WordPress, xmlrpc et déni de service

Certains d’entre vous l’ont peut-être constaté, il était plutôt compliqué d’accéder à unicoda.com durant les dernières 48h. En effet, il se trouve que le site a été la cible d’une attaque de type brute force qui l’a mis à mal. Résultat, un processus apache qui décolle et accapare toutes les ressources de la machine jusqu’au déni de service. Retour sur la folle vie d’un serveur attaqué.

Tout commence le 25 août 2016 aux alentours de 19h, la première requête de la série apparaît à 18 heures 46 minutes et 25 secondes pour être précis.

191.96.249.54 - - [25/Aug/2016:18:46:25 +0200] "POST /xmlrpc.php HTTP/1.0" 200 579 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [25/Aug/2016:18:46:25 +0200] "POST /xmlrpc.php HTTP/1.0" 200 579 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [25/Aug/2016:18:46:25 +0200] "POST /xmlrpc.php HTTP/1.0" 200 579 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

À cette heure-là, pas de problème, le serveur fonctionne correctement. La première alerte sera levée par le système de monitoring d’OVH à 22h54 ce même jour. Le serveur a déclaré forfait et ne répond plus au ping. Quelques minutes plus tard, le support intervient et redémarre le serveur. Une nouvelle alerte sera levée vers 4h du matin, avec intervention du support. En découvrant les mails le matin, je ne flaire pas immédiatement l’attaque. Le support est intervenu, il n’y a pas de précision indiquant si le problème vient du logiciel ou du matériel côté hébergeur, le site ne s’affichant pas, j’effectue à mon tour un redémarrage du serveur et m’assure que les différents services sont bien repartis. Tout semble fonctionner… Pourtant, même scénario dans la nuit de vendredi à samedi avec deux interventions du support. Quelque chose cloche, je continue de vaquer à mes occupations lorsque le serveur devient une nouvelle fois inaccessible samedi vers midi. Pas doute il y a un problème, je vais devoir effectuer des vérifications dès que possible.

Continuer la lecture de « WordPress, xmlrpc et déni de service »

dd ? Et pourquoi pas, dcfldd ?

Si vous avez un peu joué avec le Raspberry Pi, vous êtes certainement familier avec la commande dd, en particulier si vous avez installé l’OS sur carte SD depuis GNU/Linux. Peut-être avez-vous même effleuré sa consœur, j’ai nommé: dcfldd.

J’ai découvert cette version du programme dd lors de ma dernière installation de Raspbian. Bien que celle-ci soit un peu ancienne et peu mise à jour, nous pouvons tout de même parler de version améliorée du programme d’origine. L’outil est développé par le « laboratoire des investigations informatiques » américain (Defense Computer Forensics Lab), aussi abrévié DCFL, d’où le nom de l’outil: dcfldd.

Du côté des fonctionnalités, on notera la possibilité d’effacer un disque en utilisant des motifs connus, ou encore celle de vérifier qu’une image est identique à l’originale bit à bit. dcfldd propose également un suivi de la quantité de donnée traitée au fur et à mesure de son avancement.

La dernière version stable date du 19 décembre 2006. Les dernières modifications sont à peine plus récentes et datent quant à elle du 4 décembre 2007. En comparaison, les dernières modifications du programme original ont eu lieu en janvier 2016, dcfldd ne dispose donc pas de toutes les améliorations qui ont pu être apportées à dd depuis 2008. Une mise à jour du code serait donc appréciable, mais l’opération ne serait pas forcément aisée.

Ces derniers temps, j’ai principalement utilisé dcfldd plutôt que dd afin de profiter de l’information d’avancement du travail en cours donnée par défaut par la commande. Néanmoins, à l’avenir, dd devrait faire l’affaire, puisqu’il existe une option status=progress permettant de suivre l’avancement de l’opération. Le comportement par défaut de dd étant de ne rien afficher avant que la tâche soit terminée. Ce sera donc un retour probable à dd pour les prochaines opérations.

 

Voir aussi : http://forensicswiki.org/wiki/Dcfldd

Rafraichir la page parente à la fermeture de la page fille

Derrière ce titre alambiqué se cache un besoin particulier que j’ai cherché (et réussi) à résoudre dernièrement. La situation est la suivante : un utilisateur arrive sur une page, celle-ci effectue un appel ajax afin de connaître l’état d’un paramètre utilisateur. Pour illustrer, nous dirons donc que la page interroge une api pour répondre à la question : l’utilisateur a-t-il une image de profil enregistrée ?

Si l’utilisateur possède une image enregistrée, on la lui affiche ainsi qu’un message pour lui permettre de la supprimer. Si aucune image n’est présente, l’utilisateur peut choisir d’en ajouter une. L’acquisition de l’image s’effectue dans une page dédiée, que nous appellerons la page fille. Cette acquisition est réalisée à l’aide de la bibliothèque Cropper.js.

Une fois l’image acquise, l’utilisateur valide la sélection via un bouton. Au niveau de la page fille, un appel est donc réalisé vers une api pour sauvegarder l’image. Si l’appel est une réussite, nous fermons la page fille. À ce stade, l’utilisateur se retrouve sur la page parente qui lui propose toujours d’ajouter une image, ce qu’il vient de faire, nous allons donc recharger la page parente à la fermeture de la page fille.

J’illustre ce processus dans le code HTML en fin de page. Lorsque la page parente est chargée, celle-ci affiche en alert(), le message « Page chargée ! » afin de matérialiser le rechargement de la page. En cliquant sur le lien, une nouvelle page s’ouvre. Lorsqu’on clique sur le bouton de cette page, on va déclencher la fermeture de la page courante (la page fille) et le rechargement de la page parente. De plus, afin de matérialiser l’action de la page fille dans la page parente, de rendre l’exemple plus intéressant et de matérialiser ce qui correspondrait dans mon cas pratique à la mise à jour de l’information par le premier appel ajax (celui sur la page parente), le texte saisi dans le formulaire sur la page fille est transféré à la page parente et affiché par un alert().

Par ailleurs, le test du booléen pageFille.fermeture dans la fonction de l’événement unload de la page fille permet de s’assurer que la page parente ne sera rechargée que si le traitement est réussi sur la page fille où window.fermeture vaudra alors true. En effet, si on enlève le test du booléen, on constate qu’un événement unload a lieux dès l’ouverture de la page fille, ce qui aurait donc pour effet de recharger immédiatement la page parente. Le test du booléen permet de palier à ce « problème ».

Page Parente (pageParente.html)

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8">
  </head>
  <body>
    <p>
      <a href="javascript:ouvrirPageFille();">cliquez ici</a>
    </p>

    <script>
      function ouvrirPageFille() {
        var pageFille = window.open('pageFille.html', 'Titre', 'top=42,left=42,height=800,width=600,scrollbars=yes,status=no,toolbar=yes');
        //Recharge la page parente à la fermeture de la page fille 
        pageFille.onunload = function() {
          if(pageFille.fermeture) {
            alert(pageFille.message);
            //Rechargement
            location.reload();
          }
        }
      }

      window.onload = alert('Page chargée !');
    </script>
  </body>
</html>

Page Fille (pageFille.html)

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8">
  </head>
  <body>
    <form>
      <label for="message">Message :</label>
      <input id="message" type="text" name="message">
      <input type="submit" value="Valider et quitter" onclick="quitterPage();">
    </form>

    <script>
      function quitterPage() {
        window.message = document.getElementById('message').value;
        window.fermeture = true;
        window.close();
      }
    </script>
  </body>
</html>

Voilà pour l’exemple. Il reste maintenant quelques limitations à préciser pour finir cet article. Si l’utilisateur ferme la fenêtre du navigateur via le bouton prévu à cet effet (la croix rouge généralement en haut à droite), la page parente n’est pas rechargée. Dans mon cas pratique, cela fait sens car l’utilisateur n’aura alors pas soumit d’image; il n’y a donc aucun raison de rafraîchir la page. Autre point, si l’utilisateur rafraîchit la page fille, cela a pour effet de casser la liaison existante entre les deux pages et le rechargement de la page parente n’aura pas lieux.

Voici donc une manière de rafraîchir une page parente à la fermeture de sa page fille en restant dans les fonctionnalités de base du navigateur et des langages. D’autres façons de faire sont très certainement possibles (avec des événements) et certains framework js seraient à même de simplifier le problème, en permettant de ne mettre à jour dynamiquement qu’une partie de l’interface.

Quelques nouvelles

Cela fait quelque temps que j’ai rien publié ici, j’avais donc envie de partager dans cet article certaines de mes réflexions actuelles. Ainsi, je réalise également pour moi même une liste des points que je serai susceptible de développer dans les semaines (les mois ?) à venir.

Que dire ? Deux points techniques en attente, partiellement écrit. Les éléments sont là, il faut les mettre en forme. J’évoquerai un moyen de forcer l’ouverture d’un lien sous Internet Explorer et le rafraichissement de page mère à la fermeture d’une page fille. Des sujets plutôt pointues donc.

Je commence à poser d’autres réflexions dans des brouillons autour de thèmes variés : données et informations numériques, publicité, moyen de transport. Je m’oriente ici vers des articles non techniques (pas de code ni de ligne de commande). Type d’articles dont je suis peu familier pour l’instant et que je publierai donc lorsqu’ils seront arrivés à maturité.

En parallèle, bien sûr du sport.
Je continue à essayer d’améliorer ma technique de patinage en roller de vitesse. Ce n’est pas si simple que ça, mais les progrès réalisés cette année sont encourageants. Un peu de compétition avec un déplacement au 24H roller du Mans. Pour ma deuxième participation, j’ai intégré l’équipe des Alsace Boys. Deux fois plus de coéquipiers cette année (10 patineurs) et une très bonne logistique assurée par les accompagnateurs. En bref, une superbe édition puisque nous finissons 10e au classement général et 6e de notre catégorie (Prestige). Pour ma part, j’améliore mon temps au tour de deux bonnes minutes environ avec une majorité de tour dans les 8’45.

24H du Mans Roller 2016
L’auteur en plein effort en haut du Dunlop.

Retour côté technique.

Le serveur qui héberge ce blog est toujours en Debian 7. Une mise à niveau est donc à prévoir. Après lecture de la procédure de migration et des recommandations, j’ai préféré repousser l’échéance. Les mises à jour de sécurité sont encore d’actualité et je penche plutôt pour une réinstallation du serveur en Debian 8 afin d’en profiter pour documenter l’installation de chacun des services que j’héberge et de repartir sur des bases saines.

Avant de migrer, j’envisage également de tester différents outils de sauvegarde automatique du serveur. C’est un point que j’ai longtemps délaissé, me contentant de réaliser une sauvegarde à la main des éléments importants à intervalle plus ou moins régulier. Il est grand temps d’automatiser le tout.

J’ai effectué quelques changements sur mon réseau local (LAN). Je suis passé à un routeur R7000 pour la gestion du réseau local que j’ai placé derrière mon modem. Cette évolution s’inscrit dans une réflexion autour de la création d’un réseau local interconnectant différents appareils fournissant divers services locaux et annonçant une volonté de commencer à héberger certains services directement chez soi.

J’ai également passé un peu de temps à faire l’inventaire de mes données numériques, à évaluer leur taille et leur type et à ébaucher une hiérarchisation quant à leur importance. Ceci m’amène à me lancer dans la création d’un NAS avec du RAID. Mes disques durs externes vieillissent et le RAID me donnera l’assurance de conserver mes données les plus importantes en cas de problème matériel sur un disque.

Toujours dans le domaine du LAN, j’ai testé la mise en place de RuneAudio pour être en mesure de diffuser « simplement » ma musique numérique sur une chaîne HiFi. Le NAS va permettre de valider cette solution en rendant l’ensemble des fichiers audio accessible sur le réseau et visible par RuneAudio.

J’ai aussi amorcé un début de réflexion pour le passage au niveau supérieur en matière d’auto-hébergement. J’héberge de nombreux services sur le serveur que je loue chez OVH, l’idée étant de rapprocher progressivement mes données, cette fois physiquement.

Enfin, du nettoyage dans mes mails, avec désinscription systématique de tous les mails promotionnels et autres lettres d’informations inintéressantes.

 

Voilà pour ces quelques nouvelles. Au programme donc de ces prochains mois, du NAS, du réseau local, de l’auto-hébergement et de la sauvegarde. Avec, espérons le, des articles pour illustrer les avancées effectuées !