Moodle en français: Piratage

Pour faire suite au fil http://moodle.org/mod/forum/discuss.php?d=116284 qui date de 2009.

Je viens d'être victime d'un piratage de ma plate forme (Moodle 1.9 - mise à jour en novembre suite au même problème, mais à l'époque je n'avais pas détecté qu'il s'agissait d'un piratage et avais tout réinstallé à neuf).

Quelques indications pour aider d'autres éventuelles victimes :

- les symptômes : fichiers pdf corrompus, ne s'ouvrent plus dans Moodle - fichiers .doc déposés dans les "devoirs" par les étudiants et téléchargés sur mon PC illisibles avec Word (ouverture de la boite de dialogue encodage, signes cabalistiques qq soit l'encodage choisi) - fichiers .docx ok, mais ouverture après un message d'alerte "contenu illisible"

- comment j'ai vu qu'il s'agissait d'un piratage : les fichiers php dans le dossier racine de mon moodle étaient tous à la date d'hier alors qu'ils avaient été installés en novembre

- j'ai recherché dans le forum et vu ce fil : http://moodle.org/mod/forum/discuss.php?d=116284

- j'ai alors édité les fichiers et vu du code ajouté

La solution :

- j'ai écrasé tous les fichiers système de Moodle avec des fichiers neufs (mise à jour de Moodle)

- j'ai viré le code suspect du fichier config.php : code avant la ligne <?php /// Moodle Configuration File + une ligne $CFG->passwordsaltmain = .... ; avec un mot de passe crypté

- j'ai modifié le CHDIR des fichiers du dossier racine de Moodle pour interdire l'écriture (404 au lieu de 604)

Apparemment, tout fonctionne à nouveau... à voir d'ici quelques jours quand tout le monde aura de nouveau fait les opérations qu'il a l'habitude de faire.

Je vais voir maintenant dans les logs du site pour tenter de voir d 'où vient l'attaque...

UNE DEMANDE : si quelqu'un a des conseils pour sécuriser davantage encore les choses, je suis preneur, car deux attaques en un an, cela me suffit amplement (la première était un peu de ma faute : Moodle pas à jour depuis un moment)

Moyenne des évaluations Utile (1)

Re: Piratage

par Patrick Pollet, jeudi 15 mars 2012, 02:13

Bonjour,

Bienvenue au club

Plus sérieusement si tu t'es fait modifier le fichier config.php avec du code supplémentaire au début, tu dois te poser la question de 'comment ils sont entrés ?' . Une faille de Moodle (peu probable avec une version de Novembre 2011) ou une faille d'un autre logiciel installé qui donnerait un accès 'root' à toutes tes applications. Chez moi c'était un phpmyadmin mal sécurisé qui acceptait des connections de n'importe ou. L'idée de base de l'attaquant est d'obtenir un accès 'root' sur ton serveur puis de tripatouiller ensuite des fichiers config.php qui sont à peut-près tout le temps inclus par les applications.

Il faudrait que tu regardes AUSSI et peut-être SURTOUT ce qui est en ligne sur ton serveur Moodle (phpBB, joomla, drupal ....) et qui ne serait pas à jour ; bien sur le système sous-jacent (LAMP ou WAMP) est aussi bien à jour ?

A+

Moyenne des évaluations Utile (1)

Re: Piratage

par Bruno PARMENTIER, jeudi 15 mars 2012, 21:58

Je confirme l'hypothèse : sur le même hébergement j'ai un Joomla pas à jour ; j'y fais aussi des tests de systèmes web et il peut rester ici ou là des éléments... JE VAIS DONC ENTREPRENDRE UN GRAND NETTOYAGE DE PRINTEMPS, METTRE A JOUR JOOMLA ET CHANGER TOUS LES MOTS DE PASSE...

Et voir avec ma direction pour prendre un deuxième hébergement (je suis en mutualisé chez OVH, c'est pas la ruine) et isoler Moodle du reste des systèmes hébergés.

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, vendredi 16 mars 2012, 03:35

Joomla, et surtout ses extensions, sont connus pour être une véritable passoire... dont les trous sont facile à trouver.

Mise à jour très fréquente nécessaire !

Métonnerais pas que l'entrée soit là !

Éric

Moyenne des évaluations -

Re: Piratage

par Nicolas Martignoni, vendredi 16 mars 2012, 19:48

Je confirme pour Joomla: beaucoup de trous, notamment dans de (trop) nombreuses extensions mal programmées.

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, jeudi 15 mars 2012, 02:51

On y est tous passés !

Le fait d'écraser tes fichiers moodle ne te met pas en sécurité car le méchant aurait pu rajouter un ou 2 fichiers qui n'auraient pas été supprimés par un écrasement...

Il faudrait mieux faire une install correcte en ayant vidé tout ton répertoire.

Comme dit patrick, regarde aussi les autres sites installés.

Coté serveur : firewall qui ne permet que du http / https, tout le reste bloqué, même FTP. SSH et SFTP éventuellement autorisé que sur une ou 2 adresses IP spécifiques.

Changer les mots de passe admin, et encourager les users à changer leurs mots de passes : une base en MD5 peut facilement se lire surtout si tu n'as pas mis de grain de sel. Problème important si ce sont les utilisateurs qui ont fixés leur pass, car souvent le même sur leur messagerie et autre services (facebook...).

Les logs pourront t'en apprendre certainement.

Tu peux poser un antivirus pour analyser les fichiers uploadés.

Sécuriser ton serveur :

Quel est l'OS ?
Installer un Fail2ban pour limiter le brute force
Interdire les IP type chinoise ou russes si pas de raison d'être...
Regarde ça aussi : y'a des idées intéressantes pour limiter des risques http://perishablepress.com/5g-blacklist-2012/
Tu peux aussi installer un honey pot qui pourrais bloquer certaines tentatives... http://www.projecthoneypot.org/ en metttant le lien adéquat sur ton thème (et sur tous tes sites quitte à faire)
Quels autres site installés ?
Mise à jour très régulière
Changer les mot de passe du serveur aussi, pas que des sites...
...

Comme Patrick, je ne pense pas que Moodle soit la porte d'entrée, en tout cas, chez moi c'était toujours d'autres sites ou des erreurs humaines.

Et n'hésite pas à porter plainte ! Faudrait pas qu'on nous dise que la criminalité baisse...

Éric

Moyenne des évaluations Utile (2)

Re: Piratage

par Bruno PARMENTIER, jeudi 15 mars 2012, 22:17

Je suis en hébergement mutualisé (OVH), je ne peux donc pas intervenir au niveau des serveurs ; et je n'ai ni le temps ni la compétence pour mettre en place mes propres serveurs (on est une petite structure et je suis enseignant et formateur, accessoirement administrateur) - comme souvent, je ne pense pas être le seul -, on "bidouille" et on est donc à la merci des c....... qui s'amusent avec nos bidouillages.

Si j'étais sûr qu'un candidat décréte la nomination d'un spécialiste informatique et web dans chaque structure d'enseignement ou de formation, je voterai pour lui

Moyenne des évaluations -

Re: Piratage

par Séverin Terrier, jeudi 15 mars 2012, 22:28

A propos de candidat, et d'informatique (libre), voir cet article concernant les logiciels open source.

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, vendredi 16 mars 2012, 03:38

Même sur du OVH en mut tu dois pouvoir faire pas mal de trucs avec un .htaccess bien formé...

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, jeudi 15 mars 2012, 03:06

J'avais pas fait attention au « Moodle pas à jour depuis quelques temps ».

En effet, il y a eu des failles ces derniers temps... mais des patchs aussi !

En tant qu'admin, tu dois recevoir un mail expliquant et encourageant la mise a jour avant que l'info ne passe plus publiquement (il faut s'abonner je ne sais ou, mais si c'est pas le cas, on retrouvera).

Ça te laisse réagir pour faire l'update avant que l'info ne passe vers trop de monde, y compris des étudiants qui veulent s'amuser.

Je t'encourage pour les prochains sites à regarder du coté du cvs et git, l'update est très pratique ! (il faut rentrer dedans, mais une fois les commandes principale connues, ça va bien).

Éric

Moyenne des évaluations -

Re: Piratage

par Bruno PARMENTIER, jeudi 15 mars 2012, 21:49

Je reçois bien les annonces de mises à jour, mais je n'avais pas fait ce qu'il fallait à temps...

Le problème, que je dois partager avec beaucoup de Moodleurs, c'est que je suis enseignant et formateur AVANT d'être administrateur de systèmes web... donc pas toujours le temps de faire à temps ce qu'il conviendrait de faire.

Moyenne des évaluations -

Re: Piratage

par Pascal Maury, jeudi 15 mars 2012, 23:26

J'ajouterais le conseil d'utiliser CVS ou GIT pour installer Moodle. Ainsi, il est facile d'avoir la liste des fichiers qui diffère de la version "officielle".

Après je dis ça, si ce n'est pas "votre métier" c'est tout sauf évident. (NB pr utiliser CVS ou GIT, il faut un acces SSH sur le serveur).

Moyenne des évaluations -

Re: Piratage

par Séverin Terrier, jeudi 15 mars 2012, 23:58

Il pourra(it) être (très) utile que les personnes utilisant déjà GIT prennent un peu de temps pour écrire (ou traduire) la documentation en français, adaptée à Moodle

Moyenne des évaluations Utile (1)

Re: Piratage

par Daniel Méthot, vendredi 16 mars 2012, 00:19

Impuissant mais compatissant.

J'ai eu à subir cela deux fois depuis mes débuts avec Moodle.

Parfois je blackliste certaines adresses IP quand je peux avoir des soupçons.

Mais c'est du bricolage.

On devrait punir très sévèrement ceux qui s'amusent à ennuyer les autres et aussi ceux qui achètent des domaines pour ennuyer les concurrents ou les revendre avec plus-value. Je connais ça aussi.

A mettre dans un programme de candidat...

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, vendredi 16 mars 2012, 03:44

Portez plainte !

Je rigole pas, c'est important... peu de monde le fait, alors y'a pas grand risque à « s'amuser » por les petits scripts kiddies !

Qu'est-ce que tu feras d'une adresse IP que tu auras trouvée au fin fond de tes logs, toi ?

Une fois, j'ai eu du bol, j'ai coincé un élève par l'IP, mais c'était un coup de bol, car tu n'est quand même pas hyper précis pour le clampin moyen !

Y'a des gens formés pour ce genre de tache et ils ont quand même plus d'expérience... et surtout plus de moyens.

Et faut bien arriver à faire rentrer le piratage dans les stats, vu le temps qu'on perd quand ça nous arrive, ça me fait un peu ch... de voir que la criminalité numérique baisse de manière importante !

A d'autres !

Éric

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, vendredi 16 mars 2012, 21:41

Un truc comme ça ?

http://docs.moodle.org/all/fr/maintenir_par_git

Qu'il faudrait d'ailleurs peut être déplacer ici : http://docs.moodle.org/all/fr/Git_pour_administrateurs

Eric

Moyenne des évaluations Utile (1)

Re: Piratage

par Séverin Terrier, vendredi 16 mars 2012, 23:41

Merci beaucoup Éric pour cette documentation utile

Je me suis permis, suite à ta suggestion, de copier le contenu dans la page Git pour administrateurs (plus adaptée), et d'y apporter quelques corrections, avant de supprimer la première.

Séverin

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, vendredi 16 mars 2012, 03:47

Pareil pour moi... prof avant tout... admin en //

Mais tu verras, après avoir passé pas mal de temps sur ton serveur pour le remettre en route en ayant toujours le risque que tu sois passé à coté de qqch, que la prochaine fois que tu recevras un message de mise à jour tu réfléchiras à deux fois avant de le supprimer sans faire la mise à jour

Éric

Moyenne des évaluations -

Assistance technique

Piratage

Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Empowering educators to improve our world

Moodle

Support

Get Involved

Contributions

Downloads

Tracker

Development

Empowering educators to improve our world