4 attaques de services hébergés: ce que les administrateurs doivent savoir

4 attaques de services hébergés: ce que les administrateurs doivent savoir

On pense que les professionnels expérimentés de l'informatique sont bien protégés contre les escrocs en ligne qui profitent surtout des utilisateurs domestiques crédules. Cependant, un grand nombre de cyber-attaquants ciblent les administrateurs de serveurs virtuels et les services qu'ils gèrent. Voici quelques-unes des escroqueries et des exploits dont les administrateurs doivent être conscients.

E-mails de fishing ciblés

Tout en buvant votre café du matin, vous ouvrez le portable et lancez votre client de messagerie. Parmi les messages habituels, vous repérez une lettre de l'hébergeur vous rappelant de payer à nouveau le plan d'hébergement. C'est la période des vacances (ou une autre raison) et le message offre une réduction importante si vous payez maintenant.

Vous cliquez et suivez le lien et, si vous avez de la chance, vous remarquez que quelque chose ne va pas. Oui, la lettre semble inoffensive. Elle ressemble exactement aux précédents messages officiels de votre fournisseur d'hébergement. La même police est utilisée, et l'adresse de l'expéditeur est correcte. Même les liens vers la politique de confidentialité, les règles de traitement des données personnelles et d'autres absurdités que personne ne lit jamais sont au bon endroit.

En même temps, l'URL du panneau d'administration diffère légèrement de l'URL réelle, et le certificat SSL suscite quelques soupçons. Est-ce une tentative d'hameçonnage (fishing) ?

De telles attaques visant à intercepter les identifiants de connexion et impliquant de faux panneaux d'administration sont récemment devenues courantes. Vous pourriez reprocher au fournisseur de services de divulguer les données de ses clients, mais ne tirez pas de conclusions hâtives. Obtenir des informations sur les administrateurs de sites web hébergés par une entreprise spécifique n'est pas difficile pour des cybercriminels motivés.

Pour obtenir un modèle de courrier électronique, les pirates s'inscrivent simplement sur le site web du fournisseur de services. De plus, de nombreuses entreprises proposent des périodes d'essai. Par la suite, les malfaiteurs peuvent utiliser n'importe quel éditeur HTML pour modifier le contenu du courrier électronique.

Il n'est pas non plus difficile de trouver la plage d'adresses IP utilisée par le fournisseur d'hébergement spécifique. De nombreux services ont été créés à cette fin. Il est alors possible d'obtenir la liste de tous les sites web pour chaque adresse IP de l'hébergement partagé

Ensuite, les escrocs collectent les adresses électroniques des sites web et génèrent une liste de diffusion en ajoutant des valeurs connues comme administrateur, admin, contact ou info. Ce processus est facile à automatiser avec un script Python ou en utilisant l'un des programmes de collecte automatique de courrier électronique. Les amateurs de kali peuvent utiliser TheHarvester à cette fin, en jouant un peu avec les paramètres.

Une série d'utilitaires vous permet de trouver non seulement l'adresse électronique de l'administrateur mais aussi le nom du bureau d'enregistrement du domaine (registrar). Dans ce cas, les administrateurs sont généralement invités à payer le renouvellement du nom de domaine en les redirigeant vers la page du faux système de paiement. Il n'est pas difficile de remarquer l'astuce, mais si vous êtes fatigué ou pressé, il y a une chance de se faire piéger.

Il n'est pas difficile de se protéger contre les diverses attaques de phishing. Activez l'autorisation multifactorielle pour vous connecter au panneau de contrôle de l'hébergement, mettez la page du panneau d'administration dans vos favoris et, bien sûr, essayez de rester attentif.

Exploitation des scripts d'installation du CMS et ses dossiers de service

Qui n'utilise pas un système de gestion de contenu (CMS) de nos jours ? De nombreux hébergeurs proposent un service permettant de déployer rapidement les moteurs de CMS les plus populaires tels que WordPress, Drupal ou Joomla à partir d'un conteneur. Un clic sur le bouton dans le panneau de contrôle de l'hébergement et c'est terminé.

Cependant, certains administrateurs préfèrent configurer le CMS manuellement, en téléchargeant la distribution depuis le site de l'éditeur et en la transférant sur le serveur via FTP. Pour certaines personnes, cette façon de faire est plus familière, plus fiable et plus conforme au feng shui de l'administrateur. Cependant, ils oublient parfois de supprimer les scripts d'installation et les dossiers de service.

Tout le monde sait que lors de l'installation du moteur, le script d'installation de WordPress se trouve à l'adresse wp-admin/install.php. En utilisant Google Dorks, les escrocs peuvent obtenir de nombreux résultats de recherche pour ce chemin. Les résultats de recherche seront encombrés de liens vers des forums discutant des problèmes techniques de WordPress, mais en creusant un peu, il est possible de trouver des options permettant de modifier les paramètres du site.

La structure des scripts dans WordPress peut être visualisée en utilisant la requête suivante :

inurl : repair.php?repair=1

Il est également possible de trouver beaucoup de choses intéressantes en recherchant des scripts oubliés avec la requête :

inurl:phpinfo.php

Il est possible de trouver des scripts de travail pour l'installation du populaire moteur Joomla en utilisant le titre caractéristique d'une page web comme intitle:Joomla ! Web installer. Si vous utilisez correctement les opérateurs de recherche spéciaux, vous pouvez trouver des installations inachevées ou des scripts de service oubliés et aider le malheureux propriétaire à terminer l'installation du CMS tout en créant un nouveau compte d'administrateur dans le CMS.

Pour mettre fin à ces attaques, les administrateurs doivent nettoyer les dossiers du serveur ou utiliser la conteneurisation. Cette dernière solution est généralement plus sûre.

Mauvaise configuration du CMS

Les pirates peuvent également rechercher les problèmes de sécurité d'autres hôtes virtuels. Par exemple, ils peuvent rechercher les failles de configuration ou la configuration par défaut. WordPress, Joomla et d'autres CMS comportent généralement un grand nombre de plugins présentant des vulnérabilités connues.

En premier lieu, les attaquants peuvent essayer de trouver la version du CMS installée sur l'hôte. Dans le cas de WordPress, cela peut se faire en examinant le code de la page et en recherchant des méta-tags comme <nom de la méta = contenu du "générateur" = "WordPress 5.2.5"/>. La version du thème WordPress peut être obtenue en recherchant des lignes comme https://websiteurl/wp-content/themes/theme_name/css/main.css?ver=5.7.2.

Les escrocs peuvent ensuite rechercher les versions des plugins qui les intéressent. Beaucoup d'entre eux contiennent des fichiers texte readme disponibles sur https://websiteurl/wp-content/plugins/plugin_name/readme.txt.

Supprimez ces fichiers immédiatement après l'installation des plugins et ne les laissez pas sur le compte d'hébergement disponible pour les chercheurs curieux. Une fois que les versions du CMS, du thème et des plugins sont connues, un pirate peut essayer d'exploiter les vulnérabilités connues.

Sur certains sites WordPress, les pirates peuvent trouver le nom de l'administrateur en ajoutant une chaîne comme /?author=1. Avec les paramètres par défaut en place, le moteur retournera l'URL avec le nom de compte valide du premier utilisateur, souvent avec des droits d'administrateur. Ayant le nom de compte, les pirates peuvent essayer d'utiliser l'attaque par force brute.

De nombreux administrateurs de sites web laissent parfois certains répertoires à la disposition d'étrangers. Dans WordPress, il est souvent possible de trouver ces dossiers :

/wp-content/themes

/wp-content/plugins

/wp-contenu/téléchargements

Il n'est absolument pas nécessaire de permettre à des personnes extérieures de les consulter, car ces dossiers peuvent contenir des informations essentielles, y compris des informations confidentielles. Interdisez l'accès aux dossiers de service en plaçant un fichier index.html vide à la racine de chaque répertoire (ou ajoutez la ligne Options All -Indexes au .htaccess du site). De nombreux hébergeurs ont cette option par défaut.

A noter que cette faille n'existe pas sous Joomla puisque chaque répertoire est systématiquement livré avec un fichier index.html vide. Un bon point pour ce CMS !

Utilisez la commande chmod avec prudence, en particulier lorsque vous accordez des droits d'écriture et d'exécution de script à un ensemble de sous-répertoires. Les conséquences de telles actions téméraires peuvent être les plus inattendues.

Comptes oubliés

Il y a plusieurs mois, une entreprise est venue me demander de l'aide. Leur site web redirigeait les visiteurs vers des escroqueries comme Search Marquis tous les jours sans raison apparente. Restaurer le contenu du dossier du serveur à partir d'une sauvegarde n'a pas aidé. Plusieurs jours plus tard, les mauvaises choses se sont répétées. La recherche de vulnérabilités et de portes dérobées dans les scripts n'a rien donné non plus. 

Seule une analyse détaillée des journaux du serveur a permis de trouver la vraie raison. Le problème était un accès FTP "abandonné" créé il y a longtemps par un employé licencié qui connaissait le mot de passe du panneau de contrôle de l'hébergement. Apparemment, non satisfait de son licenciement, cette personne a décidé de se venger de son ancien patron. Après avoir supprimé tous les comptes FTP inutiles et modifié tous les mots de passe, les problèmes ont disparu.

Soyez toujours prudent et vigilant

L'arme principale du propriétaire de site web dans la lutte pour la sécurité est la prudence, la discrétion et l'attention. Vous pouvez et devez utiliser les services d'un hébergeur, mais ne leur faites pas aveuglément confiance. Aussi fiables que puissent paraître les solutions prêtes à l'emploi, pour être sûr, vous devez vérifier vous-même les vulnérabilités les plus typiques de la configuration du site. Ensuite, au cas où, vérifiez tout à nouveau. Et si vous pensez ne poas pouvoir le faire vous-même n'hésitez pas à faire appel à des professionnels pour sous-traiter votre sécurité et votre maintenance !




Agerix : Agence digitale Gauloise
4 rue Jean Moulin 33310 Lormont, France , Tel:+33 5 35 54 92 03 , Fax:+33 9 72 14 74 74 , E-mail: contact(at)agerix.fr
Confidentiel Agence Agerix © 2019 S.A.R.L au capital de 8500 euros. RCS Bordeaux 812 619 062.
A.P.E 6202A N° identification T.V.A FR42812619062