Voir une IP blacklist\u00e9e fait partie de la vie d’h\u00e9bergeur, le quotidien pour les plus gros ou les plus permissifs. N\u00e9anmoins, c’est une premi\u00e8re pour LRob en 10 ans d’existence !<\/p>\n\n\n\n
Les plus positifs d’entre vous diront que c’est la ran\u00e7on de la gloire… Forc\u00e9ment, plus le volume augmente, plus le risque de voir une activit\u00e9 non autoris\u00e9e sur un site augmente. Les plus critiques feront un scandale. Quoi qu’il en soit, chez LRob, on fait le choix de la transparence. Alors on r\u00e9pond \u00e0 toutes vos interrogations.<\/p>\n\n\n\n
Que s’est-il pass\u00e9 et quelles solutions mettons-nous en \u0153uvre ? R\u00e9ponses.<\/p>\n\n\n\n
Dimanche 13 Octobre, j’ai \u00e9t\u00e9 alert\u00e9 par mon client M\u00e9t\u00e9o Centre<\/a> que son site \u00e9tait bloqu\u00e9 par l’antivirus MalwareBytes en version payante (merci \u00e0 eux pour cette alerte).<\/p>\n\n\n\n Face \u00e0 cette anomalie, l’urgence est sonn\u00e9e pour LRob. Que l’on soit Dimanche ou le jour de No\u00ebl : j’ai imm\u00e9diatement v\u00e9rifi\u00e9 son site qui n’avait aucun souci, puis investigu\u00e9 aupr\u00e8s de MalwareBytes. La cause du blocage a \u00e9t\u00e9 donn\u00e9e en 1h seulement (bravo au support MalwareBytes) : l’IPv4 du serveur h\u00e9bergeant ce site est blacklist\u00e9e sur AbuseIPDB<\/a> pour requ\u00eates malveillantes. Mais manifestement, le souci provient d’un autre site.<\/p>\n\n\n\n Toutes les blacklists ne se valent pas (CF : SPFBL<\/a>), n\u00e9anmoins, AbuseIPDB<\/a> est un vrai projet bien fait et s\u00e9rieux.<\/p>\n\n\n\n Dans cette mauvaise nouvelle, la d\u00e9couverte de cette blacklist communautaire \u00e9t\u00e9 un coup de c\u0153ur : non-seulement celle-ci m’avait permis de d\u00e9tecter une anomalie sur mon serveur, mais il \u00e9tait facile de contribuer. C’est pourquoi LRob a imm\u00e9diatement rejoint AbuseIPDB<\/a> pour contribuer \u00e0 reporter les IP attaquantes et aider la communaut\u00e9 mondiale des sysadmins en retour.<\/p>\n\n\n\n Mais le plus important \u00e9tait cependant de stopper la source des requ\u00eates malveillantes. Alors d’o\u00f9 venaient-elles ?<\/p>\n\n\n\n Bien-s\u00fbr, j’ai imm\u00e9diatement cherch\u00e9 la cause de ces requ\u00eates \u00e9manant d’un de mes serveurs. Si c’est un client, cela n’est pas tol\u00e9r\u00e9. Si c’est un site pirat\u00e9, celui-ci devait \u00eatre coup\u00e9 et r\u00e9par\u00e9 imm\u00e9diatement… Si c’est une intrusion serveur, c’est gravissime. J’ai donc entam\u00e9 les recherches et ce que j’ai trouv\u00e9 \u00e0 la fois anodin et inhabituel.<\/p>\n\n\n\n Il ne vous aura pas \u00e9chapp\u00e9 que LRob effectue la r\u00e9paration et la s\u00e9curisation de sites WordPress pirat\u00e9s<\/a> depuis plusieurs ann\u00e9es avec succ\u00e8s. Cela am\u00e8ne de nombreux clients \u00e0 choisir un h\u00e9bergement web LRob<\/a> pour b\u00e9n\u00e9ficier de la r\u00e9paration \u00e0 prix r\u00e9duit et d’un support \u00e0 toute \u00e9preuve.<\/p>\n\n\n\n Mais r\u00e9cemment, un nouveau site r\u00e9par\u00e9 m’a jou\u00e9 un mauvais tour : une r\u00e9cidive. Un site r\u00e9par\u00e9 s’est \u00e0 nouveau fait pirater, ce qui ne m’\u00e9tait encore jamais arriv\u00e9 sur mes h\u00e9bergements.<\/p>\n\n\n\n Cela entrant dans la garantie de 90 jours, j’ai donc r\u00e9par\u00e9 \u00e0 nouveau ce site sans aucun frais. Mais les attaques, bien que moins fr\u00e9quentes, continuaient d’arriver sur AbuseIPDB.<\/p>\n\n\n\n Au bout de 3 jours de recherches de logs infructueuses au cours des journ\u00e9es et soir\u00e9es, j’ai finalement analys\u00e9 l’ensemble du trafic r\u00e9seau sur le serveur (un travail de titan), jusqu’\u00e0 remonter un des processus (programmes) anormaux lanc\u00e9s en tant que l’utilisateur syst\u00e8me de ce site. Eur\u00eaka ! Je tiens l\u00e0 la cause originelle du probl\u00e8me.<\/p>\n\n\n\n Comment est-ce possible ?<\/p>\n\n\n\n Je le sais d\u00e9sormais, d\u00e8s son arriv\u00e9e, ce site contenait en fait des programmes (pas juste des scripts PHP mais bel et bien des programmes) malveillants, qui ont r\u00e9ussi \u00e0 s’ex\u00e9cuter d\u00e8s l’importation du site. Cela signifie que m\u00eame une fois supprim\u00e9s, et m\u00eame avec le site d\u00e9sactiv\u00e9, les programmes malveillants continuaient de tourner. Les hackers ont donc pu utiliser cela comme vecteur d’attaque m\u00eame apr\u00e8s la r\u00e9paration du site. Ils ont \u00e9galement pu r\u00e9\u00e9crire des fichiers malveillants, g\u00e9n\u00e9rant la r\u00e9cidive visible.<\/p>\n\n\n\n Comme ces programmes ne tournaient pas directement via le serveur web habituel, mais ind\u00e9pendamment, il \u00e9tait impossible de d\u00e9tecter leur activit\u00e9 via les logs du serveur web, rendant la d\u00e9tection plus difficile (raison pour laquelle aura fallu en dernier recours analyser le trafic r\u00e9seau, ce qui est inhabituel). D’autant plus que ce type de programme n’est m\u00eame pas sens\u00e9 pouvoir s’ex\u00e9cuter et pour cause : la fonction \u00ab\u00a0PHP exec()\u00a0\u00bb qui permet de les lancer est sens\u00e9e \u00eatre d\u00e9sactiv\u00e9e… Mais elle ne l’\u00e9tait pas pour ce client en raison d’une configuration sp\u00e9cifique (corrig\u00e9e depuis). J’avais d\u00e9j\u00e0 vu ce souci sur d’autres serveurs et si \u00e7a n’avait pas \u00e9t\u00e9 le mien, j’aurais pens\u00e9 \u00e0 regarder directement les process lanc\u00e9s et j’aurais trouv\u00e9 le souci en 30 minutes… Mais ici, comme cela n’\u00e9tait pas sens\u00e9 arriver, \u00e7a m’a pris 3 jours. Les joies du m\u00e9tier !<\/p>\n\n\n\n Tous les process (programmes en cours d’ex\u00e9cution) douteux ont bien-s\u00fbr \u00e9t\u00e9 sauvegard\u00e9s pour investigation, puis stopp\u00e9s. Un checkup complet du site a \u00e9t\u00e9 refait et une v\u00e9rification manuelle 3x par jour a \u00e9t\u00e9 mise en place pour s’assurer qu’aucune r\u00e9cidive n’avait lieu.<\/p>\n\n\n\n A l’heure o\u00f9 j’\u00e9cris ces lignes, plus aucune attaque n’est report\u00e9e sur AbuseIPDB, mais la blacklist n’a pas encore \u00e9t\u00e9 lev\u00e9e.<\/p>\n\n\n\n La demande de delisting a \u00e9t\u00e9 effectu\u00e9e le jour m\u00eame de la d\u00e9couverte du souci, et peut prendre entre 7 et 10 jours \u00e0 \u00eatre lev\u00e9e. C’est lent, et ce serait l\u00e0 le seul d\u00e9faut d’AbuseIPDB. L’impact de ce blacklisting est heureusement assez faible en attendant cette lev\u00e9e.<\/p>\n\n\n\n Gr\u00e2ce \u00e0 l’excellente isolation des sites web appliqu\u00e9e sur mes h\u00e9bergements, le site pirat\u00e9 \u00e9tait cantonn\u00e9 \u00e0 lui-m\u00eame et n’a pas pu avoir d’impact sur les autres sites h\u00e9berg\u00e9s.<\/p>\n\n\n\n L’impact de ce blacklisting est tr\u00e8s minime et pour preuve : seul M\u00e9t\u00e9o Centre<\/a> m’a remont\u00e9 ce souci, car ce site est probablement le plus populaire que j’h\u00e9berge, ce qui leur permet de rapidement \u00eatre notifi\u00e9s de ce type d’informations. Merci encore \u00e0 eux et \u00e0 MalwareBytes pour leur r\u00e9activit\u00e9 dans la remont\u00e9e d’informations pertinentes.<\/p>\n\n\n\n N\u00e9anmoins, il est possible un jour que certains clients souhaitent la possibilit\u00e9 d’\u00e9viter totalement que leur site ne soit h\u00e9berg\u00e9 sur une IP blacklist\u00e9e \u00e0 cause d’un tiers site web. Pour cela, la solution est l’adresse IP d\u00e9di\u00e9e.<\/p>\n\n\n\nCoup de c\u0153ur pour AbuseIPDB<\/h3>\n\n\n\n
Une cause inattendue<\/h2>\n\n\n\n
La solution imm\u00e9diate<\/h2>\n\n\n\n
Situation actuelle<\/h2>\n\n\n\n
Delisting<\/h3>\n\n\n\n
Aucun autre site touch\u00e9<\/h3>\n\n\n\n
Des solutions suppl\u00e9mentaires \u00e0 long terme<\/h2>\n\n\n\n