| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| projet_dolibarr:hacked [2023/06/20 23:32] – supadmin | projet_dolibarr:hacked [2023/06/21 18:47] (Version actuelle) – supadmin |
|---|
| # Que faire en cas de dolibarr piraté ? | # Que faire en cas de dolibarr piraté ? |
| | |
| | <note>Cette page est en cours de rédaction</note> |
| |
| Attention, on ne rigole pas, cette page n'est pas la pour vous faire peur mais plutôt pour collecter au fil de l'eau toutes les bonnes idées et remarques sur ce sujet. | Attention, on ne rigole pas, cette page n'est pas la pour vous faire peur mais plutôt pour collecter au fil de l'eau toutes les bonnes idées et remarques sur ce sujet. |
| |
| Vous pourriez vous dire "le coup de feu est passé" ... oui mais non, n'allez pas dormir ou attendre "lundi prochain" pour passer à la suite ... | Vous pourriez vous dire "le coup de feu est passé" ... oui mais non, n'allez pas dormir ou attendre "lundi prochain" pour passer à la suite ... |
| |
| ### Analyser l'étendue des dégâts | ### Analyser l'étendue des dégâts |
| |
| |
| ``` | ``` |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 ... |
| 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 "https://mondolibarr/admin/company.php?mainmenu=home&action=edit" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" | 192.168.99.99 - - [20/Jun/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 ... |
| | |
| | ``` |
| | |
| | Autre exemple beaucoup plus critique : il a téléchargé le backup de votre base de données, considérez en ce cas que vous êtes face à une fuite de données totale (voir le paragraphe RGPD a la fin de ce message). |
| | |
| | ``` |
| | 192.168.99.99 - - [13/Apr/2023:12:24:17 +0200] "GET /document.php?modulepart=systemtools&attachment=1&file=backup%2Fmysqldump_dolibarr_13.0.5_202304131224.sql.gz HTTP/1.1" 200 6349611 |
| ``` | ``` |
| |
| * les services en ligne configurés dans des modules complémentaires (ou dans les modules de base, par exemple le compte stripe) ça peut-être un identifiant / mot de passe ou une clé d'API | * les services en ligne configurés dans des modules complémentaires (ou dans les modules de base, par exemple le compte stripe) ça peut-être un identifiant / mot de passe ou une clé d'API |
| * .../... | * .../... |
| * | |
| |
| ### | ### Informations bancaires |
| | |
| | Pensez à VOS informations bancaires mais aussi à celles de vos clients / fournisseurs si vous stockez ces informations dans votre dolibarr. |
| | |
| | Vérifiez que ces informations n'ont pas été altérées sous peine de découvrir dans quelques mois que vous virez de l'argent sur le compte d'un pirate pensant payer votre fournisseur. Inversement vos factures pourraient afficher les coordonnées bancaires de votre pirate à la place de votre RIB et vos client penseront vous payer en leur envoyant de l'argent. |
| | |
| | La meilleure solution dans ce cas est de faire un "diff" avec une sauvegarde de votre base de donnée précédent l'attaque... |
| | |
| | ### SPAM |
| | |
| | L'objectif de l'attaquant était peut-être uniquement d'utiliser votre hébergement comme relais de spam, l'audit sécurité devra donc s'assurer qu'il n'y a pas d'outils qui ont été installés dans cette optique. |
| | |
| | ### Relais pour pirater un autre site |
| | |
| | Il est également possible que l'objectif de l'attaquant était d'utiliser votre hébergement comme plate-forme pivot pour aller pirater un autre site. C'est d'autant plus vrai depuis qu'il y a des organisations qui refusent toute connexion entrante depuis une adresse IP géographiquement localisée dans certains pays. Les pirates de ces pays mettent donc en place des serveurs "rebonds", le votre est peut-être concerné. |
| | |
| | ### Divers |
| | |
| | etc. |
| |
| ## RGPD | ## RGPD |
| * https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions | * https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions |
| |
| | # Que faire pour prévenir ? |
| |
| | Pour éviter le plus possible qu'une telle situation ne se reproduise: |
| | * mettez à jour votre dolibarr régulièrement (lorsqu'un correctif de votre version est publiée installez la sans attendre c'est un correctif pour la version en cours, par exemple si vous avez la version 16.0.4 installez la 16.0.5 dès qu'elle est publiée) |
| | * mettez en place une réelle politique de sauvegardes, ça veut dire entre autre: |
| | * si vous faites une facture par semaine ce n'est pas la même chose que si vous en réalisez 100 par heure |
| | * posez vous la question en ce sens : je suis prêt à perdre : 1h de travail, 4h de travail, 8h de travail, 1 semaine de travail ? |
| | * déportez vos sauvegardes |
| | * sur un autre serveur via une technique de get et pas de push |
| | * vérifiez les sauvegardes, y compris restaurez les pour vérifier qu'elles sont bien exploitables |
| | * installez des modules complémentaires dédiés à la sécurité: |
| | * dolifence : https://www.dolistore.com/fr/modules/1437-DoliFence.html |
| | * totp : https://www.dolistore.com/fr/modules/1575-TOTP-2FA-Login---Filtre-de-pays.html |
| | * dolisecu : https://www.dolistore.com/fr/modules/1816-DoliSecu.html |
| |
| | Si vous avez accès à votre serveur dolibarr un certain nombre de mesures simples peuvent être prises pour éviter ou ralentir ce genre de problème: |
| | * chmod -w ou utiliser tout dispositif de mise en "lecture seule" de toute l'arborescence du code de votre dolibarr (htdocs), vous ne pourrez plus mettre à jour ou installer des modules via l'interface web mais au moins un pirate ne pourra pas non plus modifier / écrire des fichiers |
| | * chown des fichiers de l'arborescence web pour qu'ils soient lisibles par votre "utilisateur serveur web" mais pas modifiables, ça revient quasiment au même que le point précédent sauf que si jamais le compte utilisateur en question est piraté il ne sera quand même pas possible de modifier les fichiers |