Piratage de Planet-Libre : Appel à contribution pour écrire une documentation
Depuis hier, l’équipe du Planet Libre est sur le qui-vive suite au hack de notre serveur web dans la nuit du 6/7 Novembre 2010. Cependant, plus de peur que de mal. Un hackeurs (russe) c’est introduit sur le serveur à cause d’une faille de sécurité wordpress (encore wordpress !!). Mais là ou ça fait mal, c’est qu’on ne sait pas vraiment quelle faille il a utilisé. J’ai passé 2 jours à analyser les logs … et rien de vraiment concluant. Un bypass ? une faille dans xmlrpc ? je ne sais pas vraiment. Mais il se trouve qu’il a réussit à modifier le thème du blog et du site et à rajouter des liens dans le footer du planet-libre. Heureusement, nous nous en sommes rendu compte le lendemain. Donc nous avons rapidement cadenassé le blog et le planet-libre.
Cependant, le hackeur à tout de même réussi à uploader un fichier, et non des moindre, un web shell lui permettant de maîtriser l’environnement du serveur (heureusement limité aux droits www-data). Le script le voici : https://gist.github.com/378433
Pour ceux qui veulent le tester, faites un copier/coller du code dans un fichier.php, et lancer le dans votre navigateur web … Vous verez ce qu’est un web shell. C’est assez … dangeureux diront nous. Le hackeur à modifié les droits sur les dossiers/fichiers. Nous avons rétabli tout ça, mais de façon temporaire, car nous avons décidé, finalement, de refaire notre serveur web, mais avant tout de mettre un point d’honneur à la sécurité.
C’est pourquoi nous faisons un appel à la contribution d’une documentation pour tous. Le but de cette documentation est la mise en place d’un serveur web très sécurisé, faisant appel au chrootage, aux droits sur fichiers/dossiers/users/groupes, à la mise en place de vos sites / blog et de la sécurisation de ceux-ci. Complexe certes, mais de plus en plus nécessaire.
Le but de ce document est de fournir aux utilisateurs néophytes et avancés un support pour mettre en place leur propre serveur tout en tenant compte des règles de sécurités avancées. Nous aborderons dans ce document différents thèmes de la sécurité d’un serveur web ainsi que l’environnement Linux.
Déjà, nous pouvons compter parmi les contributeurs Nicolargo, GuiOna, SckyzO. J’use donc du Planet Libre pour demander à tous ceux maîtrisant les serveurs web, la sécurité dans les environnements linux/unix, la sécurité web en général, etc
Contactez nous par mail ou via les commentaires du blog. Nous allons écrire cette documentation, la mettre sous licence libre et accessible en dur sur le Planet Libre.