Intrusion d’auteurs malveillants... Hacking

Janvier 2015

Bonjour
sur spip 2.0.8, mon site d’école est régulièrement hacké. Procédure identique : un auteur inconnu s’inscrit en tant qu’admin puis ajoute un script qui modifie la page d’accueil (un truc sur la Palestine...).

Souvent la solution est de restaurer une bd saine pour exclure l’intrus et son article (mais parfois l’hébergeur bloque et il faut réinstaller tout....)

Aucune interactivité n’est autorisée sur le site donc à priori personne ne peux s’inscrire... Je ne comprends pas quelle est la "porte" qui donne accès au système...

Je viens de mettre à jour l’écran de sécurité....

Quelqu’un pourrait m’éclairer ?
Merci
André

Résolu

Par note Par date Par date chronologique

Indiquez l’intérêt que vous portez à cette réponse

0

erational

Janvier 2015

spip 2.0.8 est une vieille version. les failles ne sont pas liées à l"’interactivité." ou le fait d’autoriser ou non les inscriptions sur son site.

la seule façon efficace de se protéger est le mettre à jour à la dernière version actuellement 2.1.26 ou 3.0.17

merci de consulter
http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html

bonne mise à jour :)
Indiquez l’intérêt que vous portez à cette réponse

0

AP

Janvier 2015

Merci pour votre réponse : le passage à 3.0.17 risque-t-elle plus de problèmes de compatibilité plugin ou squelette que le passage à 2.1.26 ?

Bien à vous
André
Indiquez l’intérêt que vous portez à cette réponse

0

erational

Janvier 2015

le passage à 2.1.26 est plus simple, la plupart des plugins sont compatibles

le passage à 3.0 requiert souvent un peu plus de travail.
Indiquez l’intérêt que vous portez à cette réponse

0

Janvier 2015

Merci ! Je m’attaque à cela directement.
Bien à vous !
Indiquez l’intérêt que vous portez à cette réponse

0

Natys

Janvier 2015

Bonjour,

nous subissons également des attaques sur des sites de mairies.
Les spips sont à la version 3.0 et d’autres aux versions 2.0xx.

Je ne suis donc pas certains que la mise à jour de version soient suffisantes.
Nous mettons en doute certains plugins installés, qu’avez-vous de modules installés de votre côté ?
J’ai un plugin développé par l’ancien prestataire, que je retrouve dans tous les sites, qui s’appel ’Metas’.
Indiquez l’intérêt que vous portez à cette réponse

0
erational

Janvier 2015
Avoir une version à jour est le minimum.

Comme le précise l’article, la sécurité est un tout, la faille peut aussi venir :
- de l’hébergerment
- du squelette (du php qui traine) ou d’un plugin défaillant (injection php, sql)
- de l’humain ....
en cas de hack, un audit des logs est indispensable.
Indiquez l’intérêt que vous portez à cette réponse

0

André

Janvier 2015

Bonjour, concernant les logs, pourriez-vous préciser comment lire ces fichiers ? lesquels ? et où ils se trouvent ? Merci !
Indiquez l’intérêt que vous portez à cette réponse

0

erational

Janvier 2015

voici des informations sur les logs de SPIP
http://programmer.spip.net/spip_log
http://contrib.spip.net/Les-Logs

pensez aussi à consulter les logs serveurs (apache)
Indiquez l’intérêt que vous portez à cette réponse

0

André

Janvier 2015

Merci pour les liens.
Indiquez l’intérêt que vous portez à cette réponse

0

Koryls

Janvier 2015

Messieurs comme vous le savez SPIP est utilisé dans bons nombres de collectivités publiques qui n’ont pas forcement les ressources en interne pour effectuer ces mises à jour qui bien souvent engendre des modifications aux squelettes.

Pour effectuer les mises à jours nos collectivités sont obligées de lancer de nouveaux appel d’offres et les sites ne sont donc pas mis à jour avant plusieurs semaines.

Depuis quelques jours des centaines voir des milliers de sites sous SPIP sont défacés en raison de #OpFrance lancé par des pirates se revendiquant de l’Etat Islamique et ce en réponses aux terribles évènements qui se sont déroulés dans notre pays ces derniers jours.

Messieurs les développeurs de SPIP ne pourriez vous pas proposer en urgence un correctif simple et efficace pour palier à la faille présente dans vos versions 2.x autre qu’une mise à jour "complexe" vers les version 3.x

En vous remerciant.
Indiquez l’intérêt que vous portez à cette réponse

0

Cédric

Janvier 2015

Monsieur l’utilisateur,
ce que vous demandez existe déjà : chaque branche 2.0.x, 2.1.x et 3.0.x fait l’objet d’un correctif de sécurité quand une nouvelle faille est découverte et signalée.
Cf ici l’annonce des dernière release 2.0.x et 2.1.x qui vous concernent http://archives.rezo.net/archives/spip-ann.mbox/HTWFTHMDMSQJ7CZX6C4RMSDKQ2ZFHK7I/

A ce jour aucune faille de sécurité connue ne touche les version 2.0.25 et 2.1.26.
Les attaques massives en cours utilisent des failles antérieures, connues, corrigées depuis plus d’un an.

Dans la branche 3.0.x c’est la version 3.0.17 qui est la dernière version sans faille connue http://archives.rezo.net/archives/spip-ann.mbox/4CP7EWMIOUFR2NQESSJLUYAITN3HFUGO/
La faille qui y a été corrigée ne touchait pas les version 2.0.25 et 2.1.26 et ne s’est donc pas accompagnée de release sur ces branches.

Attention cependant : une fois que votre site a été attaqué il ne suffit plus de mettre à jour SPIP. Il faut procéder à un nettoyage exhaustif et complet des fichiers du site pour retirer les rootkit et portes dérobées qui auront été installées par le hacker malveillant lors de sa première intrusion.
Indiquez l’intérêt que vous portez à cette réponse

0

André

Janvier 2015

Bonjour et merci pour ces précisions.
Suite aux conseils d’Erational je suis passé à spip 2.1.26 sans gros problème (sauf un plugin récalcitrant : lecteur_multimedia et un autre à mettre à jour : le couteau suisse). Donc il est possible de mettre à jour sans de trop gros travaux je pense (si on reste dans une branche).
Indiquez l’intérêt que vous portez à cette réponse

0

zenon

Janvier 2015

A l’évidence, les mises à jour ne suffisent pas puisque j’ai eu des sites hackés avec la dernière version 3.0.x, peut-être parce que les extensions ne se mettent pas à jour automatiquement ou bien une faille ailleurs. Une bonne solution (sans doute pas définitive) est d’avoir deux utilisateurs Unix. Par exemple, avec ubuntu, un utilisateur pour le web : www-data qui n’a accès en écriture qu’à tmp/ IMG/ local/ et un autre utilisateur qui peut accéder à tout le reste en lecture/écriture. Celui qui va passer ne pourra donc écrire que dans tmp/, IMG/ et local/ et si le .htaccess est comme il faut, on a un peu plus sécurisé le site. De plus, chaque jour, je regarde s’il n’y a pas eu création de fichier .php, moyen d’injecter le virus
Indiquez l’intérêt que vous portez à cette réponse

0

Cédric

Janvier 2015

Le problème est que si tu as sur un serveur un site en vieille version qui est hacké, il est alors facile d’attaquer et corrompre les autres sites du même serveur si tu ne l’as pas configuré de manière sécurisée (safe mode PHP notamment).
De même, si le site avait été attaqué dans une ancienne version et que tu mets à jour SPIP, tu n’est pas protégé car il est quasi certain que le hacker aura laissé une porte d’entrée dérobée pour revenir.
L’attaque peut venir aussi d’un autre logiciel installé à côté de SPIP et pas à jour...

Ce que l’on peut dire est qu’il n’y a pas de faille de sécurité connue dans les dernières versions 2.0.x, 2.1.x et 3.0.x de SPIP, que les vagues d’attaque actuelles reposent sur des robots qui detectent toutes les failles connues — et corrigées — rien de plus, rien de moins, et qu’on a pas connaissance d’un site SPIP 3.0.17 hacké par une faille de SPIP à ce jour (mais on est toujours preneur de toute analyse d’attaque avérée).

Il est nécessaire de mettre systématiquement à jour SPIP et les autres logiciels du serveur pour assurer un niveau de sécurité minimum, mais cela ne suffit pas. Si tu administres toi même ton serveur, il y a plein d’autres choses à faire en terme de configuration du serveur.
Indiquez l’intérêt que vous portez à cette réponse

0

Natys

Janvier 2015

Bonjour,

nous avons mis en place, un trigger dans la base de données, bloquant la création de compte administrateur et rédacteur.
Nous testons cela, car nous savons que les hackers ont d’abord créé un compte admin pour "éclater" nos sites.
Nous ne créons pas de compte administrateur tous les jours, dès que besoin, nous supprimerons le trigger dans la base temporairement, le temps de créer un compte.

Qu’en pensez-vous ?

Si la communauté juge cette solution pertinente, je vous poste notre trigger
Indiquez l’intérêt que vous portez à cette réponse

0

Gilles

Janvier 2015

Bonjour,

la dernière version de l’écran de sécurité protège de la faille utilisée par les pirates :
http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php
(lignes 80 et suivantes)

Il suffit d’installer ce fichier dans le dossier config/ pour qu’il soit pris en compte par SPIP version 2.0 et +

cf. l’article qui présente l’écran de sécurité : http://www.spip.net/fr_article4200.html

Il me semble que c’est plus simple que de mettre en place des triggers qui demandent des interventions en base de données, qu’en pensez-vous ?
Indiquez l’intérêt que vous portez à cette réponse

0

Natys

Janvier 2015

Merci pour ce retour, nous avons mis en place l’écran de sécurité mentionné dans l’article que vous avez posté.

Hier, nous avons contré quelques attaques grâce à nos triggers mis en place, mais aujourd’hui, plusieurs attaques ont eu lieu, les hackers ont supprimé le répertoire ecrire et modifié le fichier index.php.

Affaire à suivre
Indiquez l’intérêt que vous portez à cette réponse

0

Gilles

Janvier 2015

Aucune attaque connue ne permet de faire ce type d’opération via SPIP.
Par contre on peut imaginer que ça se fait de manière détournée :
– un utilisateur crée un compte admin
– il ajoute un plugin maison dans plugins/auto (on peut télécharger n’importe quel zip)- ce plugin est en fait un gestionnaire de fichier php qui permet de manipuler les fichiers
– du coup (dans d’autres conditions encore) il peut effectuer des manips sur les fichiers déjà installés.

Mais perso je commencerais par regarder ailleurs que sur SPIP, car là ça commence à devenir super coton comme manipulations (et difficile à faire disparaître des logs)
Indiquez l’intérêt que vous portez à cette réponse

0

Gilles

Janvier 2015

Un truc qui peut être utile aussi : logger le contenu des requetes envoyées par POST. C’est possible sous nGinx
https://danielmiessler.com/blog/log-post-data-nginx/
ainsi que sous Apache
https://github.com/danghvu/mod_dumpost
ou
http://httpd.apache.org/docs/2.2/mod/mod_dumpio.html
Indiquez l’intérêt que vous portez à cette réponse

0

Natys

Janvier 2015

Bonjour et merci pour ces informations !
Nous avons mis en place l’ecran de sécurité, mais les attaques continuent !
Ce que nous remarquons, c’est que l’attaque de cette nuit a été contré via notre Trigger sur plusieurs de nos sites, et le même hacker a réussit à pirater un autre site sur lequel nous n’avions mis uniquement l’écran de sécurité SPIP.
Je me permet donc de proposer notre Trigger ici :

DELIMITER $$
CREATE TRIGGER interdire_maj_admin BEFORE UPDATE ON spip_auteurs
FOR EACH ROW BEGIN
IF (NEW.statut=’0minirezo’) OR (NEW.statut=’1comite’) OR (NEW.statut !=’6forum’) THEN
SET NEW.statut= OLD.statut ;
END IF ;
END$$
DELIMITER ;

DELIMITER $$
CREATE TRIGGER interdire_creation_admin BEFORE INSERT ON spip_auteurs
FOR EACH ROW BEGIN
IF (NEW.statut=’0minirezo’) OR (NEW.statut=’1comite’) THEN
SET NEW.statut= ’6forum’ ;
END IF ;
END$$
DELIMITER ;
Indiquez l’intérêt que vous portez à cette réponse

0

hdeb

Janvier 2015

Bonjour,

Ce trigger paraît très pratique pour mon site qui est sensible.

Malheureusement il semble que chez OVH il ne puisse pas être installé sur des serveurs mutualisés.
J’obtiens cette erreur "#1142 - TRIGGER command denied to user ..." et d’après un message du forum OVH, il faut être SUPER pour accéder à cette commande ce qui n’est possible qu’avec une base privée.

J’ai trouvé par hasard un site d’une petite ville vérolé par un vendeur de produits pharmaceutiques. J’en ai informé le gestionnaire qui ne m’a même pas répondu mais qui vend des packs Spip obsolètes à toutes les communes de sa région (il suffit de lire le svn des sites qu’il se vante d’avoir installés). Pas de réponse non plus de la Mairie. Finalement puisque c’est sans importance pour les intéressés, je me dis que ce sont nos paratonnerres : tant que ces sites mous sont accessibles, on laisse tranquille les durs à jour.

Cordialement.
Henri