Ma vie privée, mes idées, mon oeuvre...

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - open source

Fil des billets

samedi, août 24 2013

Attaques en cours, protégez vos sites !

Par Patrick P. le samedi, août 24 2013, 09:59 - Internet

Il y a en permanence des attaques sur le oueb, on ne s'en aperçoit en général pas sauf quand c'est massif comme en ce moment contre les blogs WordPress.

C'est un peu l'avantage et l'inconvénient du oueb : les bons projets open source se retrouvent vite sur de très nombreux sites. Du coup, la moindre faille exploitée peut faire des ravages.

WordPress est globalement fiable, tant qu'on n'installe pas n'importe quoi comme thème ou extension et qu'on met en place des utilisateurs / mots de passe corrects.

Si vous n'y connaissez pas grand chose en sécurité informatique et en protection de votre blog, Gonzague Dambricourt avait bien résumé les trucs de base en avril. Je vous laisse lire tout ça et le mettre en place.

dimanche, septembre 30 2012

Marre de l'open source mal codé, pas maintenu, oublié par les utilisateurs

Par Patrick P. le dimanche, septembre 30 2012, 11:25 - Internet

J'avais encore un serveur dans les choux ce matin. Un serveur pourtant en parfaite santé, qui fonctionne très bien depuis des années.

Impossible d'accéder à l'OS, la carte réseau répondait bien aux sollicitations par ping, j'ai du forcer une coupure de courant au risque de perdre des données et le bloc d'alimentation. Et là, je suis content d'avoir un Master Switch accessible à distance pour m'éviter un déplacement de deux heures pour une intervention de deux minutes en console !

Il y a quelques jours j'avais déjà repéré des ralentissements liés à des requêtes SQL gourmandes, mais rien de très anormal sur des grosses tables (forcément sans l'index qu'il faut pour les trier...).

Ce serveur est un mutualisé, il contient environ 200 sites de clients sur lesquels je ne suis jamais intervenu et une centaine de sites à moi ou gérés par des collègues freelances.

Pas de chance, c'est une fois de plus un site pas géré qui était touché par un robot utilisant un programme de soumission de formulaires pour bourriner avec des messages de spams.

Le hic n'est pas forcément qu'en quelques mois plusieurs millions d'enregistrements ont été mis dans la base de données inutilement (contenant des liens vers sites pornos, pilules d'extension de pénis et de bandaison ou autres merdouilles), mais plus que ces pages bourrées de spams étaient parfois affichées (car parcourues par des moteurs de recherche) et que par conséquent ça lançait en boucle la construction d'un index temporaire sur une table gigantesque bloquant ainsi les accès à la base de données, et par extension au serveur qui n'avait pas assez de ressources pour tout traiter.

Résultat des courses j'ai passé 3 heures à chercher la source du problème et la circonscrire. Le serveur a été inaccessible pendant près de 12 heures avec les sites présents dessus tous HS. Un samedi soir et dimanche matin, c'est pas la cata vus les sites mais par principe ça me gonfle.

Le logiciel utilisé sur le site concerné par cette attaque était une fois de plus un script open source, trouvé au hasard, non maintenu et sans protection contre ce genre de choses (le minimum étant d'éliminer le HTML de ce qu'on envoi dans un simple commentaire, le mieux étant de s'assurer que ledit commentaire est envoyé par le formulaire du site et non appelé en direct de l'extérieur et pour rappel, les captchas ne servent à rien si ce n'est faire chier les internautes).

Comme à chaque fois depuis que je fais de l'hébergement et perds du temps sur des accès extérieurs non sollicités, c'est un script qui n'a pas été maintenu, qui n'a pas été codé proprement et qui en plus n'était plus censé être utilisé par le site mais a quand même été laissé sur son FTP !

Ce qui est chiant, c'est que quand on me demande pourquoi je fais du personnalisé, développé par moi ou des collègues mais non basé sur de l'open source, on ne comprends pas mes arguments. Si les gens étaient capables d'installer les patchs sur leurs sites ça ne me poserait pas de problème, mais une fois que c'est en place la plupart n'y touchent plus et ne savent même pas qu'il y a des sources d'attaques possibles. De toute façon ils s'en foutent jusqu'à ce que ça se voit sur leurs pages ou que le site soit inaccessible ou qu'ils puissent plus envoyer d'email parce que leur quota est dépassé alors qu'ils n'en envoient pas (mais qu'un bot le fait pour eux sans qu'ils le sachent).

Cet incident est la goutte d'eau qui fait déborder le vase déjà trop plein : j'arrête l'hébergement mutualisé et dégage tout le monde. J'en ai marre de perdre du temps sur ce genre de choses pour 30 euros par an ! A compter de demain je ne renouvelle plus les sites et leur propose de s'héberger ailleurs (avec prestation d'assistance au transfert s'ils n'en sont pas capables eux-mêmes).

un commentaire

mercredi, octobre 27 2010

Vague d'attaque contre phpMyAdmin, une de plus...

Par Patrick P. le mercredi, octobre 27 2010, 22:10 - Internet

OVH a lancé une nouvelle alerte ce soir à ses clients inscrits sur leurs mailings listes.

Une nouvelle fois une vague massive de scans de phpMyAdmin (et d'autres softs open source) est en cours depuis plusieurs jours et des attaques anciennes ont été lancées sur les machines vulnérables.

Je viens de contrôler les logs de mes machines, elles font partie de celles qui subissent régulièrement les scans. Pour le moment aucun n'a abouti à une attaque, mais j'en ai raz le bol de mettre à jour les softs chaque semaine sur tous les serveurs. Par conséquent, je viens de retirer phpMyAdmin de mes hébergements.

Comme indiqué sur le site d'Olf Software à compter de ce jour phpMyAdmin est interdit sur mes machines et je fournirai dans les jours qui viennent une version isolée sur une machine séparée pour tous mes clients.

Si vous avez installé phpMyAdmin sur l'un de vos sites ou serveur, chez moi ou ailleurs, pensez soit à le protéger par htaccess (le dossier complet, pas juste le programme de connexion), soit à le retirer purement et simplement et utiliser la version fournie par votre hébergeur.

Dans les logs de scans, j'ai trouvé des perles qui démontrent que les développeurs de ces logiciels open source n'ont (ou n'avaient) aucune notion de sécurisation de quoi que ce soit. Ca saoule de voir des bidouilleurs avoir un tel potentiel de nocivité sur l'internet en général juste par manque de réflexion... sur des logiciels que nous sommes trop nombreux à considérer comme des références et à installer massivement !

Quoiqu'on en dise, les logiciels propriétaires ont un gros avantage par rapport aux logiciels open source : leurs failles ne sont pas décelables facilement car leur source n'est pas lisibles par ceux qui passent leur temps à chercher un moyen d'attaquer tout le monde. Ok les logiciels open source sont corrigé plus vite, mais voilà, leurs utilisateurs ne sont pas au courant ou ne font pas les mises à jour, ce qui revient au même par rapport aux logiciels propriétaires.

Voici quelques rappels pour vos sites :

  • n'utilisez que des logiciels à jour et vérifiez qu'ils le restent
  • appliquez systématiquement tous les correctifs disponibles (même si ceux ci entraînent d'autres bogues)
  • n'utilisez que le strict nécessaire, évitez d'installer tout et n'importe quoi juste parce que quelqu'un vous a dit que c'était bien, si ce n'est ni utile, ni utilisé
  • lorsque vous faites des tests, faites les en dehors de vos sites, soit en local (WAMP, EasyPHP et d'autres solutions vous permettent de travailler sans serveur sur PC comme sur Mac) soit sur un hébergement séparé du reste et que vous effacez complètement après vos tests

Si vous programmez :

  • testez systématiquement tous les paramètres que l'on passe à vos programmes,
  • n'utilisez JAMAIS de chemin d'accès en paramètre ni de nom de fichier sans l'avoir au préalable contrôlé (les trucs du style ?page=modele/mapage.html est à proscrire car on peut très bien mettre ?page=/etc/htpasswd et afficher les mots de passe du serveur quand celui-ci 'est pas sécurisé)
  • utilisez systématiquement une fonction d'échappement lorsque vous passez des paramètres à une requète SQL : mysql_real_escape_string() est à privilégier par rapport à tout le reste

Et pensez systématiquement à faire des sauvegardes de votre travail, que votre hébergeur en fasse de son côté ou pas (et je rappelle au passage que je n'en fais pas pour les données de mes clients, donc prenez vos précautions).

Une dernière chose : sauf cas particulier sur lesquels je n'ai pas eu le choix, safe_mode et openbase_dir sont configurés sur tous les hébergements que je propose.

Ce n'est pas pour le plaisir d'embêter mes clients à gérer proprement les chemins d'accès aux programmes ou les droits sur les fichiers, c'est qu'à force de voir des failles dans des sites de clients qui en impactaient d'autres, j'ai été contraint de les mettre en place. Ca vous saoule pour créer des dossiers via Apache, c'est normal, mais il y a des façons d'éviter le soucis et de rester sécurisé grâce à ces protections. Ne les désactivez que si je vous l'autorise et que si nous n'avons pas trouvé d'autre solution.

Bizarrement, les logiciels qui ont un soucis avec le safe_mode sont justement des logiciels open source alors que des développements faits maisons, proprement, l'ont rarement...

Tout ceci étant dit, prenez vos précautions dès maintenant si vous avez un logiciel open source sur votre site : vérifiez que les accès à sa configuration n'utilisent pas les mots de passe par défaut, que le dossier d'admin est bien sécurisé et que le logiciel concerné est à jour.