GoDaddy : on ne m’y reprendra plus.
L’hébergeur américain GoDaddy [1] fait une nouvelle fois l’objet d’une attaque par la même équipe de hackers qui avaient déjà sévi entre Mai et Octobre 2010, compromettant plusieurs centaines de sites tournant sous CMS PHP (principalement Joomla, WordPress et Drupal).
La précédente attaque utilisait les commentaires pour exécuter un code malicieux et modifier tous les fichiers PHP d’un site.
Pendant plusieurs semaines, GoDaddy a nié toute responsabilité, invoquant la négligence des webmasters qui utilisaient des versions obsolètes de WordPress et n’avaient pas mis à jour leurs sites en appliquant les derniers “patchs de sécurité”, ou s’étaient probablement fait pirater leurs mots de passe FTP au moyen de “malwares” installés sur leurs PC.
A l’époque, mon site "The Dofollow Network" avait également été compromis, alors que j’utilisais la dernière version de Drupal, et que je ne connais pas de “malware” capable de s’installer sous Fedora pour me piquer mes mots de passe. Mauvaise pioche de la part de GoDaddy.
Pendant plusieurs semaines, entre Mai et Juillet 2010, j’ai utilisé le patch de Sucuri Security pour nettoyer mes fichiers PHP qui étaient réinfestés tous les 3 ou 4 jours, jusqu’à ce que je me rende compte que la faille venait en fait de l’hébergeur GoDaddy dont les paramètres de sécurité étaient beaucoup trop permissifs, autorisant par exemple l’exécution de commandes Shell en PHP ou l’inclusion de fichiers distants (allow_url_fopen et allow_url_include)
J’ai donc créé un fichier php5.ini contenant les lignes suivantes :
disable_functions = dl,system,exec,passthru,shell_exec
allow_url_fopen = 0
allow_url_include = 0Après cette modification (et un arrêt/redémarrage du process Web), j’ai enfin été tranquille pendant quelques mois et je pensais que c’était la fin de mes ennuis, les trous de sécurité les plus évidents étant "comblés".
Mais vendredi dernier (18/02/2011), je me suis rendu compte que mon site présentais les mêmes symptômes qu’au mois de Mai : un faux "antivirus" se lançait, faisait un pseudo-scan de mon disque, trouvait une bonne centaines de fichiers infectés (je rappelle que je suis sous Fedora) et essayait d’installer un fichier .exe sur ma machine.
J’ai aussitôt pensé à l’attaque de l’an dernier, mais après vérification, aucun fichier PHP n’avait été modifié. J’ai continué à chercher et me suis rendu compte que chaque article de ma base de donnée avait été modifié avec ajout d’un script.
Après quelques recherches sur Google, je me suis rendu compte que le problème concernait une fois encore de très nombreux sites sous Joomla, WordPress ou Drupal, mais surtout qu’il avait été découvert au mois de Décembre 2010.
Or, en 2 mois, non seulement les techniciens de GoDaddy ont été incapable d’identifier la faille utilisée par les hackers pour corrompre les bases de donnée, mais plus grave, les clients n’ont pas été informés de cette nouvelle vague d’attaques.
Comme dit un proverbe d’origine incertaine : “le sage ne joue jamais à saute-mouton avec une licorne”, et plutôt que d’éditer chaque article pour enlever le script (et avoir à recommencer la manip dans 2 ou 3 jours) j’ai préféré mettre un terme définitivement à mes relations avec cet hébergeur négligent.
The Dofollow Network is dead !!!
[1] Vous ne croyez quand même pas que je vais faire un backlink, même en nofollow, vers le site officiel de GoDaddy. A la place, j’ai fait un lien vers le site No Daddy, qui expose toutes les raisons pour lesquelles il faut fuir cet hébergeur comme la peste. J’aurais bien aimé connaitre ce site avant, j’aurais forcément choisi un autre hébergeur.
Commentaires