Mon serveur piraté

Vous l’avez peut être remarqué, mon blog, ma galerie photos et les dépots FAN ainsi que d’autres sites web que j’hébergerais ont été indisponibles depuis le 18/11/2011.

La cause : un petit hacker très malin qui a réussi à exploiter une faille de sécurité dans les plugins Ajax de mon Zenphoto. il a réussi à supprimer tout le contenu de /var/www appartenant à mon utilisateur www-data. Oui j’avoue j’aurai dû être un plus prudent en changeant le propriétaire de mes applis Web ! ça c’est une autre histoire. En traçant mes logs Apache, j’ai pu comprendre comment il a fait :

  • Grâce au plugin ajaxfilemanager de Zenphoto, il a réussi à télécharger cette petite appli. Pas de soucis, on y retrouve du code source Perl, php SQL, et pas de virus
  • Après avoir extraire le contenu du zip, il a réussi à se connecter à la page http://lkco.gezen.fr/zenphoto/zp-core/zp-extensions/tiny_mce/plugins/ajaxfilemanager/inc/dz.php Le fichier dz.php était contenu dp.zip
  • Enfin, c’est là le drame : la page dz.php fourni au hacker l’équivalent d’un ajaxterm lui permettant de lancer des commandes shell. La fin vous la connaissez.
  • Tout ceci lui a pris environ 10 minutes avant se s’auto-killer lui même

Les plus gros dégâts sont surtout :

  • quelques dépots YUM de FAN qui supprimés et des ISO mais ils ont pu être restaurés
  • mon blog avec toute la customization que j’ai pu apporté ont été perdu. Pas de chance, je n’avais pas fait de sauvegarde

Au niveau de mes comptes utilisateurs système et base de données mysql rien à signaler. A vrai dire j’ai blindé mes comptes d’administrateur avec des mots de passe fort. Voilà tout se reconstruit petit à petit ! Ci-dessous l’interface qui a été utilisé, je l’ai installé sur une vm pour voir à quoi ça ressemblait.

Conclusion : faire des sauvegardes régulièrement, suivre les news des applications que vous utilisez. Et oui, sur le site de Zenphoto, cette faille est corrigé dans la dernière version.