Moodle en français: Piratage

Bonjour,

Je croix qu'on a été piraté ce vendredi 27 avril, des utilisateurs se sont plaints de ne pas pouvoir se connecter à la plate forme. En vérifiant les historiques, j'ai trouvé qu'un utilisateur avec la même adresse IP a modifié les mots de passes de plusieurs utilisateurs comme s'il s'est connecté avec leur propre compte et a modifié leur mot de passe, je suis presque persuadé que cela soit un piratage car en regardant l'historique des utilisateurs qui se sont plaints, j'ai vu comme si, il se sont connectés avec cette adresse IP puis ils ont changé leur mot de passe mais ils m'ont dit qu'ils n'ont jamais modifié leur mot de passe. j'aimerai seulement savoir comment cela a pu se produire et comment dois je régler ce problème ?

Je vais poster le même message dans le forum anglais

merci d'avance pour votre aide

Moyenne des évaluations -

Re: Piratage

par stephane ngov, lundi 30 avril 2018, 04:50

Bonsoir cette adresse ip est apparemment en localisation belgique.

Est ce vraiment un piratage ? ou une personne ou un robot qui tente de "jouer" avec moodle.

- les mots de passe en hash sont t'il les mêmes pour chaque membres concerné ?

- il y a t'il d'autres éléments sur les fichiers log de apache pour d'autre piste pour voir les erreurs ?

- il y a t'il des plugin qui générerais ces erreurs de modification de mot de passe ?

il y a qu'a déjà bannir cette adresse ip au niveau du firewall.

Moyenne des évaluations -

Re: Piratage

par mimi nom, lundi 30 avril 2018, 05:12

Merci pour votre réponse

Pour l'IP, j'ai utilisé ce site pour la localiser et apparemment c'est en Russie

Justement j'aimerai que quelqu’un me dise s'il s'agit vraiment d'un piratage

non, chaque utilisateur à son propre mot de passe

j'ai pas encore consulté les logs apache et je n'y ai pas accès d'ici, je vais le faire demain

on a installé des plugins qu'on utilise déjà depuis des années, mais en décembre 2017 on a installé un nouveau plugin, il s'agit du module "Game" mais nous n'avons pas eu de problèmes

C'est bon, c'est fait, l'adresse IP a été bloquée, mais je me dit qu'il pourrait facilement changer d'adresse IP

Moyenne des évaluations -

Re: Piratage

par Daniel Méthot, lundi 30 avril 2018, 16:13

Bonjour,

Votre site est-il en mode sécurisé (https) ?

Je ne suis pas spécialiste de ces sujets mais je suis étonné qu'au niveau de votre hébergement et surtout au niveau de Moodle quelqu'un aie pu découvrir les mots de passe de certains utilisateurs.

Surtout si vous avez fixé des critères assez durs pour la création des mots de passe dans votre Moodle.

En plus dans la base de données je crois qu'ils sont cryptés et même l'administrateur ne peut les déchiffrer.

Moyenne des évaluations -

Re: Piratage

par Nicolas Martignoni, lundi 30 avril 2018, 16:30

Impossible à confirmer si c'est un piratage ou non sans avoir accès au contenu du serveur. Voyez avec votre administrateur système, qui pourra faire un diagnostic.

Cependant, si la version de Moodle est une version qui n'est plus supportée ou qui n'a pas les derniers correctifs de sécurité, c'est très vraisemblable que le site ait été piraté.

Moyenne des évaluations -

Re: Piratage

par Bruno Malaval, lundi 30 avril 2018, 19:32

Bonjour,

C'est étrange comme log
Il y a un point particulier dans votre historique :

A chaque fois, vous avez quelques lignes indiquant visiblement q'un utilisateur a changé son mot de passe
< The user with id 'xxxxxx' changed their password >

Mais une autre ligne s'intercale avec :
< The user with id '0 changed the password of the user with id 'xxxxx' >

L'id 0 est utilisé pour désignée une action réalisé par Moodle lui-même, c-à-d une action effectuée par le système.

Il serait peut-être intéressant de voir toutes les actions effectuées depuis cette adresse IP. Pas seulement les changements de mots de passe.

Y-a-t'il eu une connexion depuis cette IP ? si oui, avec quel compte ?
Vous pouvez également demander à votre administrateur système de rechercher dans les logs d'apache, les traces concernant cette IP. Afin de voir pas quelles pages il est passé ...

Bruno

Moyenne des évaluations -

Re: Piratage

par mimi nom, lundi 30 avril 2018, 22:11

Bonjour,

J'ai exécuté la raquette suivante sur la table mdl_user comme on me l'a suggéré dans le forum en anglais : "select username,lastip from mdl_user where lastip like '81.200.22.135';"

le résultat est ce qui est affiché sur l'image:

c'est comme si ce pirate s'est servi de cette adresse IP pour se connecter à tous ces comptes (presque 3000 comptes), puis il a modifié les mots de passe, je veux juste vous préciser une chose, les comptes affectés sont les comptes des étudiants de première année qui n'ont pas modifié leur mot de passe par défaut, car on leur impose pas la modification des mots de passe par défaut. A mon avis, il s'agit d'une personne qui dispose des noms d'utilisateurs et des mots de passe par défaut de ces étudiants.

je vais vérifier à présent les logs apache pour voir si cette adresse apparaît quelques part

Pour la version de Moodle 3.02+

Moyenne des évaluations -

Re: Piratage

par stephane ngov, mardi 1 mai 2018, 03:04

ce qui est intéressant c'est de savoir quel genre de requête à fait cette adresse ip,

récupérer tous les lignes de cette adresse ip dans access.log et erreur.log de apache, et de voir ce que le client à fait comme action sur

ce serveur.

Moyenne des évaluations -

Re: Piratage

par mimi nom, mardi 1 mai 2018, 05:17

Bonjour,

le seul fichier log ou j'ai trouvé la date du 27 avril 2018 est le fichier error.log.1 et aucune trace de cette adresse IP à l'intérieur, je n'ai pas trouvé cette adresse nul part. Est-ce que cela veut dire cette personne n'a pas accédé au serveur?

Je suis également intéressé de savoir comment il a procédé, dans la première capture d'écran que j'ai posté (l'historique) dans l'onglet "Origin" c'est indiqué "Web" alors cette personne a peut être fait ça à travers le web et non pas en accédant au serveur, non?

Moyenne des évaluations -

Re: Piratage

par mimi nom, mardi 1 mai 2018, 22:11

Bruno Malaval, moi aussi, je trouve ça étrange de voir ce genre de ligne: (j'ai modifié l'image pour que le vrai nom de l'étudiant n’apparaît pas):

mais je me dit qu'étant donné que c'est arrivé à la même minute alors c'est peut être normale, c'est l'utilisateur qui a changé son mot de passe avec l'aide du système. Avez vous ce genre de ligne dans vos logs ?

Mais ce que je trouve plus étrange c'est que j'ai trouvé à peu près 4 lignes comme la suivante mais pas avec la même adresse IP:

avez vous ce genre de ligne dans vos logs ?

dans le message que j'ai posté dans le forum anglais (voir ici) Ken Task, ne trouve pas que ce soit un véritable piratage mais c'est peut être quelqu'un qui connait les identifiants de ces étudiants qui a fait ça, et il m'a suggéré de voir les logs des navigateurs afin de comprendre comment cette personne à procéder car selon lui, cette personne s'est servie d'un navigateur web pour faire ça , personnellement, je ne sais pas si on dispose de ce genre de log, en tout cas, je vais vérifier

Oui Daniel Méthot le site est entièrement en https

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, mardi 1 mai 2018, 23:37

Bonjour,

Moodle et le serveur sont-ils à jour ? Il y a des failles régulièrement découvertes, donc à partir du moment ou c'est connu si tu ne fais pas tes mises à jour, ça craint. Pense aussi aux autres site sur le même serveur.
En voyant les log, je suppose que c'est Moodle ou l'admin (user id = 1) qui a généré les nouveaux mots de passe pour les utilisateurs. Vu que ça se passe en quelques minutes, il est clair qu'il ne s'est pas embêté à se connecté sous le compte student 1 pour modifier son mot de passe manuellement puis de passer au suivant. J'en déduis que :

soit il a un script qui se connecte, change le password puis se déconnecte, et dans ce cas qu'il a accès à une liste de compte + pass de tous les utilisateurs
soit il est connecté en tant qu'admin il change chaque mot de passe. Import CVS ou scripté je suppose. Je penche la dessus.

J'en déduis que le compte admin (qui doit avoir un nom utilisateur du genre administrateur ou admin, non ?) est compromis (mot de passe utilisé sur autre site ? un mot de passe doit avoir une utilisation unique), et qu'une fois sur la plateforme il peut faire ce qu'il veut sans que moodle ne tilte, ni que tu voies quoique ce soit de bizarre coté log apache : les opérations sont valides.
tu devrais tout de même voir son adresse IP dans les log apache non pas d'error, mais ceux qui log les opérations permises : généralement access.log mais peut être personnalisées. Si tu ne vois cette adresse nulle part, c'est plutôt mauvais signe : c'est que le pirate a fait le ménage des logs et dans ce cas, c'est pas ton moodle, mais ton serveur qui est compromis.

À faire :

faire une sauvegarde des tes bases / sites / logs à conserver à part en cas d'analyse plus poussée ultérieure
rechercher les fichiers modifiés récemment par date (voir si activité suspecte sur serveur)
mettre à jour Moodle en supprimant les fichiers avant et réécrivant le config.php (au cas ou un script.php pas sympa se serait caché quelque part)
changer le password admin par un pass fort et unique (existe-il un authentification à 2 facteurs ? je ne crois pas)
si ton compte admin est utilisé ailleurs : modifie le de partout (d'ou l'intéret d'un pass à utilisation unique)
changes les pass de tous tes users par de nouveaux mot de passe
changer le salage de mot de passe (utile ???)
mettre à jour ton serveur
mettre en place un système de check automatique de logs genre : fail2ban et de rootkit genre : chkrootkit sur le serveur.
checker les log access et error
par .htaccess interdire les adresses de pays type russie, chine, corée sauf si tes utilisateurs ont un accès nécessaires depuis ces pays
si d'autres services / sites partagent le serveur : même opération sur l'update et password. Une récupération des tables MySql ne sont pas impossibles et pourrait impacter les autres sites.
vérifier le comportement des connexion sur les prochains jours voir si ton serveur est compromis. Une fois rentré, un pirate reviens souvent...
Porter plainte : c'est fou comme on est découragé a porter plainte et qu'ensuite on entend que la criminalité baisse... Tu pourrais même avoir l'aide des pros pour analyser les logs : les université travaillant avec des grosses entreprises peuvent être une porte d'entrée très intéressante pour les méchant pirates.

Courage !

Éric

Moyenne des évaluations Utile (1)

Re: Piratage

par mimi nom, mercredi 2 mai 2018, 03:51

merci pour votre message

si cette personne s'est connecté en tant qu'admin, normalement, elle aurait du tous modifier ou bien tous supprimer mais ce n'est pas le cas, cette adresse IP n'a rien créé et n'a rien supprimé, juste modifier les mots de passe des étudiants de première année qui n'ont pas pas modifié le mot de passe par défaut. En général ce qu'il fait est de se connecter avec le compte de l'étudiant, changer son mot de passe puis se déconnecter:

mais ou vais-je déposer plainte ?

je viens d'imposer le changement de mot de passe à tous les utilisateurs de la plate forme, mais à la fin il m'affiche certain utilisateurs qui n'a pas réussi à imposer le changement du mot de passe, j'aimerai savoir s'il y a un moyen pour connaitre le nombre d'utilisateur que le système a réussi à imposer le changement du mot de passe

merci de votre aide

Moyenne des évaluations -

Re: Piratage

par Bruno Malaval, mercredi 2 mai 2018, 15:19

Bonjour,

Je n'ai pas les mêmes traces, vu que notre authentification est basée sur un serveur CAS.

Par contre, j'ai fait qq essais sur notre serveur de test, et j'ai vu les choses suivantes :

Si l'utilisateur change son mot de passe une fois connecté, il n'y a dans l'historique que la ligne :
< The user with id 'xxx' changed their password. >
Si l'utilisateur demande une réinitialisation de son mot de passe par la page de login, dans ce cas on a la ligne
< The user with id '0' changed the password of the user with id 'xxx' >

La compromission dans ce cas serait plutôt au niveau des boîtes mails.

Avec une boîte mail compromise, le processus serait :

Demander la réinitialisation du mot de passe sur la page de login
Par la boîte mail, utiliser le lien pour mettre un nouveau mot de passe
Se connecter
Modifier à nouveau le mot de passe

Cela pourrait se voir dans les logs de votre système de messagerie.
Il faudrait regarder s'il y a des traces d'envoi de mails de réinitialisation

Concernant les utilisateurs pour lesquels on impose le changement de mot de passe, c'est inscrit dans la table mdl_user_preferences
Il faut rechercher tous les id d'utilisateur pour lesquels le paramètre name = auth_forcepasswordchange et value = 1

Il faut construire une requête SQL avec la table mdl_user pour ressortir tous les utilisateurs qui ont ( ou n'ont pas ) ce paramètre.

Bon courage, pas toujours évident de tout remonter lorsque l'on a un problème de sécurité

Bruno

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, mercredi 2 mai 2018, 16:31

Reflexion...

Est-ce que ton moodle demande une validation par mail en cas de changement de mot de passe ?

Si oui, le problème n'aurait pas eu lieu car la validation n'aurait pas pu se faire, sauf si :

le changement a lieu directement dans la BDD : pas ton cas d'après les logs moodle
le pirate a réussi à contourner ce paramètre (modif config ou faille ?)
il a pu se connecter aux boites mail pour valider (mais n'aurait-on pas une autre entrée dans les logs ?) et ça serait un peu plus long... d'yun autre coté, si les mêmes utilisateurs ont une adresse mail avec le même mot de passe par défaut...

Eric

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, mercredi 2 mai 2018, 16:18

Et le mot de passe par défaut est le même pour tout le monde ?

Si oui, l'opération n'est pas très compliquée à faire, à partir du moment ou on a une liste d'étudiant... et dans ce cas, il ne faut pas chercher plus loin.

En effet, je n'avais pas vu le connexion > changement pass > déconnexion. Bref : juste pour faire chi... le monde, peut être pas plus...

---

Quel message as-tu pour : " affiche certain utilisateurs qui n'a pas réussi à imposer le changement du mot de passe ". Une liste d'utilisateurs ?

Dans ce cas, c'est plutôt qui que combien, et pourquoi.

---

As-tu l'adresse IP en question dans les log d'access d'apache ?

---

Pour porter plainte, c'est police ou gendarmerie... mais des fois c'est pas rigolo en fonction des personnes en face de toi. D'un autre coté, si jamais personne ne porte plainte quand tu te fais pirater... Les pirates ne risquent rien ! Alors pourquoi s'arrêter ?

Regarde le temps passé, les risques de sécurité, de perte d'information, le cout de l'opération de maintenance au final. Pense aussi à l'image de l'université... surtout qu'avec le RGPD tu dois signaler le problème publiquement...

D'un coté, les pirates risquent absolument rien, et toi tu y perds beaucoup... Perso, je vois ça comme un cambriolage, et si je suis cambriolé, je porte plainte.

Extrait du site de l'ANSSI : https://www.ssi.gouv.fr/en-cas-dincident/

Vous souhaitez déposer plainte en cas de cybercriminalité ?

La cybercriminalité est le terme employé pour désigner l’ensemble des infractions pénales susceptibles de se commettre sur les réseaux de télécommunication ou ciblant ces mêmes réseaux. Cette tentative de définition recouvre deux réalités :

Les infractions spécifiques aux technologies de l’information et de la communication parmi lesquelles :

les atteintes aux Systèmes de Traitement Automatisé de Données (S.T.A.D.) sanctionnées par les articles L.323-1 et suivants du Code pénal

les atteintes aux droits de la personne liés aux fichiers ou traitement informatiques (art. 226-16 à 226-24 du Code pénal / Loi 78-17 du 6 janvier 1978 dite « informatique et liberté » modifiée par la loi 2004-801 du 6 aout 2004).

Les infractions dont la commission est liée ou facilitée par l’utilisation des technologies de l’information et de la communication, parmi lesquelles :

les atteintes aux mineurs (article 227-23 du Code pénal) ;

les infractions à la loi sur la presse (loi du 29/07/1881) ;

les atteintes aux personnes (menaces, usurpation d’identité…) ;

les escroqueries (phishing, fausse loterie, utilisation frauduleuse de moyens de paiement…).

Si vous êtes victime d’infractions mentionnées ci-dessus, vous pouvez directement déposer plainte auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adresser un courrier au Procureur de la République près le Tribunal de Grande Instance compétent.

Il existe également des services spécialisés dans le traitement judiciaire de la cybercriminalité que vous pouvez contacter afin de leur soumettre les faits dont vous avez été victime.

En outre, la Police et la Gendarmerie nationale ont toutes deux mis en place un réseau territorial d’enquêteurs spécialisés en cybercriminalité répartis par zones de compétence. Les Investigateurs en CyberCriminalité (ICC/Police) et les N-TECH (Gendarmerie) sont présents dans les services territoriaux de vos régions.

Eric

Moyenne des évaluations -

Re: Piratage

par mimi nom, mercredi 2 mai 2018, 19:57

Bonjour,

Je vous remercie pour vos réponses, en fait, nous n'utilisons pas d'hôte SMTP car les adresses mail que nous utilisons pour créer les comptes des utilisateurs ne sont pas valides (elles n'existent pas en réalité) donc, si une personne a oublié son mot de passe et veut le récupérer à l'aide de la page login, cela, ne marche pas car l'envoie des e-mails ne fonctionne pas. Car selon les gestionnaires de notre serveur de messagerie, les e-mail invalides nuits au serveur de messagerie, donc nous n'avons pas ajouté un hôte SMTP

Alors comment une boite mail serait compromise alors que le système d'envoi de courrier ne marche pas?

Non, le mot de passe par défaut n'est pas le même pour tout le monde, chacun a son propre mot de passe

pour imposer le changement du mot de passe, j'ai procédé par groupe et ça a marché, d'après ce que j'ai compris, les comptes qui datent de 8 ans et plus ça ne marche pas (à confirmer bien sur, peut être la version de moodle à ce moment la n'autorise pas d'imposer le changement du mot de passe)

Non, je n'ai pas trouvé cette IP dans les logs access.log mais je n'ai pas aussi trouvé toutes les dates

J'ai exécuté la commande suivante que j'ai trouvé ici pour trouver tous les fichiers modifiés le 27 avril 2018, mais rien ne s'est affiché:

find . -type f -newermt "2018-04-27" ! -newermt "2018-04-28"

J'ai un autre soucis, j'ai testé hier l'accès à phpmyadmin de l’extérieur et j'ai réussi à y accéder alors que normalement par défaut l'accès de l’extérieur à phpmyadmin n'est pas possible sur debian

en cherchant dans le fichier "my.cnf" j'ai bien trouvé l'instruction : "bind-address = 127.0.0.1" qui est activée alors je me demande pourquoi j'ai y accès.

Moyenne des évaluations -

Re: Piratage

par Bruno Malaval, mercredi 2 mai 2018, 20:45

Concernant la question des mails :

"Alors comment une boite mail serait compromise alors que le système d'envoi de courrier ne marche pas?"

Vous avez raison, mais il fallait savoir que les boîtes n'étaient pas actives.

C'est dommage de ne pas avoir plus de logs au niveau apache, cela permettrait de connaitre les pages demandées.

Sinon pour phpMyAdmin, c'est "normal".
Le fichier "my.cnf" indique l'ip autorisée pour accéder à MySQL (ou Mariadb). Cela n'a pas de lien direct avec phpMyAdmin.

C'est encore une fois au niveau d'apache qu'il faut gérer l'accès, avec des directives du type Require pour la partie phpMyAdmin, qui permettent d'indiquer quelles sont les IP autorisées.

Lorsque vous accéder à phpMyAdmin par le web, vous accéder à votre serveur web et c'est ensuite lui-même (donc avec l'IP 127.0.0.1) qui effectue les requêtes vers MySQL.

Bruno

Moyenne des évaluations Utile (1)

Re: Piratage

par Éric Bugnet, jeudi 3 mai 2018, 02:02

Bonsoir

OK, on pouvait pas deviner pour les mails inexistants... on émet les idées comme elles viennent avec ce qu'on a.

J'avoue que ça me chagrine que tu n'aies rien dans les logs sur les dates en questions... étrange... les logs « access » ne seraient-ils pas configurés pour se placer à un autre endroit ? Tu peux le paramétrer dans la config du site d'apache... à vérifier.

Quoiqu'il en soit, tu semble avoir repris la main sur ton serveur, je te conseille d'avoir un œuil dessus. Ne peut-on pas créer une alerte en cas de modification de mot de passe ?

Les pages internes à Moodle qui peuvent être intéressantes :

/report/configlog/index.php
/admin/settings.php?section=ipblocker (bloquer des plages d'ardresses IP)
/admin/tool/monitor/edit.php?courseid=0 (recevoir un mail selon évenement)

Mais avec réception par mail...

Éric

Moyenne des évaluations Utile (2)

Re: Piratage

par mimi nom, jeudi 3 mai 2018, 08:30

Bonjour,

Oui, effectivement, vous ne saviez pas que les emails n'existent pas

1/ concernant les log, j'ai revérifié et je n'ai pas trouvé la trace de cette adresse IP sauf dans "access.log" mais c'est juste qu'il indique que j'ai effectué une requête dans la base de données, il s'agit de cette requête:

"select username,lastip from mdl_user where lastip like '81.200.22.135';"

d'ou la présence de cette adresse IP dans ce fichier, je ne m'y connais pas trop en log mais je pense que "access.log" affiche uniquement les accès des administrateurs de la base de données mais pas tous les utilisateurs qui se connecte au serveur (à confirmer bien sur). et je n'ai pas trouvé également cette adresse dans "error.log" le 27 avril 2018. à mon avis, il a fait ça à partir d'un navigateur web, c'est pour cela que son adresse ne se trouve pas dans les logs car les logs ne contiennent pas toutes les adresses IP des internautes qui se connecte au serveur , n'est ce pas?

2/ pour la règle de surveillance, je trouve que c'est une très bonne idée, personnellement, je n'ai connais pas ça, et j'ai lu ici que les notifications peuvent être pop-up pas uniquement par mail, donc, j'ai créé la règle ci-dessous:

et dans les notifications des messages, j'ai coché les cases de notification par fenêtre surgissante pour les notifications d'abonnement à des règles

3/ dans la documentation de moodle concernant la sécurité, il recommande de désactiver l'accès à MySQL par le réseau, alors si j'ai bien compris, le fait que le fichier "my.cnf" contient la ligne "bind-address = 127.0.0.1" alors c'est réglé n'est ce pas? j'aimerai savoir aussi s'il est plus sécurisant que phpmyadmin ne soit pas accessible de l’extérieur, si oui, avez vous de la documentation à me suggérer pour spécifier les adresses IP autorisées car j'ai cherché mais je n'ai pas vraiment trouvé quelques chose d'intéressant (nous avons debian)

pour les mots passes modifiés, étant donné que les email ne sont pas valides et que nous n'utilisons pas de serveur SMTP alors, pour que ces étudiants récupèrent l'accès à leur compte, il doivent venir et nous effectuons les changements manuellement (c'est beaucoup de travail), c'est pour ça que je ne répond pas rapidement aux messages

Moyenne des évaluations -

Re: Piratage

par stephane ngov, jeudi 3 mai 2018, 09:09

"access.log" affiche uniquement les accès des administrateurs

c'est facile de voir si ton accec.log récupère tout les requêtes.

Tu fait un tail -f /var/log/apache/access.log,

avec ton navigateur ton tape ton adresse , et tu demande la page Moodle ou autre même bidon,

ton access.log devrais ajouter une ligne supplémentaire sans être admin, mais un visiteur anonyme, après si tu effaces ces fichiers log tout les X jours , c'est peut être pour ça qu'il n'y a pas de trace , a vérifié ou encore comment est configuré les logs du système.

Sinon que donne les log de MySQL ? peut être fouiller dedans. Si le pirate peut accéder à la base de donnée par une injection SQL peu importe

le cms ou lms, il pourra récupérer toutes le données et les modifiés...

Moyenne des évaluations -

Re: Piratage

par Éric Bugnet, jeudi 3 mai 2018, 14:36

Bonjour.

Par défaut :

error.log enregistre tout ce qui n'a pas marché dans les requêtes apache : image qui n'existe pas, erreur de codage...
access.log enregistre tout ce qui a fonctionné. Quand tu charge une page internet, tu devrais avoir autant de lignes que d'éléments qui ont en effet été chargés : image d’entête → 1ligne... favicon → 1 ligne... et ainsi de suite.

Donc, sauf si paramétrage particulier, le chargement d'une page web pou afficher le profil utilisateur + changer le mot de passe avec l'envoi du formulaire + la page de déconnexion, tu devrais avoir plusieurs lignes.

Comme dit Stéphane : va sur ton site, logue toi et ensuite regarde les logs tout de suite pour voir les nouvelles entrées. Si tu n'as rien, il doit être configurer pour ne pas loguer, ou loguer ailleurs dans un autre fichier (voir config du site sous apache). Si tu vois qqch, tu devrais voir la même chose lors des connexions des pirates aux horaires en question.

Sinon ?

soit les logs ont été purgé par manque de place : voir l'admin du serveur
soit les logs ont été intentionnellement vidés par le pirate pour limiter la traçabilité
soit il a utilisé une solution pour éviter les logs (injection SQL, il devrait tout de même y avoir des traces, non ?)
soit ... ???

Pour la règle, je ne mettrais pas la notion de 10 fois en 1 minute, je la mettrais instantanément (1 fois en 1 minute) : tu risque de recevoir des mails, mais au moins temporairement tu peux veiller au grain.

Et de mon coté j'ai viré phpmyadmin pour utiliser plutôt adminer, qui existe en plus en plugin Moodle : https://moodle.org/plugins/local_adminer

Au cas ou, je précise que je ne suis pas expert : je donne juste mon avis à « haute voix »... ayant déjà été piraté auparavant... (le jour de la rentrée, c'est tellement plus sympa !)

Éric

Moyenne des évaluations -

Re: Piratage

par Bruno Malaval, jeudi 3 mai 2018, 15:32

Tout comme Eric, j'utilise le plugin local_adminer

C'est très pratique pour accéder en tant qu'admin à la bdd, mais j'ai aussi phpmyadmin pour certaines opérations.

Concernant la sécurité et l'accès à phpMyAdmin, il suffit d'utiliser un fichier .htaccess avec la directive Require ip x.x.x.x x.x .......

Au niveau Debian, selon la version Apache, il se peut que ce soit encore les anciennes directives de type allow from ....

Un exemple de configuration ici :

https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-phpmyadmin-on-debian-7

Bruno

Moyenne des évaluations -

Re: Piratage

par mimi nom, jeudi 10 mai 2018, 05:41

Bonjour,

Me revoilà. Concernant les logs, vous avez raison, je n'ai pas configuré les log "acess.log" dans le virtual host de moodle du coups, j'ai trouvé ces logs dans un autre fichier "other_vhosts_access.log" mais il est très volumineux plus de 700M, donc, je vais récupérer uniquement les logs pour une heure précise de cette journée et je vais l'étudier.

pour les logs de Mysql, idem, le fichier "mysql.log"est très volumineux (plus de 500M) mais à mon avis, cette personne s'est servie du web pour faire ça et non pas par injection de requête sql

j'ai exécuté la commande ci-dessous pour afficher les fichiers modifiés ce jour la, en me positionnant dans le répertoire racine "/" mais je n'ai pas trouvé quelques choses de louche. la plupart c'est des fichiers cache du dossier de données de moodle

find . -type f -newermt "2018-04-27" ! -newermt "2018-04-28"

En tout cas, je veux vraiment savoir comment il a fait, du coup, je vais bien étudier les logs et aussi je vais activer les captcha sur la page de connexion afin d'éviter que cela ne se reproduise

je vous remercie tous pour votre aide précieuse

Moyenne des évaluations -

Re: Piratage

par mimi nom, jeudi 10 mai 2018, 07:30

Je me suis documenté un peu plus, et apparemment le catcha est seulement utilisé pour le mode d'authentification "auto-enregistrement par courriel" il n'y a-t-il pas un moyen d'introduire les captcha dans la page de connexion de moodle ? comme ce site que j'ai trouvé en lisant cette discussion

Moyenne des évaluations -

Re: Piratage

par Nicolas Martignoni, jeudi 10 mai 2018, 17:57

Au risque de me répéter (désolé), aucune mesure ne sera vraiment efficace si vous ne mettez pas à jour votre Moodle avec une version récente.

La toute première chose à faire est donc de mettre à jour votre version 3.0.2.

Moyenne des évaluations Utile (1)

Assistance technique

Piratage

Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Re: Piratage

Empowering educators to improve our world

Moodle

Support

Get Involved

Contributions

Downloads

Tracker

Development

Empowering educators to improve our world