4 façons dont les attaquants exploitent les services hébergés : ce que les administrateurs doivent savoir

On pense que les professionnels de l’informatique expérimentés sont bien protégés contre les escrocs en ligne qui profitent principalement d’utilisateurs à domicile crédules. Cependant, un grand nombre de cyber-attaquants ciblent les administrateurs de serveurs virtuels et les services qu’ils gèrent. Voici quelques-unes des escroqueries et des exploits dont les administrateurs doivent être conscients.

E-mails de phishing ciblés

Tout en buvant votre café du matin, vous ouvrez l’ordinateur portable et lancez votre client de messagerie. Parmi les messages de routine, vous apercevez une lettre du fournisseur d’hébergement vous rappelant de payer à nouveau le plan d’hébergement. C’est la période des fêtes (ou pour une autre raison) et le message offre une remise importante si vous payez maintenant vous remarquez quelque chose qui ne va pas. Oui, la lettre semble inoffensive. Cela ressemble exactement aux messages officiels précédents de votre fournisseur d’hébergement. La même police est utilisée et l’adresse de l’expéditeur est correcte. Même les liens vers la politique de confidentialité, les règles de traitement des données personnelles et d’autres non-sens que personne ne lit jamais sont au bon endroit.En même temps, l’URL du panneau d’administration diffère légèrement de la vraie et le certificat SSL soulève des soupçons. . Oh, est-ce une tentative de phishing ? De telles attaques visant à intercepter les informations de connexion qui impliquent de faux panneaux d’administration sont récemment devenues courantes. Vous pouvez blâmer le fournisseur de services pour la fuite des données client, mais ne vous précipitez pas pour tirer des conclusions. Obtenir des informations sur les administrateurs de sites Web hébergés par une entreprise spécifique n’est pas difficile pour les cybercriminels motivés.Pour obtenir un modèle d’e-mail, les pirates s’enregistrent simplement sur le site Web du fournisseur de services. De plus, de nombreuses entreprises proposent des périodes d’essai. Plus tard, les malfaiteurs peuvent utiliser n’importe quel éditeur HTML pour modifier le contenu des e-mails.Il n’est pas non plus difficile de trouver la plage d’adresses IP utilisée par le fournisseur d’hébergement spécifique. De nombreux services ont été créés à cet effet. Ensuite, il est possible d’obtenir la liste de tous les sites Web pour chaque adresse IP d’hébergement partagé. Les problèmes ne peuvent survenir qu’avec les fournisseurs qui utilisent Cloudflare.Après cela, les escrocs collectent les adresses e-mail des sites Web et génèrent une liste de diffusion en ajoutant des valeurs populaires telles que l’administrateur, l’administrateur, le contact ou les informations. Ce processus est facile à automatiser avec un script Python ou en utilisant l’un des programmes de collecte automatique des e-mails. Les amateurs de Kali peuvent utiliser theHarvester à cette fin, en jouant un peu avec les paramètres.Une gamme d’utilitaires vous permet de trouver non seulement l’adresse e-mail de l’administrateur mais également le nom du registraire de domaine. Dans ce cas, les administrateurs sont généralement invités à payer le renouvellement du nom de domaine en les redirigeant vers la fausse page du système de paiement. Il n’est pas difficile de remarquer l’astuce, mais si vous êtes fatigué ou pressé, il y a une chance de vous faire piéger.Il n’est pas difficile de se protéger contre diverses attaques de phishing. Activez l’autorisation multifacteur pour vous connecter au panneau de configuration d’hébergement, ajoutez la page du panneau d’administration à vos favoris et, bien sûr, essayez de rester attentif.

Exploiter les scripts d’installation et les dossiers de service du CMS

Qui n’utilise pas de système de gestion de contenu (CMS) ces jours-ci ? De nombreux hébergeurs proposent un service permettant de déployer rapidement les moteurs CMS les plus populaires tels que WordPress, Drupal ou Joomla à partir d’un conteneur. Un clic sur le bouton dans le panneau de contrôle d’hébergement et vous avez terminé.Cependant, certains administrateurs préfèrent configurer le CMS manuellement, en téléchargeant la distribution depuis le site du développeur et en la téléchargeant sur le serveur via FTP. Pour certaines personnes, cette méthode est plus familière, plus fiable et alignée sur le feng shui de l’administrateur. Cependant, ils oublient parfois de supprimer les scripts d’installation et les dossiers de service.Tout le monde sait que lors de l’installation du moteur, le script d’installation de WordPress se trouve dans wp-admin / install.php. En utilisant Google Dorks, les escrocs peuvent obtenir de nombreux résultats de recherche pour ce chemin. Les résultats de la recherche seront encombrés de liens vers des forums traitant des problèmes techniques de WordPress, mais creuser dans ce tas permet de trouver des options de travail vous permettant de modifier les paramètres du site.La structure des scripts dans WordPress peut être visualisée en utilisant la requête suivante: inurl : repair.php ? repair = 1 Il est également possible de trouver beaucoup de choses intéressantes en recherchant des scripts oubliés avec la requête: inurl: phpinfo.php Il est possible de trouver des scripts de travail pour installer le moteur Joomla populaire en utilisant le titre caractéristique de une page Web comme intitle: Joomla ! Installateur Web vous pouvez trouver des installations inachevées ou des scripts de service oubliés et aider le propriétaire malchanceux à terminer l’installation du CMS tout en créant un nouveau compte d’administrateur dans le CMS.Pour arrêter de telles attaques, les administrateurs doivent nettoyer les dossiers du serveur ou utiliser conteneurisation. Ce dernier est généralement plus sûr.

Mauvaise configuration du CMS

Les pirates peuvent également rechercher les problèmes de sécurité d’autres hôtes virtuels. Par exemple, ils peuvent rechercher les failles de configuration ou la configuration par défaut. WordPress, Joomla et autres CMS ont généralement un grand nombre de plugins avec des vulnérabilités connues.Tout d’abord, les attaquants peuvent essayer de trouver la version du CMS installée sur l’hôte. Dans le cas de WordPress, cela peut être fait en examinant le code de la page et en recherchant des balises meta comme

La version du thème WordPress peut être obtenue en recherchant des lignes comme https: //websiteurl/wp-content/themes/theme_name/css/main.css ? Ver = 5.7.2. Ensuite, les escrocs peuvent rechercher des versions des plugins de l’intérêt. Beaucoup d’entre eux contiennent des fichiers texte readme disponibles sur https: //websiteurl/wp-content/plugins/plugin_name/readme.txt Supprimez ces fichiers immédiatement après l’installation des plugins et ne les laissez pas sur le compte d’hébergement disponible pour les chercheurs curieux. Une fois que les versions du CMS, du thème et des plugins sont connus, un pirate peut essayer d’exploiter les vulnérabilités connues.Sur certains sites WordPress, les attaquants peuvent trouver le nom de l’administrateur en ajoutant une chaîne comme / ? Author = 1. Une fois les paramètres par défaut en place, le moteur renvoie l’URL avec le nom de compte valide du premier utilisateur, souvent avec des droits d’administrateur. Ayant le nom du compte, les pirates peuvent essayer d’utiliser l’attaque par force brute. De nombreux administrateurs de sites Web laissent parfois certains répertoires à la disposition d’étrangers. Dans WordPress, il est souvent possible de trouver ces dossiers: / wp-content / themes / wp-content / plugins / wp-content / uploads Il n’est absolument pas nécessaire de permettre aux étrangers de les voir car ces dossiers peuvent contenir des informations critiques, notamment confidentielles information. Refusez l’accès aux dossiers de service en plaçant un fichier index.html vide à la racine de chaque répertoire (ou ajoutez la ligne Options All -Indexes au .htaccess du site). De nombreux fournisseurs d’hébergement ont cette option définie par défaut en particulier lorsque vous accordez des autorisations d’écriture et d’exécution de script à un ensemble de sous-répertoires. Les conséquences de telles actions téméraires peuvent être les plus inattendues.

Comptes oubliés

Il y a plusieurs mois, une entreprise est venue me demander de l’aide. Leur site Web redirigeait les visiteurs vers des escroqueries comme Search Marquis tous les jours sans raison apparente. La restauration du contenu du dossier du serveur à partir d’une sauvegarde n’a pas aidé. Plusieurs jours plus tard, de mauvaises choses se sont répétées. La recherche de vulnérabilités et de portes dérobées dans les scripts n’a rien trouvé non plus. L’administrateur du site Web a bu des litres de café et s’est cogné la tête sur le support du serveur. Seule une analyse détaillée des journaux du serveur a permis de trouver la vraie raison. Le problème était un accès FTP « abandonné » créé il y a longtemps par un employé licencié qui connaissait le mot de passe du panneau de contrôle d’hébergement. Apparemment, insatisfait de son licenciement, cette personne a décidé de se venger de son ancien patron. Après avoir supprimé tout FTP inutile comptes et en changeant tous les mots de passe, les vilains problèmes ont disparu.

Soyez toujours prudent et alerte

L’arme principale du propriétaire du site Web dans la lutte pour la sécurité est la prudence, la discrétion et l’attention. Vous pouvez et devez utiliser les services d’un fournisseur d’hébergement, mais ne leur faites pas confiance aveuglément. Quelle que soit la fiabilité des solutions prêtes à l’emploi, pour être sûr, vous devez vérifier vous-même les vulnérabilités les plus courantes dans la configuration du site. Ensuite, au cas où, vérifiez à nouveau tout.

Droits d’auteur © 2021 IDG Communications, Inc.

Tags: , ,