site hacker

[Bruno]

Ça change pas mal de choses au contraire. Tu te réveilles un matin, ton site est défacé. Tu récupères tes sauvegardes de ton serveur fonctionnant sous linux et tu découvres deux virus pour Windows. Qu'est-ce que tu en conclus et que vas-tu faire ?

Maintenant, Tu te réveilles un matin, ton site est défacé. Tu récupères tes sauvegardes de ton serveur fonctionnant sous Windows et tu découvres deux virus pour Windows. Qu'est-ce que tu en conclus et que vas-tu faire ?

Il me semble que le comportement à adopter est légèrement différent.

Dans les deux cas, le comportement à adopter est de ne pas stocker les sauvegardes sur ton serveur hébergeant le site. Une bonne sauvegarde se fait sur une machine dédiée et géographiquement éloignée de la 1ere. Et les exploits Linux, c'est pas ça qui manque.

Mais bon, tu vas sans doute me dire que tu ferais exactement la même chose dans les deux cas... "Regarder les logs, nettoyer et changer mes mots de passes" est suffisamment vague pour s'appliquer aux deux...

Peu importe l'OS, machine hackée = machine à réinstaller. Regarder les logs d'une machine hackée, c'est juste pour le fun.
-----

[JPL]

C'est le partage de ressources entre plusieurs clients, ça n'implique pas qu'il y ait un serveur physique pour autant de clients.

Quelle que soit la structure du "nuage" il est bien évident que pour un hébergement mutualisé on va finir par retrouver plusieurs sites sur le même serveur physique et tournant avec le même Apache : il faut bien remplir (raisonnablement) les disques et exploiter le temps processeur, même si par exemple les bases sql ne sont pas sur le même serveur qu'Apache.

[Bruno]

Quelle que soit la structure du "nuage" il est bien évident que pour un hébergement mutualisé on va finir par retrouver plusieurs sites sur le même serveur physique et tournant avec le même Apache : il faut bien remplir (raisonnablement) les disques et exploiter le temps processeur, même si par exemple les bases sql ne sont pas sur le même serveur qu'Apache.

Bah non, pour un même site tu vas tomber sur un serveur différent à chaque requête. Les serveurs Apache traitent les requêtes http de tout le monde et ils ne font que ça (ils n'ont pas de disque). Pour de l'hébergement mutualisé amateur, tu as raison : on fonctionne en effet en remplissant progressivement des serveurs qui font tout, éventuellement avec un second serveur dédié au SQL. Cette façon de faire est intenable à grande échelle.

[JPL]

Je rappelle que je parlais uniquement d'hébergement mutualisé, ce qui est le cas pour le problème exposé dans cette discussion.Dans ce cas la faille permettant l'introduction frauduleuse peu être dans n'importe lequel des sites hébergés, pas forcément le sien.

[Bruno]

Mais je n'ai jamais cessé de te parler d'hébergement mutualisé. Au risque de me répéter, ce que tu décris n'est pas possible parce que chaque site est enfermé dans son espace propre (on parle de chroot). Donc même si un site A est hacké, le hacker ne peut pas remonter plus haut, le hack ne menace en rien la sécurité du site B.

[invite6e083fba]

Dans les deux cas, le comportement à adopter est de ne pas stocker les sauvegardes sur ton serveur hébergeant le site.

Je suis d'accord. Mais entre ce qu'il faudrait faire et ce qui est réellement fait, il y a une différence. Partir du principe que tout le monde a de bonnes pratiques est quelque chose que je ne me risquerais pas à faire, surtout quand au final un site web est défacé.

Et les exploits Linux, c'est pas ça qui manque.

Exploitable à distance, pas tant que ça et surtout (ce qui me semble le plus important) en quelques heures l'exploit est souvent devenu obsolète. Que ce soit sur serveurs ou sur ordinateurs desktop.

Bien sûr, je n'affirme pas que "linux c'est mieux, nah !". Ce que je disais, c'est qu'en standard, il me semble être plus sécurisé qu'une machine windows du fait de sa politique de sécurité générale, du peer review et de la présence, la plupart du temps, de moins de démons à écouter ce qu'il se passe au dehors ou bien ils sont mieux construits.

Peu importe l'OS, machine hackée = machine à réinstaller. Regarder les logs d'une machine hackée, c'est juste pour le fun.

Pour la première partie, je suis assez d'accord... Mais les raisonnements du type "on ne sait jamais" ne me plaisent pas outre mesure... Mais bon, si c'est si facile de réinstaller une ghost image.

Par contre, pour la deuxième partie, je ne suis pas d'accord du tout ! Les logs, c'est un moyen simple de savoir ce qu'il s'est passé ! Juste réinstaller une sauvegarde en faisant comme s'il ne s'était rien passé, c'est du délire. Quand on ne peut pas avoir accès aux logs, ben il faut faire avec. Mais je doute qu'un mec qui déface un site ait la volonté de rester discret et s'emmerder à effacer les traces.
Ce genre de réaction primaire relevant du réflexe conditionnel me dépassent complètement. En somme, tu me dis de ne pas chercher à comprendre, de réinstaller et de prier pour que je ne subisse pas encore une attaque. En voilà un beau programme !

[Bruno]

Je suis d'accord. Mais entre ce qu'il faudrait faire et ce qui est réellement fait, il y a une différence. Partir du principe que tout le monde a de bonnes pratiques est quelque chose que je ne me risquerais pas à faire, surtout quand au final un site web est défacé.

Dans le cas qui nous intéresse, on parle d'hébergement mutualisé, donc les sauvegardes sont faites par l'hébergeur. L'hébergeur en question est le n°1 en Europe, la question de savoir s'ils font leurs sauvegardes sur Windows ou Linux est peu pertinente, pour ne pas dire trollesque.

Exploitable à distance, pas tant que ça et surtout (ce qui me semble le plus important) en quelques heures l'exploit est souvent devenu obsolète. Que ce soit sur serveurs ou sur ordinateurs desktop.

Le plus important c'est que la machine soit administrée par des professionnels. Entre un débutant sous linux et un expert sous Windows, je ne donne pas chèr du premier !

Ce que je disais, c'est qu'en standard, il me semble être plus sécurisé qu'une machine windows du fait de sa politique de sécurité générale, du peer review et de la présence, la plupart du temps, de moins de démons à écouter ce qu'il se passe au dehors ou bien ils sont mieux construits.

Oui, sauf qu'on parle d'hébergement mutualisé, que ça tourne sous Windows ou Linux ne change donc rien au niveau de la sécurité (sauf si hébergeur incompétent). Si on a un site en ASP, je m'inquièterais plus de la sécurité d'un Linux bidouillé que d'un Windows qui gère ça nativement.

Pour la première partie, je suis assez d'accord... Mais les raisonnements du type "on ne sait jamais" ne me plaisent pas outre mesure... Mais bon, si c'est si facile de réinstaller une ghost image.

C'est pourtant ce qui se passe si le hacker a eu les droits root, on ne sait pas ce qu'il a fait ! Réinstaller une machine en un simple reboot, ça prend 1 minute et c'est pas sorcier.

Par contre, pour la deuxième partie, je ne suis pas d'accord du tout ! Les logs, c'est un moyen simple de savoir ce qu'il s'est passé ! Juste réinstaller une sauvegarde en faisant comme s'il ne s'était rien passé, c'est du délire.

Si les logs permettent de corriger une faille, bien sur qu'il faut les exploiter (encore faut-il savoir comment; malheureusement les hackers effacent les logs, heureusement c'est impossible en mutualisé). Ca ne change rien à la nécessité de restaurer une sauvegarde propre.

[invite6e083fba]

Dans le cas qui nous intéresse, on parle d'hébergement mutualisé, donc les sauvegardes sont faites par l'hébergeur. L'hébergeur en question est le n°1 en Europe, la question de savoir s'ils font leurs sauvegardes sur Windows ou Linux est peu pertinente, pour ne pas dire trollesque.

Je ne vais pas répéter 50 fois que je me posais la question de ce que faisais réellement le monsieur partant du principe (erroné) que les serveurs mutualisés proposés par OVH était disponibles sous les deux plate-formes. Si un gars te dis qu'il a installé avast! sur son serveur windows et que quand il a récupéré ses sauvegardes, il s'est rendu compte que ces sauvegardes contenait des virus. Tu ne te poses aucune question et ce genre d'administration te semble normal et à conseiller ?

Le plus important c'est que la machine soit administrée par des professionnels. Entre un débutant sous linux et un expert sous Windows, je ne donne pas chèr du premier !

Un professionnel a beau être un professionnel, si une faille critique a été découverte sur apache, l'élément déterminant est bien la rapidité de la correction de la faille. Sinon, je vois difficilement, sauf à déployer un autre serveur web pour prendre le relais comment tu peux garder ton site en sécurité ET ne pas interrompre le service.

Oui, sauf qu'on parle d'hébergement mutualisé, que ça tourne sous Windows ou Linux ne change donc rien au niveau de la sécurité (sauf si hébergeur incompétent). Si on a un site en ASP, je m'inquièterais plus de la sécurité d'un Linux bidouillé que d'un Windows qui gère ça nativement.

Je suis d'accord. Mais on ne parle pas d'une utilisation standard, seulement d'exemples. Et je le répète, ma réflexion sur linux était sans doutes mal venue (bien qu'OVH se sert massivement de l'OS, mais bon, ils auraient pu tout déployer sous windows, c'est kiffe-kiffe pour un serveur... D'ailleurs comme chacun sait, google et microsoft eux-même pour leurs serveur MSN ont toujours utilisé windows server), mais le but n'était pas de faire naître un troll.

Quand tout est géré par des professionnels, alors, c'est sûr, tout marche bien. Considérant qu'un critère de professionnalité est justement qu'il est apte à tout bien faire fonctionner, on sombre dans le raisonnement circulaire.

Ben oui, quand un serveur est configuré de façon sécurisé, il est sécurisé. Ça par exemple, c'est étonnant.

C'est pourtant ce qui se passe si le hacker a eu les droits root, on ne sait pas ce qu'il a fait ! Réinstaller une machine en un simple reboot, ça prend 1 minute et c'est pas sorcier.

Oui, je sais, ce que je disais n'était pas ironique, c'était dans le but de préparer l'intervention sur la deuxième partie de phrase.