Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#101 Le 13/10/2011, à 20:55

Ivorhh

Re : Forum Ubuntu-fr piraté ?

Impressionnant
J'ai beau être informaticien, j'ai meme pas compris la moitié des explications.
Vous avez fait comment pour comprendre la méthodologie?

NB : je sais meme pas quel mot de passe j'ai pu utiliser ici. Aucune idée s'il était commun à d'autres.

Dernière modification par Ivorhh (Le 13/10/2011, à 20:58)

Hors ligne

#102 Le 13/10/2011, à 21:28

xabilon

Re : Forum Ubuntu-fr piraté ?

Ben la première chose ça a été de sauver les meubles, avoir une vision grossière de comment il a pu faire (des fichiers dans /img/avatars qui ne devaient pas y être), et faire en sorte qu'il ne recommence pas (mise en quarantaine de tous les fichiers non versionnés, et mise en non-exécution du dossier avatars)

Et ensuite grattage de tête pour trouver comment il avait fait

Le seul endroit où un utilisateur peut uploader un fichier, c'est par son profil, en uploadant une image d'avatar. Et des fichiers suspects s'y trouvaient bien.
Or le forum vérifie la validité du type de fichier uploadé, seules les images peuvent passer (vérification sur le type MIME, puis renommage du fichier avec changement d'extension en fonction du type).

Jusqu'à ce qu'olive trouve la faille dans la config de nginx, qui permet d'exécuter du code PHP quelle que soit l'extension et le type du fichier, et qu'on ouvre l'image d'avatar du compte du pirate avec un éditeur de texte, qui contenait effectivement du code PHP en fin de fichier.
Code qui lui a donc permis d'uploader d'autres scripts.

L'avatar en question était une image PNG tout à fait valide et visible.

Les détails techniques

PS : tu n'as pas besoin de connaître ton mot de passe actuel pour le changer


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#103 Le 15/10/2011, à 10:58

vivienfr

Re : Forum Ubuntu-fr piraté ?

L'attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web
[...]
Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d'une erreur de configuration permettant de passer au backend PHP tout fichier avec un ".php" dans l'url. Ainsi, un simple /img/monavatar.png/.php a permis d'exécuter le code.

Bonjour,

Pour mes sites, serait-il possible de connaître l'erreur de configuration d'apache qui à permis d’exécuter le code avec /img/monavatar.png/.php ?

Serait-il possible de mettre l'info dans le tuto http://doc.ubuntu-fr.org/tutoriel/securiser_apache2 ?
Je pense que nous sommes nombreux a suivres ces tuto.

Vivien


fr.archive.ubuntu.com : Statistiques sur les versions d'Ubuntu en France

Hors ligne

#104 Le 15/10/2011, à 11:09

xabilon

Re : Forum Ubuntu-fr piraté ?

Ça ne concerne pas apache, mais nginx.
Quant à la faille en question, faut voir avec les admins serveurs ...


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#105 Le 15/10/2011, à 16:01

vivienfr

Re : Forum Ubuntu-fr piraté ?

Il y a peu de chance qu'Apache2 soit également concerné par cette faille :-)


fr.archive.ubuntu.com : Statistiques sur les versions d'Ubuntu en France

Hors ligne

#106 Le 15/10/2011, à 17:58

Notalie

Re : Forum Ubuntu-fr piraté ?

Ivorhh a écrit :

Impressionnant
J'ai beau être informaticien, j'ai meme pas compris la moitié des explications.
Vous avez fait comment pour comprendre la méthodologie?

NB : je sais meme pas quel mot de passe j'ai pu utiliser ici. Aucune idée s'il était commun à d'autres.

Du dimanche ?

Hors ligne

#107 Le 16/10/2011, à 16:23

Mpok

Re : Forum Ubuntu-fr piraté ?

Question technique à xabilon et aux admins :
est-ce que cela a remis en question l'utilisation de nginx ?
(parce que ça fait 2 fois en quelques mois que nginx est en cause ici, une fois pour un bug FluxBB, une fois pour cette faille).

Hors ligne

#108 Le 16/10/2011, à 17:38

Spitfire 95

Re : Forum Ubuntu-fr piraté ?

Le serveur a souvent des problèmes, souvent des 403 par exemple, des lags, MySQL saturé...
nginx est censé, d'après mes deux minutes de recherches, être plus performant et meilleur sur les sites à fort trafique, et pourtant Apache reste majoritaire. Utiliser Apache ne serait-il pas mieux pour Ubuntu-fr ? Que ce soit en terme de sécurité qu'en stabilité ?
À part Ubuntu-fr je ne connais aucun serveur sous nginx donc je me demande la raison de ce choix.


Trisquel GNU/Linux 6.0 / Fedora 19 & rawhide.
joueur ryzom et wesnoth
Développeur livewallpaper
Membre déserteur et traître de la brigade des S.

Hors ligne

#109 Le 16/10/2011, à 18:36

kironux

Re : Forum Ubuntu-fr piraté ?

Annonce a écrit :

nous vous recommandons par précaution de changer votre mot de passe ici et sur tous les sites utilisant le même login / email / mot de passe.

C'est fait smile

Hors ligne

#110 Le 16/10/2011, à 18:40

xabilon

Re : Forum Ubuntu-fr piraté ?

Il ne me semble pas que c'était mieux quand on utilisait Apache.
Mais ça c'est une question à poser aux admins serveur, ce sont eux qui ont choisi nginx, et il ne semble pas que ce choix soit remis en question.


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#111 Le 16/10/2011, à 19:09

Hoper

Re : Forum Ubuntu-fr piraté ?

Sauf erreur de ma part (je ne suis pas du tout admin hein... ce ne sont que des "impressions"). Il me semble qu'ubuntu-fr est un site à très fort trafic, utilisant donc des mécanismes de redondance etc. nginx n'est probablement utilisé que pour des fonctions de reverse proxy et/ou load balancing. Pour faire ce genre de chose, il semble qu'il soit beaucoup, beaucoup plus efficace (consommation de ressource etc) qu'apache.

Par contre, je suppose (mais je peux évidement me tromper) que c'est bien des serveurs apache qui répondent ensuite qui gère les forum ou le wiki en php etc. Bref, il ne faut pas confondre les frontaux web, et les serveurs applicatifs (web et sgbd) qui doivent se trouver derrière.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#112 Le 16/10/2011, à 19:23

helly

Re : Forum Ubuntu-fr piraté ?

kironux a écrit :
Annonce a écrit :

nous vous recommandons par précaution de changer votre mot de passe ici et sur tous les sites utilisant le même login / email / mot de passe.

C'est fait smile

Totalement pas sécure, mais drôle big_smile.


Archlinux-wmii-dwb.
Un problème résolu ? Faites le savoir en mettant [résolu] à côté du titre de votre topic.
Un problème non résolu ? Faites le savoir en insultant ceux qui cherchent à vous aider.
Un site bleu super remasterised©, un wiki cherchant des volontaires pour traduire un site.

Hors ligne

#113 Le 16/10/2011, à 19:27

Spitfire 95

Re : Forum Ubuntu-fr piraté ?

Frontaux web ? Serveur applicatifs ? Euh...
Pour moi ya juste serveur web (Apache, nginx) et php/mysql(/python...) côté serveur.

Je ne remet pas en question l'usage de nginx mais je me demande juste pourquoi ce choix et si la stabilité ne serait pas mieux avec Apache, mais je ne sais pas quand Ubuntu-fr est passé (je savais même pas qu'on avait Apache avant) sous nginx donc je ne sais pas si il y a eu un changement de stabilité. Tout ce que je vois, c'est une faille de sécurité dans nginx et erreurs 403 régulièrement (et comme je comprend rien aux proxy je sais pas si le problème vient du serveur)


Trisquel GNU/Linux 6.0 / Fedora 19 & rawhide.
joueur ryzom et wesnoth
Développeur livewallpaper
Membre déserteur et traître de la brigade des S.

Hors ligne

#114 Le 16/10/2011, à 19:33

helly

Re : Forum Ubuntu-fr piraté ?

Apache a toujours cette faille critique découverte il y a environ un mois et qui, aux dernières nouvelles, n’as pas encore été patchée.
Donc bon, c’est  pas forcément une bonne idée de passer par apache.


Archlinux-wmii-dwb.
Un problème résolu ? Faites le savoir en mettant [résolu] à côté du titre de votre topic.
Un problème non résolu ? Faites le savoir en insultant ceux qui cherchent à vous aider.
Un site bleu super remasterised©, un wiki cherchant des volontaires pour traduire un site.

Hors ligne

#115 Le 16/10/2011, à 19:37

Bousky

Re : Forum Ubuntu-fr piraté ?

Spitfire 95 a écrit :

Pour moi ya juste serveur web (Apache, nginx) et php/mysql(/python...) côté serveur.

nginx est parfois utilisé pour transférer le traitement des requêtes à d'autres serveurs (sur la même machine ou non) sans qu'il ne les traite lui-même. On peut avoir un serveur nginx qui va centraliser toutes les requêtes html et les répartir entre différents serveurs apache. Après je ne sais pas si c'est le cas ici.


Linux qui plante complètement ? Plus rien ne répond ? On peut toujours le redémarrer proprement :
Alt + SysRq + REISUB (Retourne En Islande Sur Un Bateau !)

Hors ligne

#116 Le 16/10/2011, à 19:44

xabilon

Re : Forum Ubuntu-fr piraté ?

Ben c'est un peu plus compliqué que ça.
Le serveur qui fait tourner le forum (donc le serveur applicatif), comme ceux qui font tourner le reste du site, est bien sous nginx.
Il y a aussi une réplication de la base de données sur une autre machine, ainsi qu'un reverse proxy mis en place par l'hébergeur (qui nous cause effectivement quelques soucis, dont le refus de certaines chaînes de caractères dans les messages ...).

Nginx est utilisé sur Ubuntu-fr depuis notre départ de la plateforme ubuntu-eu, il y a déjà un an je crois. D'après une conversation récente avec les admins, il semble qu'on ai bien moins de problèmes qu'à l'époque, mais ceux-ci étaient rarement imputables à l'utilisation de tel ou tel serveur HTTP.

C'est tout un ensemble et une chaîne, qui va de la config des serveurs HTTP jusqu'à l'entretien des machines ; faire tourner les outils du site sur Apache au lieu de Nginx, je ne sais pas si ça améliorerait les choses, mais les admins n'ont pas l'air de le penser.

Et la faille qui a permis l'intrusion était une faille dans la configuration de nginx utilisée, pas dans nginx


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#117 Le 16/10/2011, à 20:43

Maisondouf

Re : Forum Ubuntu-fr piraté ?

Dur Dur, quand même !!!
Bon j'ai changé de pass, j'ai mis ma date de naissance "251200" (ou celle de jésus je sais plus) lol

Quand même ce "SaMo_Dz," pourrait s'attaquer aux banques et nous envoyer des sous plutôt qu'a un forum de furieux de Libre.


ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor,  OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)

Hors ligne

#118 Le 16/10/2011, à 20:50

Hoper

Re : Forum Ubuntu-fr piraté ?

Les banques ont des moyens de protection que le site ubuntu-fr n'a pas wink


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#119 Le 16/10/2011, à 20:54

kironux

Re : Forum Ubuntu-fr piraté ?

Hoper a écrit :

Les banques ont des moyens de protection que le site ubuntu-fr n'a pas wink

Ils éteignent leurs serveurs lorsqu'il fait trop chaud dans les baies.
Et quand les routeurs sont surchargés, ils ont des systèmes pratiques :
http://www.youtube.com/watch?v=eFLD6XiTs-k
neutral

EDIT : Le lien youtube se transforme en lien html yikes

Dernière modification par kironux (Le 16/10/2011, à 20:55)

Hors ligne

#120 Le 18/10/2011, à 15:43

Mpok

Re : Forum Ubuntu-fr piraté ?

Ok xabilon, merci pour ces précisions.
Je pense aussi que le choix nginx est une bonne solution pour vous (même si cela occure quelques pbms ponctuels, soit applicatifs, soit de configuration).
Et je suis d'accord : "C'est tout un ensemble et une chaîne"…

Hors ligne

#121 Le 21/10/2011, à 20:03

Tintin38

Re : Forum Ubuntu-fr piraté ?

helly a écrit :

Que le message en bandeau suffit amplement quand on tient compte de la quantité de données piratées.

Bof...
Je ne prend connaissance de ce piratage que 3 semaines après. Quid si le mdp était partagé ailleurs ?
Bon courage pour la suite

Hors ligne

#122 Le 25/10/2011, à 11:01

Sp4rKy

Re : Forum Ubuntu-fr piraté ?

Alors, juste histoire d'apaiser le flameware sur nginx ... Ce n'est pas en soit nginx (le soft) qui était en cause mais notre configuration de nginx.
Effectivement nginx est plus léger que apache, moins usine à gaz, sert facilement plein de requetes sans surcharger.

Cela fait quelques semaines (mois) que nous faisons grandement évoluer la plateforme, pour renforcer la solidité, la redondance, etc etc.
Parce qu'on a pas non plus assez de monde / de temps pour tout tester grandeur nature (comprendre avec quelques milliers d'utilisateurs) avant une mise en prod, il arrive qu'il y ait des ajustement à faire.
C'est ce qui se passe avec les erreurs 403 (ou 501) que vous pouvez avoir sur le forum. De nouvelles règles de filtrage sont en place (à la fois de notre coté et sur le proxy géré par l'hébergeur) pour détecter un certain nombre d'attaques. Pour info, c'est d'ailleurs grâce à ces protections (et à un firewall assez restrictif) que le piratage s'est "limité" à ce qu'il  a été, et que l'attaquant n'a pas pu avoir de shell (son attaque était prévue pour, mais a été bloquée à ce stade). On a mis en place hier une notification de notre coté pour ces erreurs, de façon a voir les faux positifs. Normalement, ces erreurs devraient être rapidement diminuées.

Pour ce qui est des erreurs sur le sql, c'est en fait principalement dû à notre hébergeur (comprendre l'hébergeur actuel du forum) qui a un blade qui a tendance à merdouiller (celui sur lequel est le sql). c'est bien évidemment en étude de leur coté pour essaye rde résoudre ce problème (qui ne se produit pas si souvent que ça non plus wink)

Sinon, pour rappel, et comme certains l'ont dit, le forum ubuntu-fr c'est 200 000 comptes (dont 180 000 connectés depuis moins de 2 mois), 4 millions de posts, 2000+ nouveaux posts par jour, donc non, ça ne se gère pas comme un petit serveur perso, et non un apache2 + mysql + php sur une machine dans un coin suffit pas wink (et je parle pas de la doc, les ml, etc etc)

Ceci dit, si vous vous apercevez d'un bug/une erreur etc etc, il peut arriver que vos chers sysadmins ne soit pas enfermés dans leur cave (même qu'il parait que des fois ils se rasent, si si ! ) et (oh ça alors) communiquent avec le reste du monde. N'hésitez donc pas à signaler votre erreur :

- sur irc (#ubuntu-fr sur irc.freenode.net)
- rapport de bug : https://bugs.launchpad.net/ubuntu-fr-website-project
- ce forum

En général elle sera assez rapidement remontée aux personnes qui peuvent gérer l'erreur.

Maxence

Dernière modification par Sp4rKy (Le 25/10/2011, à 12:01)

Hors ligne

#123 Le 25/10/2011, à 11:21

xabilon

Re : Forum Ubuntu-fr piraté ?

yikes Sp4rKy existe aussi en version forum !!


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#124 Le 25/10/2011, à 20:42

Mpok

Re : Forum Ubuntu-fr piraté ?

@Sp4rKy : j'espère que ton terme 'flameware sur nginx' ne s'applique pas à moi (mais en même temps, je suis le dernier à avoir cité le soft dans la discussion, alors… wink).
- J'ai juste souligné (#107) que nginx (ou sa configuration) était en cause sur les deux derniers 'gros' pbms (ce qui est vrai, tu peux l'admettre…).
- Et j'ai également admis que nginx était une bonne solution pour vous (#120).
Donc si tu estimes c'est une flamewar, nous n'avons pas les mêmes définitions… big_smile

Sinon :

@Sp4rKy a écrit :

pour rappel, et comme certains l'ont dit, le forum ubuntu-fr c'est 200 000 comptes (dont 180 000 connectés depuis moins de 2 mois), 4 millions de posts, 2000+ nouveaux posts par jour, donc non, ça ne se gère pas comme un petit serveur perso, et non un apache2 + mysql + php sur une machine dans un coin suffit pas wink (et je parle pas de la doc, les ml, etc etc)

C'est bien pour cela que votre forum m'intéresse (au-delà d'une utilisation 'personnelle', car je suis sous Ubuntu).
En tant que développeur sur FluxBB, il est évident que ce forum est un 'test grandeur nature' très motivant (d'ailleurs, le bug sur la FluxToolBar, en cours de résolution, a été trouvé ICI, avant même fluxbb.fr ou fluxbb.org).
Et c'est pour cela que je continue à développer… (notons en outre que ma mod 'TopicsTags' a été initiée par une discussion ici-même, avec xabilon).

Hors ligne

#125 Le 26/10/2011, à 00:59

Sp4rKy

Re : Forum Ubuntu-fr piraté ?

Je ne visais personne en particulier Mpok smile c'était juste pour clarifier les "ouaih pq vous prenez pas apache, ça a l'air plus stable".

Cool, un dev fluxbb, on saura sur qui taper maintenant tongue

Hors ligne