1. Conseils d'expertsConseils d'expertsConseils d'expertsConseils d'experts
1)1)1)1)Prévention et traitement du “hack” dePrévention et traitement du “hack” dePrévention et traitement du “hack” dePrévention et traitement du “hack” de
serveursserveursserveursserveurs
2. 2
Prévention et traitement du “hack” de serveursPrévention et traitement du “hack” de serveursPrévention et traitement du “hack” de serveursPrévention et traitement du “hack” de serveurs :
Un serveur "hacké". Tous les propriétaires de serveurs espèrent que cela ne leur arrivera
jamais. Voilà pourquoi nous vous donnons quelques conseils pour vous en prémunir mais
aussi quoi faire si cela vous arrive. Dans notre prochaine note nous vous expliquerons les
actions à réaliser si votre serveur a été hacké. Afin de protéger votre serveur d’un hack nous
vous recommandons d’appliquer les actions suivantes.
PRÉVENTIONPRÉVENTIONPRÉVENTIONPRÉVENTION ::::
ETAPE 1ETAPE 1ETAPE 1ETAPE 1 –––– Choisissez un mot de passé compliquéChoisissez un mot de passé compliquéChoisissez un mot de passé compliquéChoisissez un mot de passé compliqué
Choisissez toujours des mots de passe compliqués. Lors de l’installation de votre serveur un
mot de passe complexe vous est assigné. Faites de même pour tous les autres mots de passes
(base de données, ftp, mail, etc.) ou si vous modifiez votre mot de passe Root ou
Administrateur depuis votre console SSH ou votre Bureau à Distance (TSE). Aussi simple que
cela puisse paraître, choisissez un mot de passe qui est très complexe. Par exemple: P @
ssw0rd n'est pas particulièrement sûr.
ETAPE 2ETAPE 2ETAPE 2ETAPE 2 –––– Ne les laissez pas trainerNe les laissez pas trainerNe les laissez pas trainerNe les laissez pas trainer
Ne laissez pas trainer vos mots de passe et assurez-vous de désactiver l’option
d’enregistrement de mots de passe dans votre navigateur web. Votre ordinateur peut
également être piraté et le stockage des mots de passe par votre navigateur peut être
dangereux.
ETAPE 3ETAPE 3ETAPE 3ETAPE 3 –––– Installez un bon antivirus sur votre ordinateurInstallez un bon antivirus sur votre ordinateurInstallez un bon antivirus sur votre ordinateurInstallez un bon antivirus sur votre ordinateur
En outre, les keyloggers ou enregistreurs de frappe (un type particulier de virus qui enregistre
les frappes sur votre ordinateur) peuvent essayer de comprendre vos mots de passe et les
transmettre à une tierce personne qui peut en abuser. Assurez-vous que vous avez
correctement installé un logiciel anti-virus sur votre ordinateur pour éviter cela.
ETAPE 4ETAPE 4ETAPE 4ETAPE 4 –––– AssurezAssurezAssurezAssurez----vous que les applications sur votre serveur sont uniquement disponiblesvous que les applications sur votre serveur sont uniquement disponiblesvous que les applications sur votre serveur sont uniquement disponiblesvous que les applications sur votre serveur sont uniquement disponibles
aux utilisateurs qui laux utilisateurs qui laux utilisateurs qui laux utilisateurs qui lui sont rattachésui sont rattachésui sont rattachésui sont rattachés
Avoir des applications largement disponibles pour tous les utilisateurs ayant accès au serveur
(quelles en ait la permission ou non) peut entrainer des abus par ces dernières.
Exemple : Dans le cas où seuls certains utilisateurs peuvent travailler avec FTP / SSH sur votre
serveur, assurez de restreindre ces accès par firewall en filtrant les adresses IP et n’autorisez
que les vôtres.
3. 3
ETAPE 5ETAPE 5ETAPE 5ETAPE 5 –––– Lancez régulièrement des scans pour chrootkits, virus, etc.Lancez régulièrement des scans pour chrootkits, virus, etc.Lancez régulièrement des scans pour chrootkits, virus, etc.Lancez régulièrement des scans pour chrootkits, virus, etc.
Surveillez votre serveur en utilisant une application tel que Watchdog. Si vous trouvez que
certaines applications sont à l'origine de problèmes qui ne peuvent être liés à vos sites Web, il
est possible qu’il y ait un autre problème sur votre serveur. Watchdog vous offre aussi un
contrôle serveur pour les rootkits et les virus.
Attention : Watchdog vous informera aussi quand un composant de votre serveur n’est plus à
jour. Il est recommandé de les mettre à jour SAUF si vos applications nécessitent une version
spécifique du composant.
ETAPETAPETAPETAPE 6AE 6AE 6AE 6A –––– Supprimez les fichiers inutilesSupprimez les fichiers inutilesSupprimez les fichiers inutilesSupprimez les fichiers inutiles
Assurez-vous de ne pas publier en ligne de la documentation / Readme / journaux de logs ou
d’autres empreintes nécessaire au fonctionnement de certaines applications. Cela peut
faciliter les tentatives d’accès des hackeurs à vos données et vos sites Web.
ETAPE 6BETAPE 6BETAPE 6BETAPE 6B –––– Choisissez avec soin les droits que vous avez mis en place pour les applicationsChoisissez avec soin les droits que vous avez mis en place pour les applicationsChoisissez avec soin les droits que vous avez mis en place pour les applicationsChoisissez avec soin les droits que vous avez mis en place pour les applications
Très souvent, les fichiers et / ou les applications sont téléchargées avec chmod 777. Cela
signifie que n'importe qui peut accéder aux fichiers : les lire, y écrire ou les exécuter. Si cela
n'est pas nécessaire, bloquer ces droits afin que seuls les utilisateurs appropriés y aient
accès.
ETAPE 6CETAPE 6CETAPE 6CETAPE 6C –––– AssurezAssurezAssurezAssurez----vous de stocker des données sensibles dans un format sécurisé, commevous de stocker des données sensibles dans un format sécurisé, commevous de stocker des données sensibles dans un format sécurisé, commevous de stocker des données sensibles dans un format sécurisé, comme
uneuneuneune base de donnéesbase de donnéesbase de donnéesbase de données
Malheureusement, de nombreuses personnes continuent d'utiliser de simples fichiers textes
pour stocker des données sensibles. Ces fichiers ne sont pas cryptés et, dans le cas où ils
finissent dans les mains de pirates, peuvent être utilisés pour toutes sortes d'actions
indésirables.
ETAPE 6DETAPE 6DETAPE 6DETAPE 6D –––– AssurezAssurezAssurezAssurez----vous que le contenu que vous publiez ne peut pas être détournévous que le contenu que vous publiez ne peut pas être détournévous que le contenu que vous publiez ne peut pas être détournévous que le contenu que vous publiez ne peut pas être détourné
Le contenu peut être utilisé pour lancer des hacks sur les autres, assurez-vous donc de
protéger celui-ci.
Exemple : une chose répandue, l’injection (My)Sql (en savoir plus sur Wikipédia).
ETAPE 6EETAPE 6EETAPE 6EETAPE 6E –––– Les logiciels gratuits ne le sont pas toujoursLes logiciels gratuits ne le sont pas toujoursLes logiciels gratuits ne le sont pas toujoursLes logiciels gratuits ne le sont pas toujours
Sur internet vous pouvez trouver de nombreuses versions gratuites d’application (Web) qui
sont normalement payantes. Très souvent, ces applications contiennent du code pouvant être
utilisé pour retrouver vos données sécurisées.
4. 4
ETAPE 7ETAPE 7ETAPE 7ETAPE 7 –––– AssurezAssurezAssurezAssurez----vous d'avoir une sauvegarde de vos donnéesvous d'avoir une sauvegarde de vos donnéesvous d'avoir une sauvegarde de vos donnéesvous d'avoir une sauvegarde de vos données
Si vous rencontrez un problème avec votre serveur et que vous devez le réinstaller ou le migrer
vers un nouveau, le moyen le plus rapide de retrouver tout en ligne le plus rapidement possible
est de posséder une sauvegarde de vos données pouvant être transférer facilement. Assurez-
vous de stocker ces sauvegarde dans un autre endroit que votre serveur.
Ne prenez aucun risque ! Protégez votre serveur et votre dur labeur !Ne prenez aucun risque ! Protégez votre serveur et votre dur labeur !Ne prenez aucun risque ! Protégez votre serveur et votre dur labeur !Ne prenez aucun risque ! Protégez votre serveur et votre dur labeur !
Malheureusement les hacks sont fréquents, c’est pourquoi nous vous donnons quelques
instructions sur ce qu’il faut faire si votre serveur en est victime.
TRAITEMENT:TRAITEMENT:TRAITEMENT:TRAITEMENT:
HACK 1HACK 1HACK 1HACK 1 –––– Votre motVotre motVotre motVotre mot de passé Root a été changéde passé Root a été changéde passé Root a été changéde passé Root a été changé
Dans le cas où votre mot de passe Root a été modifié, vous pouvez utiliser le Recovery Mode
disponible depuis votre Espace Client. Cet outil vous permettra de monter votre disque en
mode recovery pour le “chrooter” et changer le mot de passe Root. Une fois modifié, «
démontez » le disque et redémarrez votre serveur en mode normal.
>> Gardez en tête que tant que votre serveur est en mode recovery, tous vos sites Web, emails,
etc. seront en indisponibilité.
HACK 2HACK 2HACK 2HACK 2 –––– Votre motVotre motVotre motVotre mot de passe Plesk a été changéde passe Plesk a été changéde passe Plesk a été changéde passe Plesk a été changé
Dans le cas où le Hack 1 et Hack 2 ne sont pas apparus simultanément, vous pouvez modifier
votre mot de passe Plesk en utilisant le SSH. Dans le cas où le mot de passe Root et Plesk ont
été modifiés tous les deux, corrigez d’abord le Hack 1 puis le Hack 2. En SSH entrez :
#cat /etc/psa/.psa.shadow
Le mot de passé sera affiché.
Dans le cas où le “shadow file” a été supprimé, vous devez :
#/etc/rc.d/init.d/psa stopall
(stoppe tous les services Plesk)
#/usr/local/psa/mysql/bin/safe_mysqld –skip-grant-tables &
ou
#/usr/bin/safe_mysqld –skip-grant-tables &
(Démarre MySQL, et se passe de la table [password])
#/usr/local/psa/mysql/bin/mysql mysql
(Journaux de MySQL)
#use mysql;
5. 5
#FLUSH PRIVILEGES;
#SET PASSWORD FOR admin=PASSWORD (’your-password-here’);
(copier l’intégralité de cette commande et remplacez ‘your-password-here’ avec votre nouveau
mot de passe)
#exit
(Retour à mysql, vous êtes connectés dans le shell en tant que Root)
#killall mysqld
ou
#/etc/rc.d/init.d/mysqld restart
(Stoppe le mysql daemon.)
#/etc/rc.d/init.d/psa start
(Démarre Plesk, qui démarrera mysql daemon avec le nouveau mot de passe)
HACK 3HACK 3HACK 3HACK 3 –––– Votre boîte mail est hackéeVotre boîte mail est hackéeVotre boîte mail est hackéeVotre boîte mail est hackée
La solution de ce problème dépend de la façon dont votre boîte aux lettres a été mise en place.
Dans le cas où votre boîte mail se trouve sur la plate-forme Amen (donc pas sur votre serveur) :
Connectez-vous à votre Espace Client Amen, sélectionnez le nom de domaine concerné.
Cliquez sur EMAIL et configurer votre boîte aux lettres. Ici, vous aurez la possibilité de changer
le mot de passe de votre boîte mail.
Dans le cas où votre boîte mail est sur Plesk :
Connectez-vous à votre serveur et sélectionnez le domaine. Aller dans les comptes de
messagerie et sélectionnez l’adresse concernée. Dans les options de préférence vous pouvez
changer le mot de passe.
HACK 4HACK 4HACK 4HACK 4 ---- Apparition ou disparition de fichiers sur le FTPApparition ou disparition de fichiers sur le FTPApparition ou disparition de fichiers sur le FTPApparition ou disparition de fichiers sur le FTP
Dans un cas comme celui-là, une personne a probablement volé votre nom d’utilisateur et
votre mot de passe FTP.
Vous devez définir de nouveaux noms d’utilisateur et mots de passe. Tout comme le adresses
mails cela peut être fait de deux façons.
Si vous utilisez le FTP Amen (et non le FTP Plesk) :
Connectez-vous à votre Espace Client et sélectionnez le domaine concerné. Allez dans la
rubrique FTP (si vous avez un pack Hébergement Linux ou Windows vous devrez le sélectionner
auparavant). Supprimez l’utilisateur existant et créez en un nouveau avec un autre mot de
passe que l’ancien.
Dans le cas où vous utilisez le FTP de Plesk :
Connectez-vous à votre serveur et sélectionnez le domaine concerné. Allez dans la rubrique
Web Hosting Settings. De là vous pourrez changer les paramètres du FTP.
Si vous utilisez Plesk 10 vous pouvez avoir plusieurs utilisateurs. Supprimez-les et créez-en de
nouveaux.
6. 6
Si vous utilisez des utilisateurs gérés via SSH vous devrez les supprimer depuis le SSH.
HACK XHACK XHACK XHACK X –––– Votre application a été hackée / vous ne savez pas exactement ce qui a été hackéVotre application a été hackée / vous ne savez pas exactement ce qui a été hackéVotre application a été hackée / vous ne savez pas exactement ce qui a été hackéVotre application a été hackée / vous ne savez pas exactement ce qui a été hacké
Si votre application a été hackée ou si vous pensez que votre serveur a été complètement
hacké, la meilleure chose à faire est de réinstaller votre serveur. Cela peut être fait très
facilement depuis votre Espace Client et vous permettra de reprendre avec un serveur propre.
Cela implique un temps d’arrêt pour vos sites Web. Cependant c’est le meilleur moyen d’être
sûr que plus personne n’a accès à votre serveur.
Quand vous effectuez cette opération, il est très important que vous ayez une sauvegarde de
vos données. Assurez-vous de TOUJOURS avoir à disposition une sauvegarde propre !
Quel que soit votre cas n'hésitez pas à prendre contact avec notre équipe technique pour toute
information complémentaire en passant par la rubrique Assistance de votre Espace Client.
7. Amen, keep it simple!Amen, keep it simple!Amen, keep it simple!Amen, keep it simple!
Information:Information:Information:Information: nos experts sont disponibles à tout moment pour vous aider ! Vous pouvez commander les
produits souhaités directement sur notre site ou par téléphone:
Assistance:Assistance:Assistance:Assistance:
0811 88 77 440811 88 77 440811 88 77 440811 88 77 44
Du lundi au vendredi 9h - 19h (appel local)
Service commercial:Service commercial:Service commercial:Service commercial:
0811 88 77 660811 88 77 660811 88 77 660811 88 77 66
Du lundi au vendredi 9h - 19h (appel local)