[SECURITE] Serveur web sous Gentoo mal sécurisé

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

Bonjour à tous,

J'utilise un serveur kimsufi avec une distribution Gentoo installée dessus. Je me sert de ce serveur pour héberger des sites internet et j'ai quelques problèmes.

Le premier est qu'il m'arrive de bloquer la machine à cause d'une surcharge CPU à 100% et swap et mémoire très élevé ce qui plante tout en général. Malgré mes recherches dans les logs, je n'ai toujours pas trouvé ce qui pouvait bien provoquer ça si ce n'est un script mal codé mais si c'est ça comment faire pour identifier le script fautif ?

Mon deuxième problème qui est peut-être une solution au premier d'ailleurs est le suivant : aujourd'hui, j'ai découvert dans des dossiers de l'un des sites hébergés des fichiers nommés bcd.php lesquels sont bloqués par mon antivirus en local (NOD32) qui les identifient sous le nom de PHP/Exploit.E trojan.

J'ai édité l'un de ces fichiers et il est clair que le code est malveillant. Voici quelques extraits de ce code mais au besoin je peux fournir l'ensemble du code (j'hésite à le mettre en entier ici à cause des problèmes évidents de sécurité que cela pourrait poser).

geekounet · Posted: Tue Oct 23, 2007 3:11 pm Post subject:

Salut et bienvenue !
Peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci

Pour ton problème, maintenant que ton serveur est infecté, tu n'as plus qu'à le réinstaller à zéro (ou restaurer un ancien backup), principe de base de sécurité. D'autre part, les Gentoo préinstallées de chez OVH sont connues pour être mal foutues, galère à maintenir et pas du tout à jour, donc assez susceptible d'être vulnérable. Donc si tu avais effectivement choisi cette option, je te conseille plutôt à l'avenir d'y mettre une Gentoo installée à nue que tu conf toi même et tout.

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

+1 pour la réinstall (ceci dit une étude apporofondie du système peut souvent déceler qu'il n'a pas été réellement mis en péril, par exemple ce script php y a de forte chance qu'il soit éxecuté sans les droit root etc... donc pas de risques graves. Souvent il s'agit de script kiddie utilisé pour le spamming, donc ça ne cherche pas à prendre la main complète sur le serveur. Mais on est jamais sûr de rien après.)
Sinon quand un site hebergé permet une attaque alors il faut de suite fermer le site et contacter la personne responsable (le proprio du site) de gérer le problème. (et pas attendre que tout aille de mal en pis)
_________________
membre officieux du SAV Ati GEntoo

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

Ayé, j'ai changé le titre, en espérant que ça convienne parce que je suis un peu paumé à cause de ma méconnaissance de Gentoo.

En fait, je me fais les dents sur gentoo et j'apprends sur le tas c'est pourquoi je cherche à comprendre le problème et à le résoudre.

Ceci dit, la solution de tout réinstaller ne m'emballe pas du tout du tout :wink:

et je ne me sens pas non plus de tout installer par moi même car malgré tout, installer tout un serveur seul me parait bien plus risqué pour la sécurité que de m'en remettre à une version préconfigurée.

C'est quand même un peu étrange de constater que la seule solution consiste à formater...en général, c'est le reproche qu'on fait à Windows, je pensais que Linux était au dessus de ça, on m'aurait menti ?

.

Le problème n'exige pas d'être aussi catégorique que ça me semble-t-il et j'ai espoir de comprendre et de corriger le problème sans avoir à tout réinstaller. D'autres idées peut-être ?

Merci à vous
_________________
Mentir, c'est dire la vérité, à un détail près.
Kimsufi - Gentoo 64 Release 2 OVH

anigel · Posted: Tue Oct 23, 2007 3:57 pm Post subject:

Bonjour,

raoulp · Posted: Tue Oct 23, 2007 4:05 pm Post subject:

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

OK ok, je ne suis pas un pro et c'est pourquoi je demande un peu d'aide sur un forum spécialisé. Maintenant, si tu ne veux pas m'aider c'est pas grave, je sais que bien souvent quand on demande de l'aide dans ce domaine, la réponse est dans le genre de la tienne, réflexe élitiste peut-être ? En gros, pour pouvoir poser une question, il faudrait déjà connaître la réponse...

C'est pas grave mais cheval ou pas, pour savoir monter (à cheval), il faut monter et c'est ce que je fais. On n'apprend pas en simulant sur une chaise, j'ai choisi d'y aller direct. En tout cas, j'ai pas parlé de virus mais de trojan et il semble bien que ça en soit un, j'ai peut-être pas tout faux...

Que mon problème soit sur un serveur qui héberge des vrais sites (qui sont à moi je précise) ou en local, je ne vois pas ce que ça change et si je m'installe une distrib que pour moi, je risque pas d'avoir de problème et de rencontrer les difficultés dont je parle.

Pour finir, rien ne dit que le problème vienne de la configuration de gentoo. Cela peut tout aussi bien provenir d'un script mal codé et dans ce cas là je ne vois pas en quoi la réinstallation totale d'un système me mettrait à l'abri d'une récidive :wink:

En tout cas, clamav m'a permis de trouver quelques fichiers infectés (tous des bcd.php comme je le disais) et ma question reste la même : où puis-je trouver des infos sur ce trojan pour comprendre ce qu'il fait ?
_________________
Mentir, c'est dire la vérité, à un détail près.
Kimsufi - Gentoo 64 Release 2 OVH

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

anigel · Posted: Tue Oct 23, 2007 4:50 pm Post subject:

Personne ne te demande d'être un pro. Mais si tu viens ici poser une question, et que 3 personnes te donnent la même réponse, je pense, à priori, qu'il doit y avoir une bonne raison. Ce n'est pas que je ne veuille pas t'aider, mais simplement que je ne peux pas t'aider, à plus forte raison puisque, malgré les conseils de geekounet (modérateur ici), kwenspc (qui a pas mal d'interventions à son actif également), et la mienne (élitiste, ainsi soit-il - en certaines circonstances je l'assume), tu ne remets pas en question ta vision des choses.

Tu veux absolument conserver ton système en l'état ? De l'avis général c'est dangereux, que puis-je ajouter ???

Mais puisque ton message m'y invite, je vais en profiter pour étaler ma science, faire mon élitiste en somme :wink:

. Un Cheval de Troie (un Trojan, en informatique, terme hérité de l'oeuvre d'Homère), c'est un truc qu'on introduit soi-même dans son PC sans se douter de ce qu'il va faire. Un exemple typique sous Windows : installer Messenger Plus, pour avoir tous les bitonios qui clignotent dans MSN, mais qui se trouve être farci de spywares. Ca c'est un vrai troyen : c'est toi qui l'installe, sans que quiconque s'introduise dans ton PC. Bref, un Trojan, c'est quand l'usager se tire lui-même la balle dans le pied. A ma connaissance, installer Apache et PHP n'a jamais installé de logiciels tiers, il ne s'agit donc pas d'un infection par Troyen, mais bel et bien d'une faille de sécurité. Elle peut être liée à ta conf PHP (je mise là-dessus, au pif), ou à un script mal codé, effectivement. Donc non, désolé, ce n'est pas un troyen.

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

Ok, je comprends bien. Je ne veux froisser personne, je cherche juste à comprendre et à apprendre à trouver des solutions. Tout réinstaller sans comprendre ne m'avancera pas à grand chose dans mon difficile apprentissage. Je cherche, je trouve et j'y arriverai mais peut-être pas seul. Cette expérience me permettra j'espère de mieux apprendre à "me" protéger et d'éviter qu'à l'avenir je rencontre les mêmes problèmes. Le tout, c'est de savoir où regarder et c'est pour ça que j'ai ouvert un sujet.

Où pourrais-je trouver un bon tuto bien détaillé et bien expliqué pour apprendre à sécuriser correctement un serveur web sous gentoo alors ?
_________________
Mentir, c'est dire la vérité, à un détail près.
Kimsufi - Gentoo 64 Release 2 OVH

anigel · Posted: Tue Oct 23, 2007 5:20 pm Post subject:

J'espère que tu ne vas pas tenter de continuer avec ce système bancal en tous cas... Mais, pour rebondir sur mon dernier message, une Debian bien configurée, et la lecture du manuel de sécurisation feraient déjà un très bon départ. Tu peux aussi consulter les avis de sécurité concernant PHP, c'est assez instructif en général.
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.

xaviermiller · Posted: Tue Oct 23, 2007 5:25 pm Post subject:

+1 pour
- déinstaller
- bien se documenter
- configurer pour ne pas transformer son PC en joujou pour hackers et un jour se taper un procès pour des faits dont on ingorait l'existance et dont tu es légalement responsable
_________________
Kind regards,
Xavier Miller

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

Bonsoir à tous,

Devant tant d'insistance, j'ai fini par réinstaller un système tout neuf, par contre je ne sais toujours pas vraiment ce qu'il faut faire exactement pour m'éviter ce genre de problème à l'avenir.

Pour la nouvelle mouture, j'ai suivi ce tutorial, en tout cas en partie.

J'ai commencé par installer la release 2 d'OVH qui est déjà préconfigurée pour faire de l'hébergement web...par contre, de très nombreux modules du webmin installé avec la release ne sont pas fonctionnels et il faut modifier des chemins dans la configuration des modules pour qu'ils fonctionnent...c'est bizzare qu'OVH ne livre pas une release fonctionnelle...bref.

Pour revenir à nos moutons, j'ai fait ce qui est indiqué à partir de la page 2 : clamav, les détecteurs de rootkits (rkhunter et chkrootkit qui n'est pas mentionné ici), etc. sauf zend optimizer et webmin. En fait, je ne sais pas vraiment si spamassassin fonctionne bien.

Maintenant, je ne sais pas vraiment si c'est suffisant, j'en doute. Je voudrais paramétrer le firewall de linux mais j'y pige rien, pareil pour iptable.

Auriez-vous connaissance de tutos pour débutant concernant ces sujets ?

Et comment faire pour ajouter un utilisateur qui ne soit pas root mais qui a suffisament de droits pour que je puisse me connecter en SSH ? (oui je sais, c'est la base...) :oops:

_________________
Mentir, c'est dire la vérité, à un détail près.
Kimsufi - Gentoo 64 Release 2 OVH

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

Temet · Advocate Joined: 14 Mar 2006 Posts: 2586 Location: 92

[HS]
Je vous ai trouvé bien dur avec lui... un peu plus et je me serais cru sur un forum Debian.
[/HS]
_________________
Full Gentoo powered.

MIMATA · n00b Joined: 23 Oct 2007 Posts: 6

J'ai regardé du côté de glsa-check et notamment cette page seulement cette phrase n'est pas très rassurante :

babykart · Guru Joined: 08 Oct 2004 Posts: 415

shakya · n00b Joined: 04 Dec 2006 Posts: 40 Location: Somewhere

L'installation d'ovh n'est pas en effet une panacée... Mieux vaut réinstaller un système complet via le manager v3 et selectionner la reinstall...

Il te suffit de personnaliser ensuite ton partitionnement et reprendre tous les fichiers de conf pourmettre une "vraie" gentoo.
Pour le profil, je te conseillle la branche Hardened qui renforce le noyau avec Pax et Grsec. Tes services, je te conseille de les chrooter et de gerer aussi tes rules iptables aussi bien pour l'entrant que le sortant. Une solution qui peut etre aussi très interressante est l'utilisation des vserver afin que chaque domaine tourne sur un serveur virtuel (ca evite de compromettre tout le reste)

Pour apache si tu souhaites le sécuriser, je te conseille mod_security qui permet d'interdire certaines requetes url et palier aux faiblesses de certains scripts et mod-evasive pour contrer les attaques DoS, de chrooter, bref de le betonner. Dans tous les cas, lis bien les docs à ce propos et si ton serveur a été compromis, REINSTALLE LE COMPLETEMENT !

Ca te permettra de repartir sur des bases dont tu seras sur qu'elles sont saines. Et puis comme l'ont dit certains intervenants ici, si tu ne te sens pas à l'aise avec une install gentoo, ne l'administre pas derrière, et choisi vite une autre distribution car tu n'auras sinon que des problemes.

Si par contre tu es motivé et que tu as besoin d'un coup de main pour te guider sur la reinstall (attention j'ai dit juste un coup de main!) et bien tu me fais ta demande en pv et je te laisser mon adresse xmpp.

Bien à toi

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

anigel · Posted: Mon Oct 29, 2007 11:13 am Post subject:

Il ne s'agit pas d'être dur mais d'être ferme : nous ne sommes pas en face d'un quidam bricolant dans son garage, mais en face d'un propriétaire de serveur dédié, disposant d'un upload équivalent à 150 de vos connexions ADSL. Un DoS lancé depuis 150 connexions ADSL ça s'appele un DDoD et ça a déjà fait tomber des services informatiques entiers ! Les systèmes UNIX ne sont pas des jouets mais bel et bien des outils professionnels. Je lisais plus haut que c'était étrange qu'OVH ne livre pas une distrib plus aboutie. Faut-il rappeler qu'OVH est un datacenter, et non une société d'infogérance ? Lorsqu'on paie pour un kimsufi, on a un kimsufi, çàd une machine et un accès root, et démerde-toi. D'un point de vue sécurité, mettre un serveur dédié entre les mains d'un néophyte pour qu'il apprenne, le tout connecté en illimité à 100 Mb sur le vaste monde, c'est comme mettre une Ferrari dans les mains d'un jeune pour la conduite accompagnée, avec le plein de carburant, et en avant ! Pour le type d'usage que semble avoir MIMATA, il me semble qu'un hébergement web sans accès root serait plus approprié : toute la gestion du système est faite par l'hébergeur, sécurité comprise. Il ne reste plus alors qu'à se concentrer sur le contenu du site.

MIMATA a suivi les conseils donnés plus haut, et c'est heureux. Mais c'est encore largement insuffisant puisque le problème de fond n'est pas réglé : l'incompétence de l'admin (ne le prends pas mal MIMATA, pour toute chose il faut apprendre, ne pas être savoir ne signifie pas être idiot). De mon point de vue ce n'est qu'une question de jours avant que son serveur ne se retrouve hacké une nouvelle fois. Nous sommes à Toussaint, pendant les vacances, traditionnellement une période où les ados qui découvrent les sniffers en font bon usage (+150% de scans sur les périodes de vacances scolaires, selon mes mesures). Je dis et je redis ce que j'ai avancé plus haut : un kimsufi entre des mains inexpérimentées est dangereux, rien de moins, rien de plus. Faire ça à la maison derrière le firewall de sa Livebox est déjà nettement plus sage, et, pour un site perso, ça suffit souvent largement. Gentoo est probablement l'une des distribs les plus difficile à mettre en production, puisqu'elle n'amène quasiment aucune préconfiguration, à la différence de Debian, dont tous les paquets ou presque sont pré-configurés avec une excellente gestion de la sécurité.

Bref, je suis navré pour ceux qui pensent qu'il faut aider à tout prix MIMATA à persévérer dans cette voie : je crois au contraire que ce serait cautionner une grosse erreur ; erreur qui peut potentiellement lui coûter ses données personnelles, avec quelques poursuites légales pour le même prix. Après tout, chacun s'amuse comme il veut... Pour ma part je n'interviendrai plus sur ce sujet, je ne souhaite pas charger l'arme avec laquelle notre ami va se tirer dans le pied.

MIMATA, si tu veux apprendre Gentoo, reprends tout du début, sur ton PC ou dans une machine virtuelle, à l'abri chez toi et là tu pourra compter sur moi pour t'aider à monter un système fonctionnel, sécurisé, à le tenir à jour et à bien en maîtriser les rouages. Et dans quelques mois tu sera parfaitement à même de gérer ton kimsufi, avec la distrib que tu auras choisie.

Amicalement,
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.

salamandrix · Apprentice Joined: 03 Aug 2006 Posts: 245

Enlight · Posted: Mon Oct 29, 2007 7:03 pm Post subject:

Bon je vais être off, mais je voulais juste défendre la veuve et l'orphelin en rappelant que "pallier" est un transitif direct, et qu'en tant que tel il prend un COD et non un COI, traduction, on pallie quelque chose, on ne pallie pas à quelque chose...

sinon question bête mais les serveurs d'OVH kimsufi, c'est un jeu de mot???