PDA

Afficher la version complète : Info Désactivation de certains plugins



JM
21/07/2013, 09h19
Pour tenter de résoudre un problème que je n'arrive pas à expliquer, je désactive aujourd'hui un certain nombre de plugins qui pourraient peut-être en être la cause.

Le problème:
Depuis le 20 mai exactement, le taux de rebond est subitement passé de 10% (très bon) à 75% environ (mauvais) ce qui créé une perte énorme de trafic. Or je n'ai pas fait de modification majeure à cette date sur le site (à part l'ajout de plusieurs articles, mais je doute que les netsuke aient effrayé tant que ça les visiteurs)
Le plus curieux est que ce bond s'est produit en 1 coup et pour tous les types d'accès (moteurs de recherche ou accès directs ou encore liens référents).

3262

Plusieurs pistes déjà explorées:
- code G analytics qui ne serait pas présent partout (vérifié)
- mauvais code dans un .htaccess qui provoquerait une redirection (vérifié)
- piratage (exploit de redirection qui a déjà sévit ailleurs). En cours de vérification...
- exploration des logs...
- plugin vérolé (d'où la désactivation aujourd'hui)

La désactivation des plugins ne devrait pas procurer de gêne, sauf pour ceux qui utilisent Tapatalk que je désactive aussi pour voir...

skydiver
21/07/2013, 13h12
Merci pour ces précisions et bon courage pour la résolution du problème.
Encore un coup des Chinois ça...:mad:

JM
22/07/2013, 09h13
Encore un coup des Chinois ça..

Tu ne crois pas si bien dire... mais faut pas se fier aux apparences!
Beaucoup d'IPs chinoises qui essaient de pirater le serveur. (en plus en ciblant particulièrement ce site vu les noms d'utilisateurs testés en ssh - toujours les mêmes).
La tentative semble venir de la même personne qui essaye systématiquement les mêmes logins avec des IPs différentes (pas forcément chinoises).
C'est du brute force de password qui peut durer longtemps...

Akeru
22/07/2013, 11h30
La tentative semble venir de la même personne qui essaye systématiquement les mêmes logins avec des IPs différentes (pas forcément chinoises). C'est du brute force de password qui peut durer longtemps...

Ou du même script ayant pénétré avec succès d'autres systèmes, un classique malheureusement. Si tu ne fais pas déjà tourner fail2ban, je te conseillerais de le faire, ça peut t'éviter de drôles de surprises.

JM
22/07/2013, 11h48
Sur ce serveur je n'utilise pas failtoban mais un autre firewall qui bloque les IPs des tentatives infructueuses et m'envoie des logs détaillés à chaque fois par mail.
Mieux vaut ne pas donner trop de détail là-dessus...

skydiver
22/07/2013, 12h20
Trouve le pirate chinois et donne son adresse sur le site...Il est mort koi!

Akeru
22/07/2013, 17h10
Mieux vaut ne pas donner trop de détail là-dessus...

En effet, bon courage pour le problème initial.

JM
24/07/2013, 13h26
Mauvaise nouvelle!

J'ai reçu un mail d'OVH me signalant une activité anormale sur le serveur liée à un trojan (cheval de troie) nommé Ebury.
En faisant quelques vérifs sur le serveur, j'ai trouvé que les modifications ont été faite le 20 mai à 8h11'34"... comme par hasard c'est justement le jour ou le taux de rebond est monté à 80%.
Je ne sais pas si OVH va me couper le serveur mais de toute façon il va falloir tout ré-installer (serveur, cpanel, les sites, les bdd, etc...) car les mots de passe FTP de tous les sites ont probablement été piraté aussi.

Un énorme boulot en perspective même si tout est déjà sauvegardé, alors s'il n'y a plus de site pendant quelques temps, ne vous étonnez pas!
C'est valable pour tous les sites hébergés ici (karatejapon , info-sumo , lebujutsu, etc...)
Je ferai peut-être ça demain.

KoYuBi
24/07/2013, 15h30
Un énorme boulot en perspective même si tout est déjà sauvegardé, alors s'il n'y a plus de site pendant quelques temps, ne vous étonnez pas!
C'est valable pour tous les sites hébergés ici (karatejapon , info-sumo , lebujutsu, etc...)
Je ferai peut-être ça demain.

Ah lala! :( Bon courage. S'il y a quelque chose à faire qui pourrait t'aider, n'hésite pas.

Gnurou
24/07/2013, 17h13
Mmm et ça arrive pile au moment où OVH découvrent qu'ils ont eux-mêmes été piratés... Étrange coïncidence non?

JM
24/07/2013, 17h31
Oui, 2 alertes en moins de 24h. Hier soir je reçois le mail me demandant de changer d'urgence mon mot de passe client (toute la base client europe piratée) et ce matin celui pour mon serveur piraté.
Et depuis 11h ce matin, plus aucune nouvelle de leur intervention sur ma machine.

skydiver
24/07/2013, 17h48
Les noms des responsables! Vite! Mes amis yakuza sont prêts...
Bon courage JM et merci pour tout le travail effectué.

fengrim
24/07/2013, 18h13
Ebury à pour unique but de récupérer les mots de passe rentré sur une machine et les envoyer à une tierce personne.
A la base celui-ci a été développer uniquement pour "trojaner" des systèmes Linux. En s’attaquant aux directories :

/usr/bin/ssh
/usr/sbin/sshd
/usr/bin/ssh-add

La logique veut donc que ce trojan se fasse le plus discret possible, pour que le user ne se doute de rien. Hors, faire passer un taux de rebond à 80% est tout sauf discret. Pourquoi ?

Parce que cette saloperie communique uniquement par le port 53 en UDP. Par le biais de message DNS.
il envoi ses infos aux host:


9w7vcuctes.info
6gascrcqep.net
eo7ncmclek.biz
eoencmclek.net

les messages envoyés seront sous cette forme.


614be8f16c0ef8fc6a5a.<ip address=""></ip><ip address=""></ip>< IP address >
614be8f16c0eff9e06d. <ip address=""></ip><ip address=""></ip>< IP address >
614be8f16c0eeef6674ce3. <ip address=""></ip><ip address=""></ip>< IP address >



Je m'explique : un server DNS sert à rattacher une IP à un nom domaine. En gros quand vous tapez le japon.org dans la barre d'adresse, un server va vous rediriger de manière transparente vers l'IP 91.121.61.19. Mais ça vous le voyez pas.

Si en revanche le server DNS au lieu de vous diriger vers 91.121.61.19. envoi des paquets contenant vos login/mdp à une tierce personne, que se passe t'il ? Une erreur 807, 301 ou 404. Ou pire encore, la première résolution DNS étant infructueuse (car celle-ci contenait vos informations de connexion), votre navigateur en tente une deuxième, qui passe. Vous y voyez que du feu car tout cela se fait en quelques millisecondes.

Par contre, google lui, il les voit très bien les résolutions DNS foireuses. et les interprètes par un rebond.

JM (http://www.lejapon.org/forum/members/1-JM): Ayant quelques sites hébergés chez notre amis commun, voici le mail que j'ai reçu le 22 Juillet.


Bonjour,
Récemment, nous avons relevé un incident de securité sur notre réseau interne
au siège social d'Ovh.
Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons
relevé que la base de données des clients Europe aurait pu être illégalement
copiée. Cette base comporte les données suivantes :
le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le
fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne
sont pas concernées puisqu'elles ne sont pas stockées par OVH.

Même si le chiffrement du mot de passe de votre identifiant est très fort,
nous vous conseillons de changer le mot de passe dans les plus brefs délais.

En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=<wbr>details&id=8998 (http://travaux.ovh.net/?do=details&id=8998)


Cordialement,

Tu n'as rien à te reprocher. Ces imbéciles sont entièrement responsable. La sécurité de tes informations fait partie intégrante des prestations dont ils se portent garant.

Aux membres : J’espère que votre MDP japon.org diffère de vos autres password, le cas contraire je vous conseille de tous changer très rapidement.

La bise.

BigInJapan
24/07/2013, 18h24
J'ai aussi reçu le message d'OVS concernant le piratage de la base. Je me rappelle que j'étais au Japon en 2006 quand ils avaient crashé les disques des hébergements mutualisés et qu'ils n'avaient pas de sauvegarde récente des sites web hébergés ! Heureusement j'avais une sauvegarde à jour du mien, mais ça avait gueulé sur les forums çar ce n'était pas le cas de tout le monde !

Bon courage si tu dois tout remettre au propre.

INslay
25/07/2013, 15h13
Yop,

Je ne comprends pas pourquoi des gens tentent de pirater? Le challenge pour avoir le kiki toudur?
A priori le problème vient d'OVH et cela se répercute sur vous...
Je ne vois pas trop l'intérêt d'enquiquiner les gens de longue avec des virus etc... Les grosses structures telles que les états ou les banques peuvent provoquer des envies malsaines mais pour des structures moins grosses *soupir*

J'espère toutefois que vous pourrez régler vos problèmes rapidement :)

zev
25/07/2013, 16h46
Au hasard, utiliser les ressources et transformer le reseau en architecture distribuee pour
- du spam
- miner des bitcoins
- cracker des mots de passe ou des données cryptées...
utiliser les machines comme proxy pour:
- masquer son identite a des fins illegales,
- monter un serveur DNS ou proxy afin de perpetrer des attaques man in the middle et intercepter des donnees non cryptees (numeros de CB),
- rediriger des utilisateurs sur un serveur verole afin de propager des virus et autres backdoors

etc.

INslay
25/07/2013, 17h04
Effectivement.... navré de n'être pas assez malsain pour y avoir pensé mais merci à toi pour ta réponse éclairée :)

En soit, bon courage à vous.

JM
26/07/2013, 17h29
La ré-installation est faite.

Maintenant il faut absolument que vous changiez vos mots de passe, car ils peuvent avoir été piratés.

Gnurou
26/07/2013, 17h43
Un envoi généralisé de MPs ou de mails (ou mieux, un reset forcé du mot de passe avec mail de notification) me semble être une bonne idée vu que tous les utilisateurs ne lisent sans doute pas ce fil.

JM
26/07/2013, 19h10
Envoyez un mail ce n'est pas faisable car il y a plein de gens qui n'ont plus d'adresse valide dans la base de données, donc des tas de mails seraient rejetés.
J'ai donc opté pour l'obligation de lire un sujet "Modifiez votre mot de passe" avant de pouvoir continuer à surfer sur le site.

Cela ne règle pas le problème de ceux qui ne viennent pas souvent.
Si je leur change le mot de passe et que leur adresse mail n'est plus valide, je vais être inondé de demandes persos...

Gnurou
27/07/2013, 10h27
L'affichage d'un message lors de la visite suivantes des utilisateurs (ce que tu viens de faire) me semble être un bon compromis. Les mots de passes sur vBulletin sont sensés être hachés et salés (mmm je sais pas pourquoi mais ça me donne faim moi), mais si la vulnérabilité intervient avant le hachage alors oui on l'a dans l'os. Ca devient dangereux Internet dernièrement. Avec tous ces mots de passe à gérer (et changer) je sais plus trop où donner de la tête...

Si je puis me permettre une petite suggestion pour le site: déléguer l'identification des utilisateurs vers un service tiers (Google, Yahoo ou Face-de-bouc) aurait les avantages suivants:
- Pas de base de mots de passes à gérer chez toi (ça permet de mieux dormir la nuit)
- Moins de mots de passe à gérer pour les utilisateurs du forum (1 de moins en tout cas)
- Pas de compromission des mots de passe en cas de hack du site
- Meilleure sécurité des fournisseurs sus-cités (double autentification, détection d'activité suspecte, etc.)
- 99% des utilisateurs ont déjà un compte Facebook. Le 1% restant (moi) a au moins un compte Google ou Yahoo

Le seul inconvénient que je vois est que je ne pense pas que les services type Tapatalk gèrent ce genre d'identification. Ca reste à vérifier.

Personnellement j'essaie de basculer tous les comptes que je peux sur mon compte Google ou OpenID. Je n'irais pas non plus jusqu'à te demander de supporter ce dernier. ;)

Bravo pour la réactivité suite à ce problème en tout cas, j'imagines que les dernières nuits ont dû être courtes.

PS: ah je viens de remarquer le bouton Facebook en haut de page. Sert-il à s'identifier sur le site au lieu du mot de passe lejapon.org? Si oui, ça serait cool de proposer Google également et d'encourager fortement les utilisateurs existants à migrer vers l'un ou l'autre.

Akeru
28/07/2013, 14h42
ah je viens de remarquer le bouton Facebook en haut de page. Sert-il à s'identifier sur le site au lieu du mot de passe lejapon.org? Si oui, ça serait cool de proposer Google également et d'encourager fortement les utilisateurs existants à migrer vers l'un ou l'autre.

Oui, c'est exactement ça. Tu peux lier ton compte existant avec ton compte Facebook. Malheureusement, vB demande accès à un peu trop de choses (liste d'amis par exemple) à mon gout. En effet, un support Google serait peut-être une bonne idée (et vive Google Authenticator).

Gnurou
28/07/2013, 16h54
Ahhh d'accord. Faut excuser mon ignorance sur le sujet, j'aimerais mieux laisser mes mots de passe visibles en clair sur une page web publique que de faire confiance à Facepuke pour gérer mon identité.

Sinon JM, je suis sûr qu'il doit exister un module vBulletin qui gère l'authentification Facebook/Google/OpenID tout en un. Je reviens sur OpenID qui me semble une bonne idée, Google et Yahoo le gérant. Et j'ajoute un nouvel avantage:

- Les gens qui souhaitent participer au forum pourront le faire sans incription/confirmation par mail fastidieuse

Mais c'est avant tout ma sollicitude pour ton sommeil qui est derrière cette suggestion. ;)

JM
28/07/2013, 17h25
Je ne suis pas vraiment pour la délégation des authentifications aux big brothers; ils en savent déjà bien assez sur nous, donc j'essaye de m'en affranchir au maximum.
Ici (avec vBulletin) il y a bien une association de compte possible mais j'en ai limité les possibilités. Elle permet dans ma config de publier sur Facebook, quand on poste quelque chose ici (si on le veut).
En revanche j'ai désactivé la possibilité d'un utilisateur non inscrit ici de le faire via Facebook (je l'avais activé pendant un temps), car il n'y aurait alors plus de vérification d'email, plus d'IP d'inscription dans la base. En fait plus grand chose pour gérer les spammeurs.

D'autre part imposer une authentification Facebook, Google ou autre empêcherait les membres qui n'ont pas ce genre de compte de s'inscrire. Je suis sur que c'est la majorité qui n'en ont pas ou qui ne les utilisent pas ou peu.
D'ailleurs alors que sur le site on peut associer son compte avec celui de Facebook (c'est proposé à l'inscription, puis c'est possible sur son compte), très peu de membres le font. 53 seulement pour être exact.

En plus, bien que j'ai créé une application Facebook pour le forum (possibilité de voir le forum dans Facebook), cela n'amène pas vraiment les gens sur le site. C'était pourtant le but.
Bref! rajouter encore plus une couche Facebook au site ne ferait que les diriger vers un autre site, et ce n'est pas vraiment le but.

Enfin, il y aurait également les problèmes d'authentification an cas d'upgrade du site, et faudrait tout revoir. Donc pour l'instant je préfère en rester au système actuel.

J'ai vérifié pour OpenID mais il n'y a pas de plugin qui fonctionne pour vb 4 (il y en a eu un pour vb 3 je crois).

Sur le fond, je ne pense pas qu'il y ait de gros problème de piratage de compte. Les hackers se focalisent plus sur les accès directs au serveur, les comptes admin.

fengrim
29/07/2013, 02h07
Les hackers se focalisent plus sur les accès directs au serveur, les comptes admin.

Oui. Pour ce qui est des membres, le but du jeu est de hacker les boites mail. Cela n'est que possible si le MDP japon.org est similaire avec celui du compte mail renseigné lors de l'inscription.