THELIA Forum

Welcome to the THELIA support and discusssion forum

Offline

#1 Thélia 2 piraté ?

(01-11-2017 11:52:58)


Bonjour,

Je viens de recevoir un message de mon hébergeur OVH indiquant ceci :

Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque. Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : monclient.com
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : /images/x86.r3/lib/ld-linux.so.2 --library-path /images/x86.r3/lib/i386-linux-gnu:/images/x86.r3/usr/lib:/images/x86.r3/usr/lib/i386-linux-gnu:/images/x86.r3/usr/local/lib:/images/x86.r3/usr/local/php5.6/lib/php-extensions:/images/x86.r3/lib php-fpm: pool decals
Exécutable utilisé : /bin/bash
Horodatage: 2017-10-31 19:10:05

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.

J'ai tenté de retrouver cette commande 'ld-linux.so.2' (une [fausse ?] librairie plutôt...) 

find -type f -exec grep "ld-linux.so.2" {} \; -print

Sortie :

Binary file ./www/site/core/vendor/ensepar/tcpdf/fonts/utils/ttf2ufm matches
./www/site/core/vendor/ensepar/tcpdf/fonts/utils/ttf2ufm
Binary file ./www/site/core/vendor/ensepar/tcpdf/fonts/utils/pfm2afm matches
./www/site/core/vendor/ensepar/tcpdf/fonts/utils/pfm2afm

J'ai étudié les logs bruts. La différence au moment du problème avec tous les autres logs (j'ai comparé sur 2 mois), c'est cette ligne, qui se répète environ 200 fois avec une IP différente dans un laps de temps d'environ 5h tous les 2/3 minutes environs.

[Tue Oct 31 19:05:59 2017] [crit] [client 109.212.129.23] [host www.monclient.com] (13)Permission denied: AH00529: /homez.652/client/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/homez.652/client/' is executable, referer: http://www.monclient.com/courses-et-rallyes.html?category_id=3&page=26

Je précise que l'hébergement (OVH 90plan, oui, y'en a encore...) est utilisé uniquement par ce site. Pas de scripts, CMS ou autres. Je précise qu'il s'agit d'une installation récente de Thelia (2.3.3 ou 2.3.2, j'ai plus accès au BO). Je n'ai installé aucun module. J'utilise le template par défaut. Pas de bidouillage. Le client n'a aucune connaissance technique et ne sais pas accéder à son hébergement pour cette raison. J'ai effectué seulement quelques modification dans le CSS. Je n'ai pas vu de script cron dans l'interface de l'hébergeur (OVH).

Je suis très surpris par cette affaire. Je pensais réellement que la probabilité de piratage d'un outil basé sur des symfony,  plus robuste q'un Joomla ou un WordPress étais très très faible. Il s'agit plus la d'une vraie incertitude plutôt qu'un jugement de valeur sur THELIA.

J'ai besoin d'aide. Si vous avez une piste, n'hésitez pas.

Merci d'avance !

Offline

#2 Re: Thélia 2 piraté ?

(01-11-2017 17:01:42)


ld-linux.so, c'est ce qui permet de charger une librairie partagée. C'est un composant  système du système d'exploitation Linux. Il n'y a pas de rapport direct avec Thelia.

Pour les logs, regarde ici :  https://wiki.apache.org/httpd/PcfgOpenfile

Quant au "script suspect", il n'y a pas assez d'informations dans ce que t'a donné OVH. Demande plus de détails.


CQFDev | Sites, boutiques, modules, développement et intégration pour Thelia 1 et 2

Offline

#3 Re: Thélia 2 piraté ?

(01-11-2017 18:21:17)


Merci pour ton retour.

J'ai prévu de contacter le support OVH à la 1ère heure demain.

Offline

#4 Re: Thélia 2 piraté ?

(02-11-2017 11:36:12)


Mon domaine n'était pas protégé contre le cache-poisoning. J'ai activé la protection.

OVH Orkill, le robot de détection de scripts malveillants à tué un script bash, mais le support OVH ne sait pas me dire lequel. Ça peut représenter des jours de travail si je veux le retrouver, surtout avec si peu de pistes. J'espère que ce script tué par Orkill n'était accessible qu'à cause du cache-poisoning. Quant à l'erreur 'pcfg_openfile: unable to check htaccess file', elle est due au fait que Orkill a modifié les droits pour rendre le site inaccessible, et non au script malveillant.

Je ne peux rien faire d'autre. Je vais réouvrir le site en espérant que l'activation de la prtotection contre le cache-poisoning suffise, mais j'en doute.

Merci pour ton aide.

Offline

#5 Re: Thélia 2 piraté ?

(02-11-2017 12:07:33)


Le "script bash" en question, on dirait que celui qui fait tourner l'instance de php-fpm qui exécutait un script php.

A vue de nez, c'est un faux positifs.


CQFDev | Sites, boutiques, modules, développement et intégration pour Thelia 1 et 2

Offline

#6 Re: Thélia 2 piraté ?

(02-11-2017 12:16:03)


roadster31 wrote:

Le "script bash" en question, on dirait que celui qui fait tourner l'instance de php-fpm qui exécutait un script php.

A vue de nez, c'est un faux positifs.

C'est pas un module d'apache ça ? Le problème viendrait de l'hébergeur lui-même ?