Infobidouille victime d'un hacker

Vous l'avez peut-être constaté par vous même : Infobidouille était inaccessible toute la journée de vendredi et une partie du week-end. Une petite explication s'impose...

Jeudi soir, vers 22h30, le site a été victime d'une attaque de hacker. Au niveau du site, l'intrus n'avait modifié que les fichiers index, pour défacer le site. Mais le système était compromis en profondeur, et nous n'avions plus le contrôle sur la machine (accès root impossible).

Nous avons donc été contraints de redémarrer le serveur sur le système de secours le temps d'effectuer des sauvegardes (un malheur n'arrivant jamais seul, nos procédures de sauvegarde automatiques étaient apparemment HS depuis quelques jours...) et de réinstaller le système.

Le site a été remis en ligne samedi dans l'après-midi, sans pertes de données (contrairement à l'attaque de novembre 2006) et la configuration de sécurité a été renforcée, en particulier au niveau d'Apache (filtrage de certaines requêtes avec blocage automatique des IP au comportement suspect) et de PHP (blocage des accès à des fichiers distants), ce qui nous a permis de repérer et de contrer une nouvelle attaque émanant du même hacker dimanche après-midi.

Nous avons identifié deux failles utilisées par le pirate pour introduire du code malicieux sur le serveur (une au niveau d'un blog Dotclear non à jour, une dans le scripts de statistiques Les Visiteurs 2) et nous révisons actuellement notre code PHP pour vérifier que les scripts sont sécurisés. Les systèmes de monitoring ont également été renforcés, et notamment le monitoring des processus de sauvegarde, afin de détecter au plus vite la moindre anomalie.

Posté par Matt le 18/02/2008 à 13h09 - Aucun commentaire