Forum Ubuntu-fr piraté ?

Ivorhh · Le 13/10/2011, à 21:55

Impressionnant
J'ai beau être informaticien, j'ai meme pas compris la moitié des explications.
Vous avez fait comment pour comprendre la méthodologie?

NB : je sais meme pas quel mot de passe j'ai pu utiliser ici. Aucune idée s'il était commun à d'autres.

Dernière modification par Ivorhh (Le 13/10/2011, à 21:58)

xabilon · Le 13/10/2011, à 22:28

Ben la première chose ça a été de sauver les meubles, avoir une vision grossière de comment il a pu faire (des fichiers dans /img/avatars qui ne devaient pas y être), et faire en sorte qu'il ne recommence pas (mise en quarantaine de tous les fichiers non versionnés, et mise en non-exécution du dossier avatars)

Et ensuite grattage de tête pour trouver comment il avait fait

Le seul endroit où un utilisateur peut uploader un fichier, c'est par son profil, en uploadant une image d'avatar. Et des fichiers suspects s'y trouvaient bien.
Or le forum vérifie la validité du type de fichier uploadé, seules les images peuvent passer (vérification sur le type MIME, puis renommage du fichier avec changement d'extension en fonction du type).

Jusqu'à ce qu'olive trouve la faille dans la config de nginx, qui permet d'exécuter du code PHP quelle que soit l'extension et le type du fichier, et qu'on ouvre l'image d'avatar du compte du pirate avec un éditeur de texte, qui contenait effectivement du code PHP en fin de fichier.
Code qui lui a donc permis d'uploader d'autres scripts.

L'avatar en question était une image PNG tout à fait valide et visible.

Les détails techniques

PS : tu n'as pas besoin de connaître ton mot de passe actuel pour le changer

vivienfr · Le 15/10/2011, à 11:58

L'attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web
[...]
Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d'une erreur de configuration permettant de passer au backend PHP tout fichier avec un ".php" dans l'url. Ainsi, un simple /img/monavatar.png/.php a permis d'exécuter le code.

Bonjour,

Pour mes sites, serait-il possible de connaître l'erreur de configuration d'apache qui à permis d’exécuter le code avec /img/monavatar.png/.php ?

Serait-il possible de mettre l'info dans le tuto http://doc.ubuntu-fr.org/tutoriel/securiser_apache2 ?
Je pense que nous sommes nombreux a suivres ces tuto.

Vivien

xabilon · Le 15/10/2011, à 12:09

Ça ne concerne pas apache, mais nginx.
Quant à la faille en question, faut voir avec les admins serveurs ...

vivienfr · Le 15/10/2011, à 17:01

Il y a peu de chance qu'Apache2 soit également concerné par cette faille :-)

Notalie · Le 15/10/2011, à 18:58

Ivorhh a écrit :

Impressionnant
J'ai beau être informaticien, j'ai meme pas compris la moitié des explications.
Vous avez fait comment pour comprendre la méthodologie?
NB : je sais meme pas quel mot de passe j'ai pu utiliser ici. Aucune idée s'il était commun à d'autres.

Du dimanche ?

Mpok · Le 16/10/2011, à 17:23

Question technique à xabilon et aux admins :
est-ce que cela a remis en question l'utilisation de nginx ?
(parce que ça fait 2 fois en quelques mois que nginx est en cause ici, une fois pour un bug FluxBB, une fois pour cette faille).

Spitfire 95 · Le 16/10/2011, à 18:38

Le serveur a souvent des problèmes, souvent des 403 par exemple, des lags, MySQL saturé...
nginx est censé, d'après mes deux minutes de recherches, être plus performant et meilleur sur les sites à fort trafique, et pourtant Apache reste majoritaire. Utiliser Apache ne serait-il pas mieux pour Ubuntu-fr ? Que ce soit en terme de sécurité qu'en stabilité ?
À part Ubuntu-fr je ne connais aucun serveur sous nginx donc je me demande la raison de ce choix.

kironux · Le 16/10/2011, à 19:36

Annonce a écrit :

nous vous recommandons par précaution de changer votre mot de passe ici et sur tous les sites utilisant le même login / email / mot de passe.

C'est fait

xabilon · Le 16/10/2011, à 19:40

Il ne me semble pas que c'était mieux quand on utilisait Apache.
Mais ça c'est une question à poser aux admins serveur, ce sont eux qui ont choisi nginx, et il ne semble pas que ce choix soit remis en question.

Hoper · Le 16/10/2011, à 20:09

Sauf erreur de ma part (je ne suis pas du tout admin hein... ce ne sont que des "impressions"). Il me semble qu'ubuntu-fr est un site à très fort trafic, utilisant donc des mécanismes de redondance etc. nginx n'est probablement utilisé que pour des fonctions de reverse proxy et/ou load balancing. Pour faire ce genre de chose, il semble qu'il soit beaucoup, beaucoup plus efficace (consommation de ressource etc) qu'apache.

Par contre, je suppose (mais je peux évidement me tromper) que c'est bien des serveurs apache qui répondent ensuite qui gère les forum ou le wiki en php etc. Bref, il ne faut pas confondre les frontaux web, et les serveurs applicatifs (web et sgbd) qui doivent se trouver derrière.

helly · Le 16/10/2011, à 20:23

kironux a écrit :

Annonce a écrit :
nous vous recommandons par précaution de changer votre mot de passe ici et sur tous les sites utilisant le même login / email / mot de passe.
C'est fait

Totalement pas sécure, mais drôle .

Spitfire 95 · Le 16/10/2011, à 20:27

Frontaux web ? Serveur applicatifs ? Euh...
Pour moi ya juste serveur web (Apache, nginx) et php/mysql(/python...) côté serveur.

Je ne remet pas en question l'usage de nginx mais je me demande juste pourquoi ce choix et si la stabilité ne serait pas mieux avec Apache, mais je ne sais pas quand Ubuntu-fr est passé (je savais même pas qu'on avait Apache avant) sous nginx donc je ne sais pas si il y a eu un changement de stabilité. Tout ce que je vois, c'est une faille de sécurité dans nginx et erreurs 403 régulièrement (et comme je comprend rien aux proxy je sais pas si le problème vient du serveur)

helly · Le 16/10/2011, à 20:33

Apache a toujours cette faille critique découverte il y a environ un mois et qui, aux dernières nouvelles, n’as pas encore été patchée.
Donc bon, c’est pas forcément une bonne idée de passer par apache.

Bousky · Le 16/10/2011, à 20:37

Spitfire 95 a écrit :

Pour moi ya juste serveur web (Apache, nginx) et php/mysql(/python...) côté serveur.

nginx est parfois utilisé pour transférer le traitement des requêtes à d'autres serveurs (sur la même machine ou non) sans qu'il ne les traite lui-même. On peut avoir un serveur nginx qui va centraliser toutes les requêtes html et les répartir entre différents serveurs apache. Après je ne sais pas si c'est le cas ici.

xabilon · Le 16/10/2011, à 20:44

Ben c'est un peu plus compliqué que ça.
Le serveur qui fait tourner le forum (donc le serveur applicatif), comme ceux qui font tourner le reste du site, est bien sous nginx.
Il y a aussi une réplication de la base de données sur une autre machine, ainsi qu'un reverse proxy mis en place par l'hébergeur (qui nous cause effectivement quelques soucis, dont le refus de certaines chaînes de caractères dans les messages ...).

Nginx est utilisé sur Ubuntu-fr depuis notre départ de la plateforme ubuntu-eu, il y a déjà un an je crois. D'après une conversation récente avec les admins, il semble qu'on ai bien moins de problèmes qu'à l'époque, mais ceux-ci étaient rarement imputables à l'utilisation de tel ou tel serveur HTTP.

C'est tout un ensemble et une chaîne, qui va de la config des serveurs HTTP jusqu'à l'entretien des machines ; faire tourner les outils du site sur Apache au lieu de Nginx, je ne sais pas si ça améliorerait les choses, mais les admins n'ont pas l'air de le penser.

Et la faille qui a permis l'intrusion était une faille dans la configuration de nginx utilisée, pas dans nginx

Maisondouf · Le 16/10/2011, à 21:43

Dur Dur, quand même !!!
Bon j'ai changé de pass, j'ai mis ma date de naissance "251200" (ou celle de jésus je sais plus)

Quand même ce "SaMo_Dz," pourrait s'attaquer aux banques et nous envoyer des sous plutôt qu'a un forum de furieux de Libre.

Hoper · Le 16/10/2011, à 21:50

Les banques ont des moyens de protection que le site ubuntu-fr n'a pas

kironux · Le 16/10/2011, à 21:54

Hoper a écrit :

Les banques ont des moyens de protection que le site ubuntu-fr n'a pas

Ils éteignent leurs serveurs lorsqu'il fait trop chaud dans les baies.
Et quand les routeurs sont surchargés, ils ont des systèmes pratiques :
http://www.youtube.com/watch?v=eFLD6XiTs-k

EDIT : Le lien youtube se transforme en lien html

Dernière modification par kironux (Le 16/10/2011, à 21:55)

Mpok · Le 18/10/2011, à 16:43

Ok xabilon, merci pour ces précisions.
Je pense aussi que le choix nginx est une bonne solution pour vous (même si cela occure quelques pbms ponctuels, soit applicatifs, soit de configuration).
Et je suis d'accord : "C'est tout un ensemble et une chaîne"…

Tintin38 · Le 21/10/2011, à 21:03

helly a écrit :

Que le message en bandeau suffit amplement quand on tient compte de la quantité de données piratées.

Bof...
Je ne prend connaissance de ce piratage que 3 semaines après. Quid si le mdp était partagé ailleurs ?
Bon courage pour la suite

Sp4rKy · Le 25/10/2011, à 12:01

Alors, juste histoire d'apaiser le flameware sur nginx ... Ce n'est pas en soit nginx (le soft) qui était en cause mais notre configuration de nginx.
Effectivement nginx est plus léger que apache, moins usine à gaz, sert facilement plein de requetes sans surcharger.

Cela fait quelques semaines (mois) que nous faisons grandement évoluer la plateforme, pour renforcer la solidité, la redondance, etc etc.
Parce qu'on a pas non plus assez de monde / de temps pour tout tester grandeur nature (comprendre avec quelques milliers d'utilisateurs) avant une mise en prod, il arrive qu'il y ait des ajustement à faire.
C'est ce qui se passe avec les erreurs 403 (ou 501) que vous pouvez avoir sur le forum. De nouvelles règles de filtrage sont en place (à la fois de notre coté et sur le proxy géré par l'hébergeur) pour détecter un certain nombre d'attaques. Pour info, c'est d'ailleurs grâce à ces protections (et à un firewall assez restrictif) que le piratage s'est "limité" à ce qu'il a été, et que l'attaquant n'a pas pu avoir de shell (son attaque était prévue pour, mais a été bloquée à ce stade). On a mis en place hier une notification de notre coté pour ces erreurs, de façon a voir les faux positifs. Normalement, ces erreurs devraient être rapidement diminuées.

Pour ce qui est des erreurs sur le sql, c'est en fait principalement dû à notre hébergeur (comprendre l'hébergeur actuel du forum) qui a un blade qui a tendance à merdouiller (celui sur lequel est le sql). c'est bien évidemment en étude de leur coté pour essaye rde résoudre ce problème (qui ne se produit pas si souvent que ça non plus )

Sinon, pour rappel, et comme certains l'ont dit, le forum ubuntu-fr c'est 200 000 comptes (dont 180 000 connectés depuis moins de 2 mois), 4 millions de posts, 2000+ nouveaux posts par jour, donc non, ça ne se gère pas comme un petit serveur perso, et non un apache2 + mysql + php sur une machine dans un coin suffit pas (et je parle pas de la doc, les ml, etc etc)

Ceci dit, si vous vous apercevez d'un bug/une erreur etc etc, il peut arriver que vos chers sysadmins ne soit pas enfermés dans leur cave (même qu'il parait que des fois ils se rasent, si si ! ) et (oh ça alors) communiquent avec le reste du monde. N'hésitez donc pas à signaler votre erreur :

- sur irc (#ubuntu-fr sur irc.freenode.net)
- rapport de bug : https://bugs.launchpad.net/ubuntu-fr-website-project
- ce forum

En général elle sera assez rapidement remontée aux personnes qui peuvent gérer l'erreur.

Maxence

Dernière modification par Sp4rKy (Le 25/10/2011, à 13:01)

xabilon · Le 25/10/2011, à 12:21

Sp4rKy existe aussi en version forum !!

Mpok · Le 25/10/2011, à 21:42

@Sp4rKy : j'espère que ton terme 'flameware sur nginx' ne s'applique pas à moi (mais en même temps, je suis le dernier à avoir cité le soft dans la discussion, alors… ).
- J'ai juste souligné (#107) que nginx (ou sa configuration) était en cause sur les deux derniers 'gros' pbms (ce qui est vrai, tu peux l'admettre…).
- Et j'ai également admis que nginx était une bonne solution pour vous (#120).
Donc si tu estimes c'est une flamewar, nous n'avons pas les mêmes définitions…

Sinon :

@Sp4rKy a écrit :

pour rappel, et comme certains l'ont dit, le forum ubuntu-fr c'est 200 000 comptes (dont 180 000 connectés depuis moins de 2 mois), 4 millions de posts, 2000+ nouveaux posts par jour, donc non, ça ne se gère pas comme un petit serveur perso, et non un apache2 + mysql + php sur une machine dans un coin suffit pas wink (et je parle pas de la doc, les ml, etc etc)

C'est bien pour cela que votre forum m'intéresse (au-delà d'une utilisation 'personnelle', car je suis sous Ubuntu).
En tant que développeur sur FluxBB, il est évident que ce forum est un 'test grandeur nature' très motivant (d'ailleurs, le bug sur la FluxToolBar, en cours de résolution, a été trouvé ICI, avant même fluxbb.fr ou fluxbb.org).
Et c'est pour cela que je continue à développer… (notons en outre que ma mod 'TopicsTags' a été initiée par une discussion ici-même, avec xabilon).

Sp4rKy · Le 26/10/2011, à 01:59

Je ne visais personne en particulier Mpok c'était juste pour clarifier les "ouaih pq vous prenez pas apache, ça a l'air plus stable".

Cool, un dev fluxbb, on saura sur qui taper maintenant

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#101 Le 13/10/2011, à 21:55

Re : Forum Ubuntu-fr piraté ?

#102 Le 13/10/2011, à 22:28

Re : Forum Ubuntu-fr piraté ?

#103 Le 15/10/2011, à 11:58

Re : Forum Ubuntu-fr piraté ?

#104 Le 15/10/2011, à 12:09

Re : Forum Ubuntu-fr piraté ?

#105 Le 15/10/2011, à 17:01

Re : Forum Ubuntu-fr piraté ?

#106 Le 15/10/2011, à 18:58

Re : Forum Ubuntu-fr piraté ?

#107 Le 16/10/2011, à 17:23

Re : Forum Ubuntu-fr piraté ?

#108 Le 16/10/2011, à 18:38

Re : Forum Ubuntu-fr piraté ?

#109 Le 16/10/2011, à 19:36

Re : Forum Ubuntu-fr piraté ?

#110 Le 16/10/2011, à 19:40

Re : Forum Ubuntu-fr piraté ?

#111 Le 16/10/2011, à 20:09

Re : Forum Ubuntu-fr piraté ?

#112 Le 16/10/2011, à 20:23

Re : Forum Ubuntu-fr piraté ?

#113 Le 16/10/2011, à 20:27

Re : Forum Ubuntu-fr piraté ?

#114 Le 16/10/2011, à 20:33

Re : Forum Ubuntu-fr piraté ?

#115 Le 16/10/2011, à 20:37

Re : Forum Ubuntu-fr piraté ?

#116 Le 16/10/2011, à 20:44

Re : Forum Ubuntu-fr piraté ?

#117 Le 16/10/2011, à 21:43

Re : Forum Ubuntu-fr piraté ?

#118 Le 16/10/2011, à 21:50

Re : Forum Ubuntu-fr piraté ?

#119 Le 16/10/2011, à 21:54

Re : Forum Ubuntu-fr piraté ?

#120 Le 18/10/2011, à 16:43

Re : Forum Ubuntu-fr piraté ?

#121 Le 21/10/2011, à 21:03

Re : Forum Ubuntu-fr piraté ?

#122 Le 25/10/2011, à 12:01

Re : Forum Ubuntu-fr piraté ?

#123 Le 25/10/2011, à 12:21

Re : Forum Ubuntu-fr piraté ?

#124 Le 25/10/2011, à 21:42

Re : Forum Ubuntu-fr piraté ?

#125 Le 26/10/2011, à 01:59

Re : Forum Ubuntu-fr piraté ?

Pied de page des forums