Différences

Ci-dessous, les différences entre deux révisions de la page.

--- projet_dolibarr:hacked [2023/06/20 23:22] – créée supadmin
+++ projet_dolibarr:hacked [2023/06/21 18:47] (Version actuelle) – supadmin
@@ Ligne 1: / Ligne 1: @@
 # Que faire en cas de dolibarr piraté ?
+<note>Cette page est en cours de rédaction</note>
 Attention, on ne rigole pas, cette page n'est pas la pour vous faire peur mais plutôt pour collecter au fil de l'eau toutes les bonnes idées et remarques sur ce sujet.
@@ Ligne 18: / Ligne 20: @@
 Vous pourriez vous dire "le coup de feu est passé" ... oui mais non, n'allez pas dormir ou attendre "lundi prochain" pour passer à la suite ...
+### Analyser l'étendue des dégâts
+Est-ce que ce n'est qu'une tentative de piratage ? Un simple message sur la page d'accueil ? ou bien plus grave avec création d'un compte administrateur et session ouverte ? ou pire encore un compte local système créé avec escalation de privilèges (l'horreur absolue en ce cas c'est une réinstallation totale du serveur qu'il faut prévoir plus un audit sécurité de votre infrastructure pour vérifier s'il n'y a pas eu de contagion).
+À cette étape seul un expert sécurité et dolibarr pourra vraiment faire une analyse réelle de la situation.
+Dans tous les cas il faudra consulter les journaux systèmes de votre serveur web (qui sont en dehors de dolibarr) : **copiez** les dès que possible pour éviter qu'ils ne soient effacés par une tâche planifiée de nettoyage des logs (bien que normalement il y ait un délais assez long de conservation).
+Avec ces logs vous pourrez isoler les requêtes qui ont été réalisées et ainsi prendre la mesure de la réalité.
+Exemple :
+Pas super grave il n'a téléchargé que les drapeaux des pays ... bon ça serait étrange qu'il se soit arrêté en si bon chemin !
+```
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 ...
+.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 ...
+```
+Autre exemple beaucoup plus critique : il a téléchargé le backup de votre base de données, considérez en ce cas que vous êtes face à une fuite de données totale (voir le paragraphe RGPD a la fin de ce message).
+```
+.168.99.99 - - [13/Apr/2023:12:24:17 +0200] "GET /document.php?modulepart=systemtools&attachment=1&file=backup%2Fmysqldump_dolibarr_13.0.5_202304131224.sql.gz HTTP/1.1" 200 6349611
+```
 ### Mots de passes des utilisateurs dolibarr
@@ Ligne 32: / Ligne 72: @@
   * les services en ligne configurés dans des modules complémentaires (ou dans les modules de base, par exemple le compte stripe) ça peut-être un identifiant / mot de passe ou une clé d'API
   * .../...
-  *
-###
+### Informations bancaires
+Pensez à VOS informations bancaires mais aussi à celles de vos clients / fournisseurs si vous stockez ces informations dans votre dolibarr.
+Vérifiez que ces informations n'ont pas été altérées sous peine de découvrir dans quelques mois que vous virez de l'argent sur le compte d'un pirate pensant payer votre fournisseur. Inversement vos factures pourraient afficher les coordonnées bancaires de votre pirate à la place de votre RIB et vos client penseront vous payer en leur envoyant de l'argent.
+La meilleure solution dans ce cas est de faire un "diff" avec une sauvegarde de votre base de donnée précédent l'attaque...
+### SPAM
+L'objectif de l'attaquant était peut-être uniquement d'utiliser votre hébergement comme relais de spam, l'audit sécurité devra donc s'assurer qu'il n'y a pas d'outils qui ont été installés dans cette optique.
+### Relais pour pirater un autre site
+Il est également possible que l'objectif de l'attaquant était d'utiliser votre hébergement comme plate-forme pivot pour aller pirater un autre site. C'est d'autant plus vrai depuis qu'il y a des organisations qui refusent toute connexion entrante depuis une adresse IP géographiquement localisée dans certains pays. Les pirates de ces pays mettent donc en place des serveurs "rebonds", le votre est peut-être concerné.
+### Divers
+etc.
 ## RGPD
@@ Ligne 42: / Ligne 99: @@
   * https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions
+# Que faire pour prévenir ?
+Pour éviter le plus possible qu'une telle situation ne se reproduise:
+  * mettez à jour votre dolibarr régulièrement (lorsqu'un correctif de votre version est publiée installez la sans attendre c'est un correctif pour la version en cours, par exemple si vous avez la version 16.0.4 installez la 16.0.5 dès qu'elle est publiée)
+  * mettez en place une réelle politique de sauvegardes, ça veut dire entre autre:
+    * si vous faites une facture par semaine ce n'est pas la même chose que si vous en réalisez 100 par heure
+    * posez vous la question en ce sens : je suis prêt à perdre : 1h de travail, 4h de travail, 8h de travail, 1 semaine de travail ?
+  * déportez vos sauvegardes
+    * sur un autre serveur via une technique de get et pas de push
+    * vérifiez les sauvegardes, y compris restaurez les pour vérifier qu'elles sont bien exploitables
+  * installez des modules complémentaires dédiés à la sécurité:
+    * dolifence : https://www.dolistore.com/fr/modules/1437-DoliFence.html
+    * totp : https://www.dolistore.com/fr/modules/1575-TOTP-2FA-Login---Filtre-de-pays.html
+    * dolisecu : https://www.dolistore.com/fr/modules/1816-DoliSecu.html
+Si vous avez accès à votre serveur dolibarr un certain nombre de mesures simples peuvent être prises pour éviter ou ralentir ce genre de problème:
+  * chmod -w ou utiliser tout dispositif de mise en "lecture seule" de toute l'arborescence du code de votre dolibarr (htdocs), vous ne pourrez plus mettre à jour ou installer des modules via l'interface web mais au moins un pirate ne pourra pas non plus modifier / écrire des fichiers
+  * chown des fichiers de l'arborescence web pour qu'ils soient lisibles par votre "utilisateur serveur web" mais pas modifiables, ça revient quasiment au même que le point précédent sauf que si jamais le compte utilisateur en question est piraté il ne sera quand même pas possible de modifier les fichiers