Cuidado, no bromeamos, esta página no está aquí para asustarle, sino para recoger todas las buenas ideas y comentarios sobre este tema a medida que avancemos.

Un hacker habilidoso podría entrar sin dejar demasiados rastros, modificar el RIB de tu cuenta bancaria y enviar tus facturas a tus clientes con su RIB… para cuando te des cuenta del problema (generalmente 1 mes o 2, el tiempo de seguimiento de los clientes diciéndoles “no has pagado” y ellos respondiendo “sí, mira”)… estarás entonces en el caso clásico de la estafa del RIB falso, no sólo le pasa a otra gente. (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fraude-au-virement-ou-au-faux-rib)

Si es un poco menos “especialista en Dolibarr”, robarle el nombre de usuario y la contraseña de su cuenta de correo electrónico ya será un bonito trofeo …

• Si está instalado en el servidor de su empresa o en su casa, corte la conexión a Internet.
• Si está en hosting dedicado, pare el servidor web (apache / nginx) - es brutal.
• Si está en hosting compartido (ovh, o2switch…) conéctate usando sFTP y renombra la carpeta donde está tu dolibarr o ve a la consola de gestión de tu hosting para desactivar tu web.

Esto es aún más urgente si tu dolibarr es antiguo. No deje en línea un dolibarr “más o menos reparado” si no está en una versión “actual” o “sólo anterior”. (Por ejemplo, hoy en día la última versión estable es la 17.0.2, la 16.0.5 se considera fiable, pero no deje en línea la 11.0.0, por ejemplo).

Puede que te digas a ti mismo “el tiro ya ha sonado”… sí pero no, no te duermas ni esperes al “próximo lunes” para seguir adelante…

¿Es sólo un intento de pirateo? ¿Un simple mensaje en la página de inicio? ¿O algo más serio, con la creación de una cuenta de administrador y una sesión abierta? O peor aún, una cuenta local del sistema creada con escalada de privilegios (el horror absoluto en este caso es una reinstalación total del servidor, que debes planificar, además de una auditoría de seguridad de tu infraestructura para comprobar que no ha habido contagio).

En esta fase, sólo un experto en seguridad y Dolibarr puede analizar realmente la situación.

En cualquier caso, deberá consultar los logs del sistema de su servidor web (que se encuentran fuera de Dolibarr): copie cópielos lo antes posible para evitar que sean borrados por una tarea de limpieza de registros programada (aunque normalmente existe un periodo de conservación bastante largo).

Con estos logs podrá aislar las consultas que se han realizado y así tomar la medida de la realidad.

Ejemplo:

No pasa nada, sólo ha descargado las banderas de los países… bueno, ¡sería extraño que se hubiera detenido ahí!

192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 ...
192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 ...

Otro ejemplo mucho más crítico: se ha descargado la copia de seguridad de tu base de datos. En este caso, considera que estás ante una fuga total de datos (véase el párrafo RGPD al final de este mensaje).

192.168.99.99 - - [13/Apr/2023:12:24:17 +0200] "GET /document.php?modulepart=systemtools&attachment=1&file=backup%2Fmysqldump_dolibarr_13.0.5_202304131224.sql.gz HTTP/1.1" 200 6349611

Algunas versiones antiguas de dolibarr almacenaban las contraseñas de usuario “en texto claro”, por lo que es absolutamente urgente y prioritario que informe a sus compañeros por teléfono o SMS pero sobre todo no por email (imagine que su contraseña de email es la misma que la de dolibarr, es una mala práctica pero es habitual)… explíqueles la situación y dígales que cambien su contraseña si es la misma en su buzón y otros servicios online.

E incluso si tu reciente Dolibarr almacena contraseñas encriptadas, considera que pueden ser crackeadas: el hacker tiene el resultado de la contraseña encriptada en sus manos y con la ayuda de técnicas recientes (y/o alta potencia de cálculo) posiblemente pueda descubrir tu contraseña. Considere que estaba en texto claro y aplique el mismo enfoque.

Esta lista no es exhaustiva:

• la cuenta de correo electrónico (en Inicio > Configuración > Correos electrónicos) → sustituya urgentemente la contraseña de esta cuenta de correo electrónico, ya que su hacker podría utilizar esta cuenta de correo electrónico para enviar spam o algo peor: por ejemplo, para enviar facturas con un RIB falso a su nombre porque se envió utilizando su servidor de correo electrónico real.
• las cuentas de e-mail de los usuarios si están configuradas para enviar/recibir e-mail en Dolibarr con su cuenta, si tiene complementos que lo permitan
• los servicios en línea configurados en los módulos adicionales (o en los módulos básicos, por ejemplo la cuenta stripe), puede tratarse de un nombre de usuario/contraseña o de una clave API.
• …/…

Piensa en TUS datos bancarios y también en los de tus clientes/proveedores si almacenas esta información en tu dolibarr.

Comprueba que esta información no ha sido alterada, de lo contrario en unos meses podrías descubrir que has transferido dinero a la cuenta de un pirata que pensaba que estaba pagando a tu proveedor. A la inversa, tus facturas podrían mostrar los datos bancarios de tu pirata en lugar de los tuyos y tus clientes pensarán que te están pagando enviándoles dinero.

La mejor solución en este caso es hacer un “diff” con una copia de seguridad de su base de datos antes del ataque…

El único objetivo del atacante puede haber sido utilizar su alojamiento como repetidor de spam, por lo que la auditoría de seguridad debe garantizar que no se han instalado herramientas con este fin.

También es posible que el objetivo del atacante haya sido utilizar su alojamiento como plataforma central para piratear otro sitio. Esto es especialmente cierto ahora que hay organizaciones que rechazan todas las conexiones entrantes desde una dirección IP situada geográficamente en determinados países. Los hackers de estos países instalan servidores “de rebote”, y el suyo puede ser uno de ellos.

etc.

Si el hacker ha conseguido conectarse, sin duda debes iniciar los procedimientos ad-hoc que exige la ley (el RGPD en este caso):

• https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
• https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions

Para evitar en la medida de lo posible que esta situación se repita:

• actualice su dolibarr regularmente (cuando salga un parche para su versión, instálelo sin demora ya que se trata de un parche para la versión actual, por ejemplo si tiene la versión 16.0.4, instale la 16.0.5 en cuanto salga)
• establezca una verdadera política de copias de seguridad, lo que significa, entre otras cosas:
  • si haces una factura por semana no es lo mismo que si haces 100 por hora
  • pregúntate: ¿estoy dispuesto a perder: 1 hora de trabajo, 4 horas de trabajo, 8 horas de trabajo, 1 semana de trabajo?
• mueva sus copias de seguridad
  • en otro servidor usando una técnica get, no una técnica push
  • Comprueba las copias de seguridad, incluso restaurándolas para asegurarte de que son utilizables.
• instale módulos adicionales dedicados a la seguridad:
  • dolifence : https://www.dolistore.com/fr/modules/1437-DoliFence.html
  • totp : https://www.dolistore.com/fr/modules/1575-TOTP-2FA-Login---Filtre-de-pays.html
  • dolisecu : https://www.dolistore.com/fr/modules/1816-DoliSecu.html

Si tiene acceso a su servidor dolibarr puede tomar una serie de medidas sencillas para evitar o ralentizar este tipo de problemas:

• chmod -w o utilice cualquier dispositivo de “sólo lectura” para todo su árbol de código dolibarr (htdocs), ya no podrá actualizar o instalar módulos a través de la interfaz web pero al menos un hacker tampoco podrá modificar / escribir archivos.
• chown archivos en el árbol web para que puedan ser leídos por su “usuario del servidor web” pero no puedan ser modificados. Esto es prácticamente lo mismo que el punto anterior, salvo que si la cuenta de usuario en cuestión es hackeada seguirá sin ser posible modificar los archivos.