Je viens de constater que plusieurs de mes sites ont subi des tentatives de hack. Le 14/10/2010, dans les deux sites concernés, une grande partie des pages ont été marquées par des scripts indésirables du type :
J’ai effacé ces scripts, qui apparaissaient systématiquement en bas des pages php, et dont je ne comprends pas la fonction : si quelqu’un comprend ce que ça signifie ? Je précise que tous mes sites (sous Wordpress) sont à jour et que j’avais changé mes mots de passe récemment.
Un admin d’Ouvaton m’a conseillé de passer en ftpes, ce que j’ai fait.
J’ai eu aussi quelque chose du genre sur un site que j’héberge – mais qui était sans CMS. Visiblement, c’était le poste de la personne qui le gérait qui était infecté, et chaque fois qu’elle modifiait une page, un code malicieux s’y ajoutait.
Sinon, la plupart du temps, c’est un trou de sécurité du CMS qui est exploité (juste avant la mise à jour). Plus rarement un piratage du mot de passe – nous avons eu des cas chez Ouvaton, mais c’était quand le mot de passe était identique au nom du site.
Je crois que si tu fais la mise à jour du site, que tu supprimes le code indésirable, que tu changes les mots de passe… eh bien tu fais tout juste. Je ne vois pas trop ce qu’on peut faire d’autre.
Je me rends compte que ça fait une centaine de pages sur divers serveurs ftp à corriger unes à unes à la main… pfff… Faut dire que j’ai plusieurs sites, plusieurs hébergeurs, et qu’ils sont reliés entre eux. Galère… Ce serait bien qu’ouvaton ait un outil de blocage des scripts de ce genre, et de repérage automatique, parce que c’est vraiment trop compliqué de tout corriger comme je le fais : il doit bien exister un logiciel d’admin qui ferait ça automatiquement, non ?
Ouaip, c’est sûr que ce serait un plus… Il ne faut pas oublier que Ouvaton, c’est nous, pas l’infogérant! À la base, nous avions voulu une plate-forme dans laquelle nous avions beaucoup de liberté. Cette liberté a été un peu contrôlée au fil du temps à cause de la stabilité des serveurs — très sensibles aux surcharges, bloqués par les listes noires… Mais il demeure que chacun sur son espace est responsable de ce qu’il met (ou ce qu’on lui met), de sa propre sécurité et de celle des autres coopérateurs, de contrôler qu’il n’y a pas de choses indésirables. Si nous voulons nous donner des outils pour faire de la veille proactive, c’est nous qui devons les proposer.
De mon côté, je ne connais pas grand chose… Pourrait-on écrire des scripts qui détectent ce genre de plaisanteries? Existe-t-il des outils (genre spamassassin) qui tournent en permanence et lancent des alertes?
Je ne sais pas quels seraient les outils disponibles, mais c’est vrai que ce serait bien que chacun puisse avoir les moyens techniques de contrôler les attaques : on a beau mettre à jour ses CMS, changer ses passwords, etc., les pirates s’adaptent. J’ai réussi à virer tous les scripts de mes pages, mais quel boulot ! Heureusement que les pirates n’étant pas toujours des flèches, ils laissent des traces repérables : je me suis basé sur les dates de modif des fichiers, toujours les mêmes. En tout cas, une appli qui pourrait être lancée de chez soi et qui contrôlerait chaque fichier php ou javascript, avec une simple recherche d’occurrence, ça serait bien. Ca plus un truc qui permette d’analyser les logs. On peut faire ça avec Dreamweather, mais pas en ligne me semble-t-il. Et s’il faut aspirer tous nos sites pour faire ces contrôles, c’est pas simple.