un blog pouvait être aussi stressant. En tout cas un grand merci a ceux qui m'ont aidé cet après midi a trouver des pistes pour régler le problème du blog et aussi a tous ceux qui m'ont prévenu par mail. Pierre
|
PubDerniers comms.Les + commentés
Publicité
|
|||||||||||||||||||
11 commentaires
42 commentaires
Ben pas de disque dur ni de SSD (emplacement libre) donc pas d'OS ...
Merci, Lygro, tu viens de combler une lacune que je traine depuis ...
@fredo:
Je n'en ai pas trouve ce main mais on verra lundi ou m ...
Chèque enfin reçu !
Packard Bell imax mini C2600 réceptionné ...
Moins chère quand même, me semble t'il, que des machines simila ...
@switcheremac: à voir le faible taux de renouvellement de la gam ...
Posté par Shoko le 14 avr, 2008 à 23:16
Un peu de repos encore ça ne fera pas de mal
Posté par Robi le 14 avr, 2008 à 23:18
Nod32 powa !
Et bad luck pour toi mec, vraiment débile le type qui a fait ça
Posté par Jean-Mic le 14 avr, 2008 à 23:26
Comme quoi, le mac ou linux ça a ses avantages.
Posté par passtix le 14 avr, 2008 à 23:30
@Jean-Mic, Heu je ne suis pas sur que cela pose moins de pb au contraire …
Posté par donwar le 14 avr, 2008 à 23:42
Bizarrement je sens que celui qui a fait ca utilisé un système Linux pour hackeur Backsack qui soit dis en passant est très bien adapté à l´eeepc mais assez difficile a utilisé
[je te rassure Pierre, je ne suis pas se méchant hackeur]
Posté par NicoA380 le 14 avr, 2008 à 23:43
@PASSTIX, et pourtant … sans anti-virus / spyware / malware / defrag / et N programmes en tâche de fond, on est loin de tous ces soucis !
Posté par bayachat le 15 avr, 2008 à 0:10
J’vous jure, y’a vraiment des c… sur terre !
Posté par switcheremac le 15 avr, 2008 à 0:10
A vrai dire sur Mac OS il y a une défragmentation : il ne fiche pas ses données n’importe où ! Les fichiers trop fragmentés sont automatiquement » recollés » .
Mais s’il est vrai que les systèmes unix sont parfaitement fiables en ordinateurs personnels ( par exemple il y a 0 virus pour Mac , moins de 10 pour Linux et il y a quelques année on était déjà à 100 000 pour Windows et qu’on ne me raconte pas la connerie des PDM , ne serait-ce que pour la gloriole les hackers cherchent les failles Mac car ce serait un exploit de faire un virus pour Mac ), aucun serveur n’est totalement à l’abris…
Mais ayant des sites et devant lire des mails venant des lecteurs de mes sites j’ai bien sûr abandonné Windows ( maintenant je n’y retournerais pas même si un jour Windows est fiable ).
Posté par TonEEE le 15 avr, 2008 à 0:10
Pas de chance!!!
espérons que cela ne se reproduira pas!!!!
Posté par bayachat le 15 avr, 2008 à 0:13
Bien évidemment je parle de la personne qui à foutu la m…. sur blogeee !
Posté par Polo le 15 avr, 2008 à 0:22
Au final, tu aurait put en profité pour installé Linux plutôt que Windows, au moins pas de problème de virus dans ce genre .
Posté par Matsya le 15 avr, 2008 à 0:24
Quel était le danger exactement pour le site/forum et pour les visiteurs ?
Je suis bien content que tu aies réussi à tout remettre dans l’ordre.
Posté par Pierre Lecourt le 15 avr, 2008 à 0:28
Aucun risque, les 2 évenements n’ont pas de rapport, d’où l’intro sur la Loi de Finagle.
En fait il s’agissait de récupérer les stats du blog, via une methode detectée par les antivirus comme un cheval de troie. Pas de risque pour les utilisateurs donc, a moins de craindre qu’un abruti collecte des adresses IP par milliers :p
Posté par Xanxi le 15 avr, 2008 à 0:29
Je suis passé plusieurs fois sur le site ce matin et AVG Free Edition ne m’a signalé aucun problème. Que doit on faire?
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 0:42
Avant de casser du sucre sur le dos de Windows il faudrait savoir dans quelles conditions est hébergé le présent site…
- Système d’exploitation du serveur qui héberge blogeee.net ?
- Solution antivirus si Windows, protection particulière contre l’injection SQL ou autre truc nuisible ?
- Présence ou pas de firewall de niveau 7 (un vrai, un Zyxel ou Juniper, pas un truc en carton) ?
- Le script php du site a t-il été vérifié, validé contre un détournement des fonctions ? Tout le monde sait qu’un code mal fait est la porte ouverte à ce genre de petits désagréments.
Donc voilà indépendamment du système d’exploitation utilisé, c’est plus la stratégie de sécurité, du code php jusqu’à la plateforme d’hébergement qu’il faut vérifier, incluant tous les éléments actifs du réseau.
Les virus existent pour tous les systèmes d’exploitation, ils sont tous vulnérables et c’est une peu la popularité d’un système qui l’expose en tête de liste des cibles potentielles. Attendons que Linux prenne plus de parts de marché et nous en reparlerons. Question fiabilité, j’ai rencontré de magnifiques plantages sur des serveurs Redhat en prod chez un client !
Sans pouvoir garantir un sécurité parfaite, une bonne stratégie et une veille (CAD aller faire un tour sur les sites « pas gentils » où se rencontrent les fans de failles « zero-day ») devraient réduire le risque potentiel d’un pourrissement du code ou d’un défaçage.
Voilà pour les petits conseils, mais j’imagine que mon post n’est pas super utile pour les connaisseurs que nous sommes.
CDT
Pierre.
Posté par reynolds le 15 avr, 2008 à 0:58
wouha Avast m’a arreté ça… avast m’a arreté quelque chose… :-/ Etrange tout ça ^^
Posté par Pierre Lecourt le 15 avr, 2008 à 1:06
XANXI : Pas desoucis, ce matin il n’y avait rien encore.
Posté par Wizard50 le 15 avr, 2008 à 2:53
Looooooool bon je sait que la situation n’est pas marrante et je suis desolé pour toi Pierre, je déteste ce genre de crétin qui essaye de nuire aux gens qui font un super travail mais sur Wikipédia, en suivant ton lien de la Loi de Finagle, je suis tombé sur » La loi de la tarine beurrée »
C’est renversant xD
Posté par Beeen le 15 avr, 2008 à 7:55
Aussi appelée loi de l’emmerdement maximum.
Ou quand les tuiles se suivent jusqu’a la persecution …
Posté par PoncetO le 15 avr, 2008 à 8:39
Cette loi est aussi connue sous le petit nom de la L.E.M: Loi de l’Emmerdement Maximal. Tout informaticien qui se respecte la connait et la subit quotidiennement … Pierre, je compatis
A l’autre Pierre (l’admin M$): certes, certes, mais je retrouve chez toi cet ardent défenseur d’un certain et très onéreux système d’exploitation propriétaire (dont gartner à prédit son écroulement sous son propre poids: http://www.zdnet.fr/actualites/informatique/0,39040745,39380399,00.htm). Je tombe régulièrement sur tes contributions sur blogeee.net, et je sens chez toi comme un je ne sais quoi de … troll
Posté par PoncetO le 15 avr, 2008 à 8:42
@Beeen: effectivement, la loi de la tartine beurée (ou confiturée, ça marche aussi
) est à mettre en opposition avec l’autre loi qui consiste à ce qu’un chat retombe toujours sur ses pattes.
Attachez une (ou plusieurs) tartines sur le dos d’un chat, jetez-le en l’air, les deux lois devraient s’annuler, et le chat devrait être en sustentation …
Bon, beurrez les tartines, j’attrape mon chat
Miawwwwwwww …. pppcccchhhhhhh !!!
Posté par Miles le 15 avr, 2008 à 9:26
Comme quoi, Windows, vaut mieux pas mettre les pieds dedans, ça porte malheur.
Posté par regi le 15 avr, 2008 à 9:34
Voici un lien pour Pierre
http://www.vnunet.fr/fr/news/2008/04/08/bloguer_nuit_gravement_a_la_sante
En espérant qu’il n’en arrive pas là et surtout qu’il continue son excellent boulot!
Posté par eMeRiKa le 15 avr, 2008 à 10:07
Y’a vraiment des cons !
Posté par Ver des Roches le 15 avr, 2008 à 10:51
@Pierre (l’admin MS) –> L’argument des parts de marché, c’est vraiment de la connerie suprême… Car je sais pas si tu est au courant, mais coté serveur Web, on estime entre 70 et 80% les parts de marché attribué à du Linux si ce n’est plus (cf ici : http://media-tech.blogspot.com/2008/04/serveurs-web-http-apache-domine.html sachant que ces stats sont établies sur les 100 plus gros sites US, et que sur la totalité du Web, plus un site est petit plus il a de chance de tourner sur du Nux, question de cout de licences que ne peux assumer un particulier). Donc les PDM de Crosoft coté serveur Web, c’est de l’ordre de 20%.
Linux est donc majoritaire sur ce segment du marché… et personnellement, si j’étais hacker, je trouverais bien plus intéressant de m’attaquer à des serveurs qu’a des ordinateurs de particuliers. En effet, il « suffirait » (je simplifie bien sur) de trouver une bonne grosse faille sur du Linux exploitable par un ver pour faire tomber 80% des serveurs du Web (et je te rappel que Google, ainsi que les serveurs DNS Root tournent sur du Linux). Tu vois y aurait de quoi foutre un bon bordel… et avoir toute la reconnaissance de la communauté Black Hat…
Donc pour moi l’argument des parts de marché ne tient tout simplement pas (et c’est un argument qui a tendance à être avancé par ceux qui ne savent pas sur quels système est basé le Web justement, faut-il rappeler que sans logiciels libres, pas d’internet…).
Posté par Miles le 15 avr, 2008 à 10:54
Sans logiciels libres, il y aurait un internet. À l’image du navigateur AOL des années 1995 ou du Microsoft Network de la même période. En clair, sans aucun intérêt.
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 11:48
Bah non… Les « hackers » ne s’attaquent pas aux serveurs car ils sont protégés par des firewalls de niveau 7, or l’utilisateur lambda, une fois qu’il à installé zonealarm ou pire, qu’il à laissé le fw natif de son Windows, il se croit à l’abri. Il est une cible bien plus vulnérable qu’un serveur d’entreprise et les répercussions médiatiques d’un ver qui se propage sur des millions de machines est bien plus important que d’avoir hacké un serveur d’entreprise, quel que soit son OS.
Ce que je voulais dire surtout, c’est qu’en dehors du système d’exploitation la sécurité des systèmes d’information est une chaine dont chaque maillon est important, une seule faiblesse et c’est toute votre sécurité que se casse la figure. Un code php mal développé est un de ces vulnérabilités.
J’ai été responsable de la SI durant 19 mois, le site dont nous avions la gestion mes collègues et moi avait un taux de disponibilité de 99.6% avec des serveurs 100% Windows. Pas de virus, pas de spam, pas de vers… La même qualité de service que sous Unix/Linux.
La question intéressante serait de savoir précisément comment s’est pris ce petit farceur pour injecter un bout de code sur le site ? Il y à donc une faille. Maintenant reste à découvrir où et comment la corriger…
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 11:50
Oups… Désolé pour les fautes…
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 11:50
Oups… Désolé pour les fautes !
Posté par PoncetO le 15 avr, 2008 à 12:27
Je t’aime bien Pierre (l’admin M$), tu parles avec des super buzz-words: failles “zero-day”, FW niveau 7, etc …
C’est un mécanisme de défense, ou tu cherches à prouver que tu es un super-méga-génial WebMaster … euh pardon ITManager ?
Posté par PoncetO le 15 avr, 2008 à 12:32
@Pierre (l’admin MS): Comme je le disais plus haut, on sent bien que tu as des actions chez M$, mais permets-moi de te dire qu’un serveur Web doté d’un OS avec interface graphique propulsée par la dernière carte 3D en vogue est une connerie (en production j’entends); il n’y as que sur M$-Windows que l’on voit ça !!!
Consommer des ressources par l’IHM de l’OS alors qu’il n’y en a pas besoin, chapeau. De plus, comme quelqu’un le soulignait plus haut, M$ Windows ne représente que 20% des serveurs Web en production sur le Net … On peut en tirer les conclusions que l’on veut.
Posté par macuntel le 15 avr, 2008 à 13:13
Désolé Pierre , sur Mac OS X , zéro virus depuis 5 ans ( par contre un ver mais à installer soi même à un endroit accessible que par l’admin , et ce qui pourait etre un virus si il ne fallait pas le compiler soi même et s’il etait capable d’aller plus loin que le dossier dans lequel il est ).
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 14:03
Je ne connais pas la proportion des serveurs web sous Windows. La quasi totalité des serveurs que je gère sont des serveurs d’application.
Mais vous restez concentré sur le (sélafauteàwindozsiblogeeeséfaihaké)…
Or… J’ai bien cru avoir parlé des failles d’un script php mal développé, et là peu importe le système utilisé.
Or… A priori la machine qui héberge le site, renseignement pris, semble tourner sous Debian. Sans aller plus loin car pour cela il faudrait connaitre la configuration précise de la machine, nous pouvons soupçonner un tout petit peu un script php mal développé.
Plusieurs hypothèses :
- Pierre s’est fait piquer ses identifiants d’admin (peu probable).
- Le système du serveur est vérolé : changez l’admin.
- Le script php du site (je suppose que ça tourne sous LAMP) est vérolé : changez les développeurs.
@ PONCETO : Je m’en fous un peu de la puissance que consomme une interface graphique sur un système, les serveurs récents ont tellement de puissance de calcul que ça en devient indécent.
@ PONCETO (n°2) : Je ne suis pas webmaster, je ne suis qu’un simple admin mais contrairement à beaucoup de fanfarons qui polluent le marché, j’essaie de cultiver l’excellence dans ce que je fais.
Posté par PoncetO le 15 avr, 2008 à 14:21
@Pierre (l’admin M$): tu dis ça sous le coup de la colère, mais tu ne le pense pas vraiement
(hihihi)
Enfin, tout ça pour dire que c’est au pied du mur que l’on voit le mieux le mur.
[ Sans rancunes mon ami Admin M$ ]
Posté par Jean-Pierre le 15 avr, 2008 à 14:31
@Pierre (l’admin MS)
avoir une IHM sur le serveur, c’est quand même courir le risque de fautes logicielles supplémentaires, surtout quand l’IHM en question est très intégrée au système. Ne serait-ce que des fuites de mémoire, c’est bête, quand ça n’apporte rien au serveur.
et si on démarrait un troll sur PHP ?
Posté par PoncetO le 15 avr, 2008 à 14:42
Ouaip, ça fait longtemps qu’on a pas trollé
Des amateurs ?
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 14:46
Si j’étais colérique j’aurai déjà jeté quelques stagiaires par la fenêtre, lol !
Quelques chiffres :
Apache 1 : 46%
Apache 2 : 24%
IIS : 24%
Donc IIS n’est pas si mal placé que ça, perso je ne l’utilise pas, si je monte un serveur web frontal sous Windows, il tournera sous Apache2, php5, mysql.
A une époque j’avais installé un serveur @ home sous IIS 5, une sorte de « honey pot » avec un log de toutes les activités de la machine. La machine était blindée et inhackable (au prix de nombreux efforts sur IIS) mais c’est fous ce que les préjugés ont la vie dure et il était la cible permanente de toute sorte de tentatives de hack, sans succès durant les deux années d’exploitation…
Aujourd’hui ce serveur est sous W2K3 avec Apache2/php5, il m’est arrivé d’utiliser du code php produit par des développeurs qui ont pris du retard sur les mises à jour et de me prendre une faille zero day en plein face, ce jour là on remercie le firewall d’avoir réagi à temps ! S’il plante, vu le nombre de visiteurs (principalement des amis) les répercussions seront faibles étant donné qu’il me sert principalement de proxy quand je suis chez un client qui limite les accès au web (et puis il suffit de réinjecter la sauvegarde d’une image du système propre à l’instant T).
Je trouve qu’il serait intéressant d’avoir quelques éléments de la part de Pierre, pas forcément ici mais par mail interposé, sur les éléments qu’il à pu obtenir concernant le mode opératoire de ses soucis d’hier.
Avec plus d’éléments nous pourrions relever le niveau de la discussion et faire une analyse exhaustive des points vulnérables afin d’éloigner ce genre de menace.
cdt
Pierre
Posté par nico le 15 avr, 2008 à 14:57
coucou,
juste pour dire qu’il y a une semaine ou 2, je suis arrivé sur blogeee.net et le site etait en vrac, j’arrivais a la racine du site et pouvais voir la liste des fichiers.
de mémoire, il y avait un fichier config.php, qui lui ne pouvait pas etre lu car le contenu etait interprété par php.
Par contre, il y avait un fichier config.php2, or le serveur ne devait pas parser le contenu des *.php2 parcequ’en cliquant dessus j’ai eu acces au code source.
et dans ce code on y trouvait les login/pass pour acceder a la base de donnée.
j’ai pas trouvé de mail pour prevenir qq’un et je me suis dit que ca devait pas etre si grave car la base de donnée etait localhost et donc qu’elle devait surement ne repondre qu’aux requetes locales.
donc si la base de donnée repond sur toute ces interfaces ou que le mot de passe de la BDD est le meme que root, la faille peut venir de là.
Posté par Pierre (l'admin MS) le 15 avr, 2008 à 15:01
Bien NICO ! Tu nous ouvres quelques perspectives sur une explication cohérente de l’incident !
Posté par Anonyme le 15 avr, 2008 à 19:09
ca s’appelle aussi la LEM (loi de l’emmerdement maximal)
Posté par Olivier le 15 avr, 2008 à 23:35
Une piste : http://www.google.fr/search?q=wordpress+2%2e3%2e3+exploit
En clair : mettre à jour wordpress régulièrement.
Posté par farvardin le 16 avr, 2008 à 10:09
Pour le « micro$oft powered Pierre », un firewall de niveau 7 si j’en crois les définitions que je lis, c’est un pare feu au niveau applicatif, bref, un pare feu du même genre que zone alarm ou le pare feu windows.
De toute façon sur les serveurs linux ou freebsd, les parefeu qui les protége sont généralement des parefeu intégrés au système d’exploitation (iptable ou ipf)
Posté par Pierre (l'admin MS) le 16 avr, 2008 à 12:32
FARVARDIN, demandes à un hébergeur s’il utilise le firewall logiciel intégré à ses serveurs ou des firewalls hardware…
Bien que le firewall hardware ne soit rien de plus qu’une boite avec un cpu de la mémoire et un OS installé dedans, il a l’avantage de ne faire qu’un seul travail et de bien le faire, il a été développé pour une seule tâche bien précise : analyser tout ce qui passe entre le LAN et le WAN (souvent aussi pour créer des tunnels VPN entre des sites distants).
Un firewall intégré à un OS va utiliser les ressources CPU du serveur, bref c’est pas logique et plutôt risqué même d’avoir le firewall sur la machine en prod.
Après question niveau de filtrage, votre routeur ou votre box de FAI va travailler sur les couches 3 et 4 du modèle OSI, cela permet d’éloigner les menaces les plus répandues et relativement simples (DOS, Ping of death, UDP flood, ICMP flood…).
ZoneAlarm comme tu le dis va en effet travailler sur la couche 7 mais comme c’est une couche logicielle supplémentaire à Windows il y à toujours une faille, un exploit destiné à ZoneAlarm circulait à une époque sur internet et il laissait TOUT passer. Le pare-feu Windows est pour rester poli « théorique ».
Les hébergeurs, tous les hébergeurs, même s’ils tournent sous Unix/Linux, utilisent en amont obligatoirement des pare-feu hardware, généralement de niveau 7.
Ne faites jamais confiance à un firewall logiciel, comme tout logiciel il est vulnérable.