Bonjour à tous,
Au Retzien on a une net recrudescence du piratage chez nos hébergés. (serveur de site web mutualisés sous Debian/ISPconfig)
J’ai mis en place (en test) des mesures curatives : Utilisez vous un anti-malware / un scanner de code PHP? mais forcé de constater que ça revient vite, doit y avoir des trous dans la raquette…
Nous utilise le mode php « php-fpm ». Qui permet un bon cloisonnement. Le code PHP est lancé avec un utilisateur restreint par virtualhost (et plus www-data pour tout le monde comme il fût un temps) ce qui évite une contagion sur d’autres hébergés quand un hacker arrive à exécuter du code malveillant. Mais ce mode à (a mon avis) un inconvénient majeur c’est qu’on a plus besoin de faire de chmod pour permettre l’écriture dans des répertoires. Vu que l’utilisateur qui exécute PHP est le même que celui avec lequel on dépose nos fichiers sur le serveur (par FTPS/SFTP/SSH). Pourtant je ne cesse de lire les louanges de ce mode php-fpm sur le net.
J’ai l’impression que le mode PHP Fast-CGI permettrai de réduire la surface d’attaque parce que PHP en Fast-CGI a besoin qu’on modifie les permissions de fichier (chmod) pour écrire. Mais de ce que je lis c’est pas l’idéal en production du coup je suis un peu perdu… si vous avez des lumières à apporter je suis content.
(j’ai observé beaucoup de modification du index.php du wp-config.php de fichier dans wp-include… Des trucs qui normalement ne sont pas accessibles en écritures, d’où ma question… a noter que ces fichier, une fois décontaminé sont re-contaminé très peu de temps après (dans les 24h) alors qu’il n’y a pas de tâche cron, que le wordpress est à jour, peu de plugin…)
Les mesures déjà prisent :
- Crowdsec et ces scénarios pour wordpress (brutfeorce) + http…
- Sur les wordpress en particulier
- Mise à jour forcé des wordpress tous les lundi : David / wp-cli-isp · GitLab
- Les plugins et thèmes inactifs sont supprimés
- Les tâches cron bloqué (sauf à passer par le panel ISPconfig)
- Blacklist IPSUM GitHub - stamparm/ipsum: Daily feed of bad IPs (with blacklist hit scores)
- portsentry… et peut être d’autres trucs…
Si vous avez d’autres idées à soumettrez sur d’autres mesures préventive je suis preneur !
(par exemple, j’hésite à généraliser sur les wordpress le changement d’emplacement WP_CONTENT) :
define( ‹ WP_CONTENT_DIR ›, ‹ /var/www/blabla.fr/web/inside › );
define( ‹ WP_CONTENT_URL ›, ‹ https://www.blabla.fr/inside › );
Bon là je focalise sur Wordpress parce que c’est ce qui est le plus courant sur nos serveurs - et le plus courant sur le web, donc le plus attaqué… - mais y’a aussi du spip et autres qui sont aussi touchés…
David