[Résolu] Site Hacké sous Drupal 7.31 et cela continue en 7.32: mail par script

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by radiation on

Bonjour,

Site hacké samedi avec envoie de plus de 150 mails via script. Heureusement OVH a bloqué. Il s'agissait de mail en anglais avec pour sujet : delivery n°........ ou error delivery n°.............

J'ai mis dès que j'ai reçu le mail de OVH la mise à jour du core de 7.31 à 7.32 que je n'avais pas pris le temps de mettre depuis 10 jours.

J'ai alors renforcé la sécurité par plusieurs points :
- verification des logs, et si recherche de lien inexistant sur mon site, interrogation de l'ip.
J'utilise IP range bans et j'ai bloqué les plages d'ip provenant de pays suspects (retrouvées via ipnetinfo): ukraine, russie, géorgie, létonie, lituanie.... et même Allemagne. Mon site est en français, un site de courtier local en prêt immobilier donc les étrangers ne sont pas mes clients ni des prospects, je laisse par contre les robots moteurs de recherche Googlebot, MSN, Amazon.... ;-)
- mise en place d'une sauvegarde automatique BDD + FTP via backup & migrate en complément de la sauvegarde auto fournie par OVH
- J'ai vérifié les droits, notamment au niveau des champs textes. Ainsi seul l'administrateur peut faire du HTML, les autres seulement du texte !

Aujourd'hui, cela recommence.

Je cherche une faille, mais je ne vois pas bien comment. En tous les cas, bien que je ne permettais pas de commentaire sur mes articles, et que je n'ai pas de forum, les modules commentaires et forum étaient activés. Je viens de les désactiver. Idem pour le module contact, puisque j'utilise webform...

Que faire de plus ? Parce que j'ai évidemment besoin de la fonction mail par script... notamment pour les webform et les comptes utilisateurs.

Je ne veux pas demander à OVH de débloquer l'envoie de mail via script si cela peut encore être hacké.

Je précise que le module Captcha fonctionne bien depuis plusieurs mois sur les webform et les pages comptes utilisateurs.

Merci d'avance de votre aide.

Forum : 
Support général
Version de Drupal : 
7.x
Tags : 
hack
piratage
mail
script

Soumis par vincent59 le 30 Octobre, 2014 - 09:08

Est-ce qu'il s'agit bien d'envois de mail via le site ou via un serveur mail mal configuré, ou via un alias qui ferait rebond ?

Est-ce que tu as accès au log du mail (généralement /var/log/mail.log) ? ça permet de voir quels sont les mails envoyés, depuis quelle adresse vers quelle destination.

Idem pour les logs drupal...

Soumis par radiation le 10 Novembre, 2014 - 18:12

Bonsoir,

Alors pour solutionner tout cela, j'ai réinstallé une sauvegarde faite quelques jours plus tôt en 7.31 + la base de donnée correspondante. Dans la foulée, mise à jour en 7.32.

Chat échaudé craignant l'eau froide, je me suis documenté sur la sécurité :

J'ai donc mis en place :
- le module backup & migrate ainsi je sauvegarde automatiquement et régulièrement le site (BDD&FTP) en plus des sauvegardes d'ovh, mais surtout je sauvegarde avant et après une mise à jour du core ou installation de nouveaux modules.
- le module Email logging and alerts & Watchdog trigger ainsi je suis prévenu en fonction des incidents directement sur mes boites mails (différente en fonction de l'urgence de l'incident)
- en fonction des alertes, je vérifie les adresses ip via le programme / windows : IPNetInfo et j'ai installé le module IP Ranges pour créer des listes noires et blanches.
- j'ai modifié le .htaccess à la racine du ftp afin de bloquer les pays d'origines des attaques en fonction des alertes ressorties du log Drupal : Russie, Georgie, Lituanie.... Chez OVH le geoip fonctionne ;-)

Depuis c'est calme plat niveau alertes...

Voilà, donc cela fonctionne bien.
Enfin surtout, je met à jour maintenant dès le jour J le core et les modules ;-) Donc 7.33 c'est évidemment fait.
Si màj du core, je suis à la lettre ce qu'il y a de marqué ici notamment les fichiers à effacer du ftp près avoir fait l'update :
https://www.drupal.org/upgrade/finished

En espérant que cela puisse servir !