Achtung, kein Scherz, diese Seite soll Sie nicht erschrecken, sondern vielmehr im Laufe der Zeit alle guten Ideen und Bemerkungen zu diesem Thema sammeln.

Ein begabter Hacker könnte sich ohne große Spuren einzuschleichen, den RIB Ihres Bankkontos ändern und Ihre Rechnungen an Ihre Kunden mit seinem RIB verschicken … bis Sie das Problem bemerken (normalerweise 1 oder 2 Monate, bis Sie die Kunden erneut anschreiben und ihnen sagen “Sie haben nicht bezahlt” und sie antworten “wenn Sie schauen”) … dann sind Sie im klassischen Fall des Betrugs mit falschen RIBs, der nicht nur den anderen passiert. (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fraude-au-virement-ou-au-faux-rib)

Wenn er weniger ein “Dolibarr-Spezialist” ist, ist es schon eine schöne Trophäe, wenn er die Zugangsdaten und Passwörter für Ihr E-Mail-Konto stiehlt …

• Das ist einfacher zu sagen, wenn es auf Ihrem Server in der Firma oder bei Ihnen zu Hause installiert ist, kappen Sie die Internetverbindung.
• Wenn es sich um ein dediziertes Hosting handelt, stoppen Sie den Webserver (Apache / Nginx), das ist brutal.
• Wenn es sich um ein Shared Hosting (ovh, o2switch…) handelt, stellen Sie eine sFTP-Verbindung her und benennen Sie den Ordner, in dem sich Ihr Dolibarr befindet, um oder gehen Sie zur Verwaltungskonsole Ihres Hostings, um Ihre Website zu deaktivieren.

Dies ist umso dringender, je älter Ihr dolibarr ist. Lassen Sie kein “halbwegs repariertes” dolibarr online, wenn es nicht auf einer “aktuellen” oder “gerade vorherigen” Version ist. (z.B. ist heute die letzte stabile Version 17.0.2, 16.0.5 wird als zuverlässig angesehen, aber lassen Sie z.B. eine 11.0.0 nicht online).

Sie könnten sich sagen: “Der Schuss ist nach hinten losgegangen” … ja, aber nein, gehen Sie nicht schlafen oder warten Sie auf “nächsten Montag”, um weiterzumachen …

Handelt es sich nur um einen Hackerversuch? (Der absolute Horror in diesem Fall ist eine komplette Neuinstallation des Servers, die Sie einplanen müssen, sowie ein Sicherheitsaudit Ihrer Infrastruktur, um zu überprüfen, ob es keine Ansteckung gegeben hat).

In dieser Phase kann nur ein Sicherheits- und Dolibarr-Experte eine wirkliche Analyse der Situation vornehmen.

In jedem Fall sollten Sie die Systemprotokolle Ihres Webservers einsehen (die außerhalb von Dolibarr liegen): kopieren Sie Sie sollten sie so schnell wie möglich löschen, um zu verhindern, dass sie von einer geplanten Aufgabe zur Bereinigung der Logs gelöscht werden (obwohl es normalerweise eine ziemlich lange Aufbewahrungsfrist gibt).

Mit diesen Protokollen können Sie isolieren, welche Anfragen durchgeführt wurden, und so die Realität einschätzen.

Beispiel :

Nicht so schlimm, er hat nur die Flaggen der Länder heruntergeladen … Es wäre doch seltsam, wenn er es dabei belassen hätte!

192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 ...

Ein anderes, viel kritischeres Beispiel: Er hat das Backup Ihrer Datenbank heruntergeladen, betrachten Sie dies als vollständiges Datenleck (siehe den Abschnitt DSGVO am Ende dieser Nachricht).

192.168.99.99 - - [13/Apr/2023:12:24:17 +0200] "GET /document.php?modulepart=systemtools&attachment=1&file=backup%2Fmysqldump_dolibarr_13.0.5_202304131224.sql.gz HTTP/1.1" 200 6349611

Einige ältere Versionen von dolibarr speicherten die Passwörter der Benutzer “im Klartext”. Es ist daher absolut dringend und vorrangig, Ihre Kollegen per Telefon oder SMS zu informieren, aber auf keinen Fall per E-Mail (stellen Sie sich vor, dass ihr E-Mail-Passwort das gleiche ist wie das dolibarr-Passwort, das ist eine schlechte Praxis, aber üblich) … erklären Sie ihnen die Situation und sagen Sie ihnen, dass sie ihr Passwort ändern sollen, wenn es das gleiche in ihrer Mailbox und anderen Online-Diensten ist.

Und selbst wenn Ihr neueres Dolibarr verschlüsselte Passwörter speichert, betrachten Sie sie als geknackt: Der Hacker hat das Ergebnis des verschlüsselten Passworts in seinen Händen und kann mithilfe neuerer Techniken (und/oder großer Rechenkapazitäten) eventuell Ihr Passwort herausfinden. Betrachten Sie es als unverschlüsselt und wenden Sie die gleiche Vorgehensweise an.

Diese Liste ist nicht erschöpfend:

• Das E-Mail-Konto (unter Startseite > Konfiguration > E-Mails) → Ersetzen Sie dringend das Passwort für dieses E-Mail-Konto, da Ihr Hacker dieses E-Mail-Konto benutzen kann, um Spam oder Schlimmeres zu versenden: z.B. Rechnungen mit einem gefälschten IBAN unter Ihrem Namen zu versenden, da sie über Ihren echten E-Mail-Server versendet werden.
• Die E-Mail-Konten der Benutzer, wenn sie so konfiguriert sind, dass sie in Dolibarr mit ihrem Konto E-Mails senden/empfangen können, wenn Sie Add-Ons haben, die das ermöglichen.
• Online-Dienste, die in Add-Ons (oder in den Basismodulen, z.B. das Stripe-Konto) konfiguriert sind - das kann ein Benutzername/Passwort oder ein API-Schlüssel sein.
• …/…

Denken Sie an IHRE Bankdaten, aber auch an die Ihrer Kunden / Lieferanten, wenn Sie diese Informationen in Ihrem Dolibarr speichern.

Vergewissern Sie sich, dass diese Informationen nicht manipuliert wurden, da Sie sonst in einigen Monaten feststellen könnten, dass Sie Geld auf das Konto eines Hackers überweisen, der dachte, er würde Ihren Lieferanten bezahlen. Umgekehrt kann es sein, dass Ihre Rechnungen statt Ihrer Bankverbindung die Bankdaten Ihres Hackers enthalten und Ihre Kunden denken, dass sie Sie bezahlen, indem sie ihnen Geld schicken.

Die beste Lösung in diesem Fall ist es, ein “Diff” mit einem Backup Ihrer Datenbank vor dem Angriff zu erstellen…

Das Ziel des Angreifers war vielleicht nur, Ihr Hosting als Spam-Relay zu nutzen. Das Sicherheitsaudit sollte daher sicherstellen, dass es keine Tools gibt, die zu diesem Zweck installiert wurden.

Es ist auch möglich, dass das Ziel des Angreifers darin bestand, Ihr Hosting als Drehscheibe zu nutzen, um eine andere Website zu hacken. Dies gilt umso mehr, seit es Organisationen gibt, die alle eingehenden Verbindungen von einer geografisch lokalisierten IP-Adresse in bestimmten Ländern ablehnen. Hacker in diesen Ländern richten daher sogenannte “Rebound”-Server ein, von denen auch Ihr Server betroffen sein könnte.

usw.

Wenn der Hacker sich erfolgreich eingeloggt hat, müssen Sie zweifellos die Ad-hoc-Verfahren gemäß dem Gesetz (in diesem Fall der DSGVO) einleiten:

• https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
• https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions

Um zu verhindern, dass eine solche Situation erneut eintritt, sollten Sie die folgenden Maßnahmen ergreifen:

• Aktualisieren Sie Ihr Dolibarr regelmäßig (wenn ein Patch für Ihre Version veröffentlicht wird, installieren Sie ihn sofort, da es sich um einen Patch für die aktuelle Version handelt, z.B. wenn Sie die Version 16.0.4 haben, installieren Sie die Version 16.0.5, sobald sie veröffentlicht wird).
• führen Sie eine echte Backup-Politik ein, das bedeutet unter anderem:
  • Wenn Sie eine Rechnung pro Woche erstellen, ist das nicht dasselbe, wie wenn Sie 100 Rechnungen pro Stunde erstellen.
  • Stellen Sie sich die Frage: Bin ich bereit, eine Stunde Arbeit, vier Stunden Arbeit, acht Stunden Arbeit oder eine Woche Arbeit zu verlieren?
• Verlegen Sie Ihre Datensicherungen
  • auf einen anderen Server über eine Gett-Technik und nicht über Push.
  • Überprüfen Sie die Backups, einschließlich der Wiederherstellung, um sicherzustellen, dass sie verwertbar sind.
• Installieren Sie dedizierte Zusatzmodule für die Sicherheit:
  • dolifence : https://www.dolistore.com/fr/modules/1437-DoliFence.html
  • totp : https://www.dolistore.com/fr/modules/1575-TOTP-2FA-Login---Filtre-de-pays.html
  • dolisecu : https://www.dolistore.com/fr/modules/1816-DoliSecu.html

Wenn Sie Zugriff auf Ihren Dolibarr-Server haben, kann eine Reihe von einfachen Maßnahmen ergriffen werden, um diese Art von Problemen zu vermeiden oder zu verlangsamen:

• chmod -w oder ein Gerät verwenden, das den gesamten Codebaum Ihres dolibarr (htdocs) auf “schreibgeschützt” setzt, dann können Sie keine Module mehr über das Webinterface aktualisieren oder installieren, aber zumindest kann ein Hacker auch keine Dateien mehr ändern / schreiben.
• chown der Dateien des Webbaums, damit sie von Ihrem “Webserver-Benutzer” gelesen, aber nicht verändert werden können, das ist fast dasselbe wie der vorherige Punkt, außer dass es, falls das betreffende Benutzerkonto gehackt wird, trotzdem nicht möglich sein wird, die Dateien zu verändern