Auteur Sujet: Le point sur l'infrastructure revendeur  (Lu 2740 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Le point sur l'infrastructure revendeur
« le: 05 Août 2013 à 17:04:27 »
Bonjour à tous,

Tout d'abord, j'aimerais commencer par préciser que mon post n'est pas un post incendiaire mais un  post qui a pour but de faire évoluer la situation positivement.

Je dois tout de même vous avouer que je viens de passer les plus mauvaises vacances de ma vie suite à  la succession d'actes de piratage en tout genre sur "mes" sites web hébergés sur "la machine  revendeur".  Mais bon ... c'est du passé, même si je l'ai encore en travers de la gorge !

Depuis des semaines je me creuse la tête afin de trouver une piste sur la faille qui permet aux différents hackers de faire leurs basses besognes. J'écris les différents hackers car, il y en a  effectivement plusieurs. (Somaliens, Algériens, Coréens etc... d'après leur IP évidemment).

Le but de l'acte de piratage diffère selon le hacker :
 
- Un simple "deface" de site (remplace la page d'accueil)
- Création de dossier avec contenu relatif à du phishing
- Création d'adresses mails permettant l'envoi et la réception de mail via le domaine piraté (SPAM)
- Redirection du domaine piraté vers des sites infestés de virus trojeans  et autre spyware
- Simple et bête destruction de compte (dossiers, contenus, DB)
- Suppression des comptes mails
- Suppression et recréation de DB pour le phishing
- Hack à l'aide de l'utilisation des liens symboliques (SYMLINK, le plus souvent sym.php)
- Hack afin de permettre le piratage du référencement google afin que Google renvoi vers des sites illégaux (pornographie, jeux …) lorsque l’on clique sur le nom de votre site dans les résultats Google


 Sur le seul mois de juillet, j'ai subi tous les actes de piratages listés ci-dessus !


J'ai été hacké environ 4 fois par semaine sur des comptes différents. Ces comptes hébergeaient soit des CMS, soit du pur HTML, soit ... rien du tout (compte créé mais pas encore utilisé, comme mon  compte root cpanel).

Alors ... ? La faille ... ?

Après un mois de travail de surveillance accrue de tous mes comptes et de tous les logs, je n'ai toujours pas trouvé la source de notre calvaire.

Et donc, après analyse de la situation :

- Phpnet rejetant la faute sur les revendeurs (CMS pas à jour, scripts qui divulguent les mots de passe etc...).
- Etant persuadé que mes sites étaient redevenus sains (restore de backup sain).
- N'étant pas le seul à avoir ces problèmes de sécurité récurrents
- Les attaques continuant malgré les différentes actions prises

Il m’était donc impossible de continuer ma collaboration avec une infrastructure en laquelle je n'avais plus confiance (en tout cas pour la structure revendeur - cela fait 12 ans que j'utilise l’hébergement mutualisé chez PHPNET sans JAMAIS avoir eu AUCUN problème).

La décision de faire un étude de marché a été prise et réalisée en urgence. Je ne publierai pas les résultats de mon étude de marché par respect pour PHPNET, cela de toute façon n'apporterait rien aux problèmes évoqués dans ce post et mon but n'est pas de faire de la pub !

Bref.

Fin juillet, j'ai commencé à migrer mes comptes vers une autre infrastructure.

La première migration ne s'est pas réalisée sans problème ... en cause ? Les droits d'accès 700 initialisés par PHPNET sur tous les dossiers/fichiers.

Donc, pour que mes sites puissent fonctionner sur une autre infrastructure que PHPNET, j'ai dû réinitialiser les droits d'accès de mes dossiers à 755 et ceux de mes fichiers à 644. Ce qui est tout à fait logique puisque avec les droits 700 seul le propriétaire a accès en lecture/écriture.

Mais alors, quelqu'un pourrait-il me dire pourquoi mes sites fonctionnaient sans problème sur l'infra PHPNET avec les droits d'accès 700 ???

La réponse est peut être simple, j'aimerais que phpnet me réponde à ce sujet.


Depuis la migration de mes sites (une grosse semaine), plus aucun n'a été piraté cependant mes comptes chez phpnet ce font toujours hackés ????????? La dernière fois date d'hier (création d'un  dossier « ahmed » au niveau du root de 3 comptes).

Pour que vous compreniez bien la situation :

 - Mes comptes cpanel/phpnet ont été transférés sur une autre infra.
 - Les serveurs DNS de ces comptes migrés pointent vers la nouvelle infra

 --> Ces mêmes comptes ne se font pas piraté sur la nouvelle infra mais sur l’ancienne (PHPNET) !!!

Pour moi, c'est clair! Je ne cherche plus, je sais que la faille est en interne chez phpnet, c'est par "l'intérieur" de la plateforme revendeur que les hackers se faufilent pour prendre possession de nos comptes sans aucune restriction !

Comment feraient-ils autrement ? Ils ne peuvent pas venir via l'IP du serveur puisque PHPNET à bloqué cette possibilité par "sécurité". Ex: 195.144.11.74/~user_cpanel.

Pour info, cette possibilité d'accéder à notre compte sans enregistrer de nom de domaine n'est jamais bloquée sur les autres infras ...

Pour résumer, 2 questions sont posées :

1) Comment un site web configuré avec des droits d'accès dossiers/fichier à 700 peut-il fonctionner sans problème chez PHPNET?

2) Comment un compte cpanel peut-il être hacké sur une infrastructure (PHPNET) alors que les DNS de ce compte pointent vers une autre infrastructure ?


Cordialement

Hors ligne acidecitrik

  • Débutant
  • *
  • Messages: 11
Re : Le point sur l'infrastructure revendeur
« Réponse #1 le: 06 Août 2013 à 00:38:51 »
Bonjour,

Ton message résume bien la situation que vivent les revendeurs sur l'infrastructure PHPNET. De mon côté j'ai subi les mêmes piratages avec la seule et même explication de l'équipe : "Il y a des failles sur vos CMS..." A croire que cette phrase est pré-enregistrée sur leur gestionnaire de tickets...

De mon côté j'ai également engagé une procédure de transfert des comptes vers un autre prestataire. Car je n'ai plus confiance au service assuré. J'étais en période de test chez PHPNET pour vérifier la qualité du service et la réactivité du support en cas de pépin. La réponse aux tickets est bien trop tardive et trop souvent imprécise... les appels téléphoniques ne sont pas non plus d'une grande qualité et ne permettent pas de relancer des demandes datant de plusieurs jours (sans réponse).

Je suis vraiment déçu mais je vais attendre sagement le retour de l'équipe sur ton sujet...

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : Le point sur l'infrastructure revendeur
« Réponse #2 le: 06 Août 2013 à 11:04:55 »
Citer
--> Ces mêmes comptes ne se font pas piraté sur la nouvelle infra mais sur l’ancienne (PHPNET) !!!
Pour moi, c'est clair! Je ne cherche plus, je sais que la faille est en interne chez phpnet, c'est par "l'intérieur" de la plateforme revendeur que les hackers se faufilent pour prendre possession de nos comptes sans aucune restriction !
Citer
Comment feraient-ils autrement ? Ils ne peuvent pas venir via l'IP du serveur puisque PHPNET à bloqué cette possibilité par "sécurité". Ex: 195.144.11.74/~user_cpanel.

En changeant d'hébergeur, cela vous a au moins permis de changer vos logins/password je suppose, ce que vous n'aviez peut être pas totalement fait chez nous...
A chaque piratage signalé par un client (d'ailleurs les clients qui se font pirater régulièrement sur la plateforme revendeur sont toujours les mêmes depuis quelques semaines...),
nous recherchons dans les logs la manière dont a agit le pirate. Dans TOUS les cas rencontré, les pirates disposaient du mot de passe WHM du compte principal du client ou d'un de ses sous-comptes....
Si le pirate dispose du mot de passe, c'est forcement qu'il l'a obtenu, soit via une faille dans le compte du client, soit via son PC piraté ou autre. Dans cpanel, les passwords ne sont
jamais stockés en clair, même si un pirate avait la main sur la machine, il ne pourrait pas, sans changer le password, entrer dans WHM.


Citer
Pour info, cette possibilité d'accéder à notre compte sans enregistrer de nom de domaine n'est jamais bloquée sur les autres infras ...

Chacun fait comme il le souhaite ! chez nous, ce n'est pas possible du fait de la configuration que nous avons choisie sur cpanel...


Citer
Pour résumer, 2 questions sont posées :
1) Comment un site web configuré avec des droits d'accès dossiers/fichier à 700 peut-il fonctionner sans problème chez PHPNET?

Le fonctionnement est le même que sur le mutualisé PHPNET (ou les droits sont également en 700).
Nous avons décidé de cloisonner totalement les clients en faisant tourner l'instance d'apache qui traite la requete du client sous l'UID et GID du
client directement. Cela permet d'améliorer grandement la sécurité justement !
En 700, seul l'utilisateur peut avoir accès aux fichiers du client, ce qui ne pose aucun problème de fonctionnement puisqu'apache tourne sous
l'uid concerné.


Citer
2) Comment un compte cpanel peut-il être hacké sur une infrastructure (PHPNET) alors que les DNS de ce compte pointent vers une autre infrastructure ?

On en revient toujours a la même chose...
Si vous n'avez pas changé le password WHM quand vous avez migré votre site, le pirate a toujours la main dessus et fait sa vie.... !
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : Le point sur l'infrastructure revendeur
« Réponse #3 le: 06 Août 2013 à 12:13:52 »

Bonjour,

Le mot de passe du whm a été réinitialisé par vos services le 22 juillet et les actes de piratage ont continués.
Tous les mots de passe de tous les comptes piratés ont été changés plusieurs fois durant le mois de juillet (cpanel, mysql, ftp, administration cms), les actes de piratage ont continués.

Je comprends bien que le problème vient du fait que le mot de passe du cpanel est souvent le même que le mot de passe MYSQL... puisque bien souvent  le mot de passe mysql se retrouve en clair dans un simple fichier de configuration à la racine du site. Si un hacker arrive à se procurer ce mot de passe via une faille de sécurité quelconque ... c'est évidemment la source d'énormes problèmes (ceux qui sont d'ailleurs cités dans mon premier post).

Ce qui est tout de même bizarre dans mon cas (comptes migrés vers une autre infra), lorsque l'on souhaite aller sur le cpanel d'un de mes sites, cpanel.xxx.xx ont se retrouve sur la page d’accueil CPANEL de ma nouvelle infra ... comment mes comptes CPANEL phpnet continuent-ils alors à être hackés ?

En passant par whm ? Pas possible, il n'y a que vous et moi qui connaissons le mot de passe.
En passant par cpanel.mondomaine.xx ? Pas possible, les DNS pointent vers la nouvelle infra.

Je sais que j'ai déjà répété cela plusieurs fois, mais je me souviens d'avoir été hacké l'année passée et j'avais trouvé dans mes logs une adresse web d'ou était venu le hacker. Cette adresse appartenait à un compte qui hébergeait le site www.regiefonciere.be sur la machine revendeur, celui-ci avait été hacké et hébergeait un fichier sym.php qui listait tous les comptes revendeurs hébergés sur la machine avec le nom d'utilisateur et le mot de passe en clair.

Vous m'aviez dit que cette faille avait été corrigée ... je ne sais pas pourquoi mais quelque chose me dit que ce cas est en train de se reproduire depuis fin juin 2013...

Lors de mes nombreux piratages, j'ai très souvent trouvé des répertoires avec un fichier sym.php et lorsque je le consultais, j'avais la possibilité de cliquer sur un bouton qui s'appelait "symlink" mais cette fois-ci un mot de passe m'était demandé pour accéder à la liste des comptes...

Pour info, une simple recherche sur google avec "195.144.11.74 hack" le résultat est affligeant !  -->  voir ici : https://www.google.be/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.facebook.com%2Fpermalink.php%3Fid%3D105594782863076%26story_fbid%3D483922338363650&ei=xs0AUsfzCYKctAa1hoGgCw&usg=AFQjCNFGcHKt7To9IpJVOMWRxHmBHBkHpg&sig2=KjMxFAdCW381AfVjp4AXgA&bvm=bv.50310824,d.Yms


Je vais m'arreté là, mais, s'il vous plaît ... ne croyez pas que nous sommes assez ignorant que pour ne pas changer nos mots de passe après un acte de piratage !


OK pour les permissions 700.

Très cordialement !
« Modifié: 06 Août 2013 à 12:27:44 par benbet »

Hors ligne acidecitrik

  • Débutant
  • *
  • Messages: 11
Re : Le point sur l'infrastructure revendeur
« Réponse #4 le: 06 Août 2013 à 21:09:01 »
Idem concernant le mot de passe WHM. Vous avez également généré deux nouveaux mots de passes ce qui n'a pas empêché le piratage de mon compte. J'ai du mal à croire également en cette version...

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : Le point sur l'infrastructure revendeur
« Réponse #5 le: 08 Août 2013 à 13:10:59 »
Bonjour Thibaud,

Je continue mes investigations concernant les problèmes de sécurité au niveau des comptes revendeurs.

J'ai certainement trouvé la source qui permettait l'intrusion sur nos comptes.

Comme je l'ai répété plusieurs fois, il existait bien une faille de sécurité au niveau d'un site (capedrium-campus.fr) hébergé sur la machine revendeur, apparemment ce compte a été désactivé depuis. Cette faille a révélé la liste de tous les comptes et permettait d'y accéder via FTP etc ... Elle affichait également les passwords des comptes (en cliquant sur le bouton symlink bypass).

Puisque le compte est désactivé, il n'est plus possible d'accéder à cette liste mais le cache de google fait des miracles ...

Voici le lien qui nous a causé tous nos problèmes : http://webcache.googleusercontent.com/search?q=cache:7AlvO7LXwaMJ:capedrium-campus.fr/symlink%2520.php%3Fsws%3Dpasswd+&cd=1&hl=fr&ct=clnk&gl=be

Je pensais que cette faille avait été fixée ?????

Hors ligne acidecitrik

  • Débutant
  • *
  • Messages: 11
Re : Le point sur l'infrastructure revendeur
« Réponse #6 le: 08 Août 2013 à 13:55:18 »
Juste un mot : Flippant !