OVH a lancé une nouvelle alerte ce soir à ses clients inscrits sur leurs mailings listes.
Une nouvelle fois une vague massive de scans de phpMyAdmin (et d'autres softs open source) est en cours depuis plusieurs jours et des attaques anciennes ont été lancées sur les machines vulnérables.
Je viens de contrôler les logs de mes machines, elles font partie de celles qui subissent régulièrement les scans. Pour le moment aucun n'a abouti à une attaque, mais j'en ai raz le bol de mettre à jour les softs chaque semaine sur tous les serveurs. Par conséquent, je viens de retirer phpMyAdmin de mes hébergements.
Comme indiqué sur le site d'Olf Software à compter de ce jour phpMyAdmin est interdit sur mes machines et je fournirai dans les jours qui viennent une version isolée sur une machine séparée pour tous mes clients.
Si vous avez installé phpMyAdmin sur l'un de vos sites ou serveur, chez moi ou ailleurs, pensez soit à le protéger par htaccess (le dossier complet, pas juste le programme de connexion), soit à le retirer purement et simplement et utiliser la version fournie par votre hébergeur.
Dans les logs de scans, j'ai trouvé des perles qui démontrent que les développeurs de ces logiciels open source n'ont (ou n'avaient) aucune notion de sécurisation de quoi que ce soit. Ca saoule de voir des bidouilleurs avoir un tel potentiel de nocivité sur l'internet en général juste par manque de réflexion... sur des logiciels que nous sommes trop nombreux à considérer comme des références et à installer massivement !
Quoiqu'on en dise, les logiciels propriétaires ont un gros avantage par rapport aux logiciels open source : leurs failles ne sont pas décelables facilement car leur source n'est pas lisibles par ceux qui passent leur temps à chercher un moyen d'attaquer tout le monde. Ok les logiciels open source sont corrigé plus vite, mais voilà, leurs utilisateurs ne sont pas au courant ou ne font pas les mises à jour, ce qui revient au même par rapport aux logiciels propriétaires.
Voici quelques rappels pour vos sites :
- n'utilisez que des logiciels à jour et vérifiez qu'ils le restent
- appliquez systématiquement tous les correctifs disponibles (même si ceux ci entraînent d'autres bogues)
- n'utilisez que le strict nécessaire, évitez d'installer tout et n'importe quoi juste parce que quelqu'un vous a dit que c'était bien, si ce n'est ni utile, ni utilisé
- lorsque vous faites des tests, faites les en dehors de vos sites, soit en local (WAMP, EasyPHP et d'autres solutions vous permettent de travailler sans serveur sur PC comme sur Mac) soit sur un hébergement séparé du reste et que vous effacez complètement après vos tests
Si vous programmez :
- testez systématiquement tous les paramètres que l'on passe à vos programmes,
- n'utilisez JAMAIS de chemin d'accès en paramètre ni de nom de fichier sans l'avoir au préalable contrôlé (les trucs du style ?page=modele/mapage.html est à proscrire car on peut très bien mettre ?page=/etc/htpasswd et afficher les mots de passe du serveur quand celui-ci 'est pas sécurisé)
- utilisez systématiquement une fonction d'échappement lorsque vous passez des paramètres à une requète SQL : mysql_real_escape_string() est à privilégier par rapport à tout le reste
Et pensez systématiquement à faire des sauvegardes de votre travail, que votre hébergeur en fasse de son côté ou pas (et je rappelle au passage que je n'en fais pas pour les données de mes clients, donc prenez vos précautions).
Une dernière chose : sauf cas particulier sur lesquels je n'ai pas eu le choix, safe_mode et openbase_dir sont configurés sur tous les hébergements que je propose.
Ce n'est pas pour le plaisir d'embêter mes clients à gérer proprement les chemins d'accès aux programmes ou les droits sur les fichiers, c'est qu'à force de voir des failles dans des sites de clients qui en impactaient d'autres, j'ai été contraint de les mettre en place. Ca vous saoule pour créer des dossiers via Apache, c'est normal, mais il y a des façons d'éviter le soucis et de rester sécurisé grâce à ces protections. Ne les désactivez que si je vous l'autorise et que si nous n'avons pas trouvé d'autre solution.
Bizarrement, les logiciels qui ont un soucis avec le safe_mode sont justement des logiciels open source alors que des développements faits maisons, proprement, l'ont rarement...
Tout ceci étant dit, prenez vos précautions dès maintenant si vous avez un logiciel open source sur votre site : vérifiez que les accès à sa configuration n'utilisent pas les mots de passe par défaut, que le dossier d'admin est bien sécurisé et que le logiciel concerné est à jour.