Comment empêcher un serveur d'être transformé en serveur de phishing ?

Question reçue sur phishing.fr:  "J'ai un serveur dedié avec plusieur site web.  En quelque jour j'ai ete avertis que certain de mes site faisait du phishing. Apres verification dans les site j'ai trouver des dossier(pas a moi bien sur). J'ai detruit les dit dossier et ma question est comment peut ton installer des dossier sur mon serveur et sur mes site ?... mais et surtout comment etre sur que cela ne va plus ce produire existe il un moyen pour qu'il ne soit plus possible d'installer des dossier sur mes sites"

Les phishers utilisent la plupart du temps des serveurs qu'ils ont piratés, tant pour envoyer les emails que pour installer les sites de phishing vers lesquels ils renvoient leurs victimes pour leur voler leurs mots de passe.

Autrement dit, les sites pirates sont souvent installés sur des serveurs "honnêtes" à l'insu de leurs propriétaires.

Nous ne sommes pas des spécialistes de la sécurité et la réponse a la question que vous posez n'est pas simple.

Il existe des spécialistes qui proposent leurs services (payants) sur le web. En la matière, il faut s'adresser à des professionnels.

En revanche, je peux vous faire part de mon expérience personnelle:
- nous avions trois serveurs sur OVH et un aux US.
- le premier heberge sur OVH a ete attaque a 4 reprises en 2007 par des hackers qui ont utilise des failles de joomla
- les deux premieres fois, j'ai essaye de nettoyer les fichiers infectes. Or, les hackers avaient remplaces 40 fichiers par version de joomla.  Donc, ils s'etaient servi pour installer des serveurs IRC permettant de transformer nos serveurs en serveurs de telechargement de films. Ne parvenant pas a localiser l'ensembles des fichiers infectes, j'ai fini par remettre en ligne de vieilles versions de sauvegardes. Cela a eu pour consequence de faire revenir les sites en arriere et de penaliser notre referencement.
- les deux dernières attaques ont été plus méchantes car des chevaux de troyes avaient été installés (toujours via une faille de Joomla) sur l'ensemble du serveur. Surtout, notre serveurs avait ete transformes en serveur de phishing, ce qui provoquaient l'envoi d'email d'alerte tres severes tant de brandprotect.com, un service de lutte antiphishing, que d'OVH qui a mis hors ligne nos serveurs a plusieurs reprises, sa reponsabilite d'hebergeur étant engagée.

Trois solutions s'offraient a nous:

  1. Scanner le serveur a la recherche de fichiers infectes,
  2. Reinstaller le serveur,
  3. Changer de serveur.

Attendu que la solution de changement de serveurs etait moins couteuse en tant que la solution de reinstallation, nous avons change de serveurs, ce qui nous a permis de realiser des economies dans la mesure ou les nouvelles offres d'OVH sont plus interessantes que l'offre que nous avions en cours.

Désormais:

  • Nous avons tous passe sous Joomla 1.5 qui est un mieux protégé contre les attaques (notamment les injections SQL)
  • Nous mettons systematiquement à jour nos sites sous Joomla avec la dernière mise à jour, si celle-ci est une mise à jour de sécurité,
  • Nous n'installons plus de modules dont nous ne sommes pas parfaitement certains de la sécurité
  • Nous avons mis en place un veritable plan de sauvegarde afin de reinstaller nos sites si ces derniers etaient infectés.

Conclusion: la sécurisation d'un serveur contre les attaques d'un phisher n'est pas différente de la sécurisation contre les attaques de serveurs, en général.

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Exemple: raphaelrichard.net