Le blog de l'administrateur

Aujourd'hui coupure de la plateforme entre 14h24 et 16h00, l'installation des deux onduleurs s'est bien passée. Maintenant les 2/3 des serveurs sont d'ores et déjà protégés, il restera quelques finitions à faire.

Le site http://www.numerivienne.net n'est plus accessible : le serveur aragorn hébergeant le site est actuellement arrêté, son ventilateur de processeur s'est arrêté mardi 17 juin à 1h50, 3 minutes plus tard, le serveur s'est mis en sécurité thermique. Le service DNS est aussi perturbé par cette panne (lenteur de certaines opérations de recherche).

Suite aux orages de la nuit du 10 au 11 juin, un des deux disjoncteur a coupé le courant le 10 juin vers 20h40, impactant 6 des 10 serveurs et donc la quasi-totalité des services (DNS, web, messagerie, ...). La situation est revenue à la normale vers 11h ce matin.

Comme indiqué ici sur le forum de coppermine photo gallery, la mode est au piratage de galeries photos... pour y insérer une IFrame avec un script masqué.

L'adresse source de l'attaque est la 91.78.75.227 (adresse russe...), le 16 avril dernier, la cible était la galerie photo du site Archigny.NET. L'attaque a été entièrement journalisée par mod_security :

• 19:15:16 début des tentatives d'injection SQL via l'entête cookie.
• 19:15:27 téléchargement d'un mini shell PHP appelé zacosmall.php
• modification de 3 fichiers index.php, displayimage.php et thumbnails.php
• vérification du "bon fonctionnement" des modifications
• 19:16:23 Fin de l'attaque

Actions prises :

• Changement des mots de passes
• Scan antivirus de routine
• Mise à jour de la galerie vers la version actuelle après nettoyage
• Tests et remise en ligne

Une coupure générale a eu lieu vers 19h30, mercredi 5 mars 2008, d'une durée inférieure à 5 minutes puisque le conseil d'administration tenait réunion dans la salle de réunion au même étage. Mais au redémarrage, deux serveurs n'ont pas redémarré à cause de leur alimentation défectueuse : pippin et legolas, et donc malheureusement la plupart des services ont été impactés :

• Messagerie Vienne Informatique (tous les domaines gérés aussi...);
• Sites web hébergés (collèges, clubs, ...);
• Sites web de numérivienne;
• Bases de données de numérivienne, annuaire LDAP, etc.

Les services ont été rétablis entièrement vers midi. Depuis que la plateforme est opérationnelle, il s'agit du plus gros incident qui se soit produit.

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog. J'en ai profité pour y ajouter un module de sécurité normalement transparent pour une utilisation normale. Merci de me rapporter les éventuels dysfonctionnements des applications (Erreurs 500, 501, etc. inhabituelles).

Pour répondre au problème d'utilisation du port 25 depuis que plusieurs fournisseurs d'accès français interdisent expressément l'usage de ces ports (Free et Orange par exemple). J'ai installé un service de MSA (Message Submission Agent) pour que la messagerie soit de nouveau accessible. Conformément à la RFC 4409, il faut authentifier les utilisateurs. Pour cela, il conviendra d'utiliser ses identifiants de messagerie, mais ce n'est pas tout :

• L'utilisation des points d'accès WiFi ouverts et non sécurisés étant de plus en plus commune, l'authentification ne pourra se faire que si la communication est chiffrée.
• Le relevé de boite aux lettres (par IMAP ou POP3) devrait aussi être chiffré (c'est déjà possible depuis des années, mais sera bientôt obligatoire)
• Le port utilisé pour le service MSA est 587 et non plus 25, il faut modifier la configuration des clients de messagerie en conséquence...exemple avec Thunderbird :

l'Option "TLS, si disponible" ou "TLS" est obligatoire... sinon l'authentification ne se fera pas et le serveur retournera un message du style 'Relay access denied'. L'essai d'envoi sans authentification échouera aussi de la même manière avec le même message d'erreur :

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog pour s'en convaincre !

Ce soir, j'ai pu mettre à jour en GNU/Debian Etch 4.0 les derniers serveurs qui étaient encore en Debian Sarge :

• aragorn (web principal)
• sam (supervision et sauvegardes)
• gimli (backoffice)

Sur ce dernier, la mise à jour de l'annuaire s'est mal passée, donc pour le moment, il n'y a plus de réplication sur ce serveur.

Ou comment gagner du précieux temps de compilation des pages PHP, plusieurs solutions existent pour PHP5 :

• APC Alternative PHP Cache
• xCache Un cache récent, livré avec une interface web d'administration
• d'autres libres ou non comme eAccelerator, turckMM, etc.

En consultant les comptes-rendus de réunions de développement de la version 6 de PHP (dont la version de test est disponible ici), notamment ce compte-rendu, j'ai pris la décision d'installer APC comme cache d'opcode sur pippin pour tests, avant de le déployer sur la totalité de nos serveurs web. APC sera intégré à la version 6 de PHP.

Un problème de droits empêchait l'envoi de mél depuis PHP et les autres outils utilisant sendmail. problème réglé.

Suite à l'orage de la nuit dernière, le disjoncteur différentiel qui alimente 8 des 11 serveurs (ainsi que la climatisation) a coupé le circuit, tout a été rallumé vers 18h ce soir. Les services sont revenus à la normale depuis environ 23h.

La dernière version de PHP corrige un certain nombre de vulnérabilités, je viens de la mettre à jour sur tous les serveurs en production sous Debian Etch. Parmi les extensions qui ont été ajoutées :

• PDO en module
• PDO_MySQL en module
• PDO_sqlite en module
• sqlite en module

ça aura permis aussi de refaire correctement les liens avec les librairies partagées suite à la migration sous debian Etch.

Aujourd'hui, mise à jour en Etch des serveurs :

• pippin.numerivienne.net

Rien de particulier à signaler, corrections à posteriori de :

• pop-before-smtp qui n'était pas actif après redémarrage du serveur (corrigé le 14/05)
• les outils imageMagick à disposition des applicatifs PHP qui n'avaient pas été mis à jour (corrigé le 15/05)

Aujourd'hui c'était au tour de gandalf de migrer de sarge vers etch. Aucun problème détecté mis à part que comme pour les autres mises à jour :

• Postfix est systématiquement désinstallé et exim4 installé
• Certains comptes utilisateurs sont proposés à la suppression, ce qu'il faut refuser.
• Les services portmap, nfs-common et inetd sont automatiquement lancés au démarrage.

Le service de webmail a été mis à jour pour la version 1.4.9a de squirrelmail qui corrige certaines vulnérabilités. D'une manière générale, le site SSL de pippin a été nettoyé, il ne reste plus que deux services : phpMyAdmin et le webmail.