Voilà un example de tout ce qu’il ne faut pas faire en tant que DSI
www.fixsing.com/tv5monde-a-tentative-te … -analysis/
reflets.info/piratage-de-tv5mon … -nickeles/
reflets.info/piratage-de-tv5-mo … e-perdent/
reflets.info/piratage-de-tv5-mo … -securite/
Tu sais, sur un truc comme ça c’est extrèmement dur d’être irréprochable. J’ai eu 3 intrusions sérieuses sur des serveurs:
La première a été due à la faille ptrace + faille wuftp en 2003, c’était un serveur perso que ne me servait pas trop à l’époque. Ça a été une chance car j’ai énormément appris à l’époque. cf
lists.debian.org/debian-user-fr … 01134.html
La deuxième a eu lieu en 2008-2009 et était sur un script php fait par des élèves et oublié présentant une faille béante. Le script avait 7 ans et je l’avais complètement oublié. Le gars était discret et j’ai mis 1 mois et demi à le chopper.
La troisième a eu lieu sur un très gros serveur il y a deux ans sur un script PHP bricolé permettant d’interroger mySQL. C’était très astucieux, le gars n’avait comme réponse que oui/non. Pour lire une sortie mySQL, il testait si la première lettre du message était un a, un b, … puis pareil pour la deuxième, etc. C’est le nombre de requêtes qui l’a trahi. Il a eu le temps de modifier une table SQL.
Excepté pour la première intrusion, je pensais être à l’abri. Depuis mon problème n’est pas de rendre hermétique à tout prix une machine mais de détecter à temps une modification quelconque.
Pour TV5, il y a eu deux gars qui ont cédé au Phishing, ils ont introduit un vers assez silencieux qui a mis du temps à se propager. Se premunir d’une attaque venant de l’intérieur est extrément dure. C’est une intrusion classique mais pas question de dire qu’ils sont nuls.
[quote=“fran.b”]Tu sais, sur un truc comme ça c’est extrèmement dur d’être irréprochable. J’ai eu 3 intrusions sérieuses sur des serveurs:
La première a été due à la faille ptrace + faille wuftp en 2003, c’était un serveur perso que ne me servait pas trop à l’époque. Ça a été une chance car j’ai énormément appris à l’époque. cf
lists.debian.org/debian-user-fr … 01134.html
La deuxième a eu lieu en 2008-2009 et était sur un script php fait par des élèves et oublié présentant une faille béante. Le script avait 7 ans et je l’avais complètement oublié. Le gars était discret et j’ai mis 1 mois et demi à le chopper.
La troisième a eu lieu sur un très gros serveur il y a deux ans sur un script PHP bricolé permettant d’interroger mySQL. C’était très astucieux, le gars n’avait comme réponse que oui/non. Pour lire une sortie mySQL, il testait si la première lettre du message était un a, un b, … puis pareil pour la deuxième, etc. C’est le nombre de requêtes qui l’a trahi. Il a eu le temps de modifier une table SQL.
Excepté pour la première intrusion, je pensais être à l’abri. Depuis mon problème n’est pas de rendre hermétique à tout prix une machine mais de détecter à temps une modification quelconque.
Pour TV5, il y a eu deux gars qui ont cédé au Phishing, ils ont introduit un vers assez silencieux qui a mis du temps à se propager. Se premunir d’une attaque venant de l’intérieur est extrément dure. C’est une intrusion classique mais pas question de dire qu’ils sont nuls.[/quote]
Ce qui me met en colère est que par la faute d’un système d’information-passoire on a donné au régime en place une opportunité de plus d’utiliser sa propagande nauséabonde c’est tout.
Ca fait des mois que France Television avait été informé d’une vingtaine de failles…et nada rien.
A se demander si c’était pas un peu fait exprès…mais là je complotise…
Vas savoir Charles où s’est trouve la vérité 
[quote=“fran.b”]Tu sais, sur un truc comme ça c’est extrèmement dur d’être irréprochable. J’ai eu 3 intrusions sérieuses sur des serveurs:
La première a été due à la faille ptrace + faille wuftp en 2003, c’était un serveur perso que ne me servait pas trop à l’époque. Ça a été une chance car j’ai énormément appris à l’époque. cf
lists.debian.org/debian-user-fr … 01134.html
La deuxième a eu lieu en 2008-2009 et était sur un script php fait par des élèves et oublié présentant une faille béante. Le script avait 7 ans et je l’avais complètement oublié. Le gars était discret et j’ai mis 1 mois et demi à le chopper.
La troisième a eu lieu sur un très gros serveur il y a deux ans sur un script PHP bricolé permettant d’interroger mySQL. C’était très astucieux, le gars n’avait comme réponse que oui/non. Pour lire une sortie mySQL, il testait si la première lettre du message était un a, un b, … puis pareil pour la deuxième, etc. C’est le nombre de requêtes qui l’a trahi. Il a eu le temps de modifier une table SQL.
Excepté pour la première intrusion, je pensais être à l’abri. Depuis mon problème n’est pas de rendre hermétique à tout prix une machine mais de détecter à temps une modification quelconque.
Pour TV5, il y a eu deux gars qui ont cédé au Phishing, ils ont introduit un vers assez silencieux qui a mis du temps à se propager. Se premunir d’une attaque venant de l’intérieur est extrément dure. C’est une intrusion classique mais pas question de dire qu’ils sont nuls.[/quote]
Moralité : faire ses mises à jour et ne pas héberger de PHP foireux ?
Question curiosité : dans les trois cas, qu’est-ce qui t’a fait remarquer l’intrusion dans un premier temps ?
Dans le premier cas, j’ai remarqué un message sur la console (rien dans les logs mais juste un message sur la console). Dans le deuxième cas, activité réseau étonnante, dans le troisième cas, modification d’une table SQL (erreur du gars). Si tu me connais une méthode pour identifier les codes PHP foireux…
boisson@ns.....:/var$ locate ".php" | wc
13491 13501 787451
…je suis intéressé.
[quote=“fran.b”]Si tu me connais une méthode pour identifier les codes PHP foireux…
boisson@ns.....:/var$ locate ".php" | wc
13491 13501 787451
…je suis intéressé.[/quote]
Aucune idée pour ma part (j’évite surtout de coder en PHP tant que possible ). Peut-être regarder comment font les gros sites ? Même si ça parait inévitable que plus tu héberges, plus ça deviendra compliqué à maintenir seul.
[quote=“seb-ksl”]
Aucune idée pour ma part (j’évite surtout de coder en PHP tant que possible ). Peut-être regarder comment font les gros sites ? Même si ça parait inévitable que plus tu héberges, plus ça deviendra compliqué à maintenir seul.[/quote]
Que ce soit en PHP ou en Brainfuck, tu as de toute façon une interaction avec l’extérieur. PHP est très bien, les trous étaient simples une fois qu’on a le nez devant.
Sinon je ne suis pas hébergeur, je m’occupe de plusieurs sites dont certains (les petits) sont chez moi, c’est tout. Mais effectivement le plus gros a 320000 visiteurs (180000 de différents) par an, et plusieurs personnes s’occupent du contenu. Impossible de controler toutes les modifications. Du coup je surveille un maximum. Encore une fois, mon but est de détecter une intrusion dès le début sans m’imaginer qu’elle est impossible.
[quote]
Si tu me connais une méthode pour identifier les codes PHP foireux…[/quote]
Ne pas permettre à des programmeurs en dilettante d’y mettre du code 
Cela se traduit en langage économique par responsabiliser le client. Si le client met de la merde, il se fait trouer.
Cela se traduit donc, techniquement, par une isolation des clients : si l’un fait dla merde, il est le seul à payer.
[quote=“haleth”][quote]
Si tu me connais une méthode pour identifier les codes PHP foireux…[/quote]
Ne pas permettre à des programmeurs en dilettante d’y mettre du code
Cela se traduit en langage économique par responsabiliser le client. Si le client met de la merde, il se fait trouer.
Cela se traduit donc, techniquement, par une isolation des clients : si l’un fait dla merde, il est le seul à payer.[/quote]
Qui te parle de clients? Qui te dit qu’il y a plusieurs usagers. Le serveur appartient à une seule entité qui gère un site qui contient les 13491 scripts PHP (7597 si on enlève les trucs obsolètes ou non en service).
Ben, si c’est toi qui a écrit les scripts PHP, tu peux déjà avoir une vague idée de la qualité du code
Et dans tout les cas, tu peux les segmenter (“client”, “usage”, “groupe logique”, qu’importe)
Faire des users séparés et utiliser les droits adéquats sont d’une grande utilité (est-ce les scripts ont besoins d’être écrit ? j’en doute)
Déjà je commencerais à faire du nettoyage, non?
Non, ça n’est pas moi qui est fait le code. Non je ne peux virer et faire le ménage sur du code qui ne m’appartient pas. Non il n’y a pas de catégories de code car il n’y a pas de clients ni de différents utilisateurs. Non tous les scripts n’ont pas été écrits, certains viennent de paquets tout fait genre phpBB.
Le serveur est en production. Le temps de taper cette phrase il y a eu exactement 292 accès (entre «Le temps» et «eu»). Bref, je ne peux pas faire n’importe quoi.
utilisateur au sens système
[quote=“fran.b”]Non, ça n’est pas moi qui est fait le code. Non je ne peux virer et faire le ménage sur du code qui ne m’appartient pas. Non il n’y a pas de catégories de code car il n’y a pas de clients ni de différents utilisateurs. Non tous les scripts n’ont pas été écrits, certains viennent de paquets tout fait genre phpBB.
Le serveur est en production. Le temps de taper cette phrase il y a eu exactement 292 accès (entre «Le temps» et «eu»). Bref, je ne peux pas faire n’importe quoi.[/quote]
et tu responsable du site?
Fait respecter les regles de bases
Amemage une dmz efficace pour certain de tes clients à risque
Pétard, il faut le dire comment: Ça n’est PAS un client. Clair? Je n’ai pas un accès physiques au serveur, je n’ai pas la possibilité de changer le contrat avec OVH. Il y a essentiellement un seul utilisateur. Je n’ai pas besoin de conseils et je ne suis pas inquiet.
Ok, t’es en train de dire que c’est un hébérgement mutualisé ?
Non! C’est un serveur qui appartient à une association, à son usage exclusif, et qui m’a demandé de gérer le bazar.