Laravel 5

Laravel & Ransomware

Avatar de PaulsLons
PaulsLons

Bonjour, Une site que j'ai developpé en laravel 5 a été piraté : Toutes les tables de la base de données ont été supprimées et une nouvelle table appelée WARNING a été créée avec ce message en Anglais :

To recover your lost Database and avoid leaking it: Send us 0.08 Bitcoin (BTC) to our Bitcoin address 1Mo24VYuZfZrDHw7GaGr8B6iZTMe8JbWw8 and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: group1172848 . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.

Ma question est de savoir s'il une configuration spéciale à faire dans le fichier .env ou d'autres fichiers pour éviter ce genre d'attaque. Merci d'avance pour vos réponses.

Posté il y a 5 mois
Avatar de itanea
itanea

A mon modeste niveau, je pense que c'est votre serveur qu'il y avait une faille et cela a permis au pirate de venir y voir vos informations de connexions.

Etiez vous chez un fournisseur de service type OVH ou autre ? Cette question pour deux raisons :

  1. votre hébergeur a pu avoir des traces de l'attaque et éventuellement des informations pour comprendre ce qu'il s'est passé, comment les hackers sont entrés dans votre serveur
  2. la plupart des hébergeurs effectuent des backups réguliers de leurs serveurs (et donc des base de données clients). Cela pourrait leur permettre à minima de vous restaurer votre base de données

Enfin si votre base de données ne contenait rien de compromettant, il n'y a pas de grandes inquiétudes à avoir car cela veut dire que les hackers pourront difficilement en tirer quelque chose présentant un intérêt.

Enfin sur l'aspect protection, votre fichier .env est à la racine de votre hébergement. Si tout est bien configuré seul le répertoire public est accessible et ne permet donc pas à quelqu'un d'accéder aux informations confidentielles de connexion que contient le fichier .env. C'est pourquoi j'opte pour une faiblesse générale de votre serveur qui a permi aux pirates d'accéder aux fichiers sensibles.

En espérant avoir pu vous aider un petit peu dans cette situation pas évidente du tout.

Fred

Apprendre le développement web

Posté il y a 5 mois
Avatar de PaulsLons
PaulsLons

Bonjour , Bien noté ! Merci pour votre réponse ! Mon site est hébergé sur LWS. Bonne journée à vous.

Posté il y a 5 mois
Avatar de bestmomo
bestmomo

Salut,

Des fois ça passe par une injection SQL, il faut voir du côté des formulaires q'il n'y a pas de faille.

Posté il y a 5 mois
Avatar de KYoann
KYoann

Pas cool cette affaire !

Y'a t'il des failles de sécurité qui ont été corrigé depuis sur cette version ? Car c'est vrai que dans les changes logs il y'a essentiellement des ajouts ou correction de bug.

Posté il y a 5 mois
Avatar de DonMarkuss
DonMarkuss

Comme @itanea l'a si bien explique je pense aussi que la faille vient du serveur pas de Laravel. Donc c'est sur ce cote la qu'il faut chercher et surtout, Il suffit pas de restaurer la base de donnees et continuer, il faut trouver la faille avant et la corriger sinon le Hacker reviendra de la meme facon.

Posté il y a 5 mois
Avatar de NikDJEN
NikDJEN

Bonjour à tous. J'ai exactement le même problème. Mon application Laravel est hébergé sur LWS et j'ai eu ce problème de la base de données uniquement qui est hackée.

Comment trouvez la faille ? Je scrute tous mes formulaires et les méthodes de mes controlleurs mais je ne trouve rien pour le moment. Comment procédez donc ?

Merci

Posté il y a 5 mois
Avatar de NikDJEN
NikDJEN

Sur ce lien, voici ce que j'ai pu lire qui porte à croire que le hacker arrive à avoir accès à la base de données via PhpMyAdmin ou Roundcube. Donc c'est en hackant les identifiants de PhpMyAdmin qu'il accède à la base pour tout supprimer.

https://www.howtoforge.com/community/threads/server-hacked-to-recover-your-lost-database-and-avoid-leaking-it-send-us-0-1-bitcoin-btc.81962/

Posté il y a 5 mois
Avatar de PaulsLons
PaulsLons

Bonjour DonMarkuss, Effectivement j'ai restauré les données et le hacker est revenu une fois de plus aujourd'hui. J'ai ouvert un ticket chez l'hébergeur et voici la réponse :

Je vous invite à vérifier que votre site e que l'un de vos scripts ne contiennent pas une faille de sécurité qui permettrait ce genre d'acte au niveau de votre base de données. Il y a de forte change que le problème vienne d'une faille de sécurité malheureusement.

Je vous invite également, si vous le pouvez, à lier votre domaine à Cloudflare en suivant la procédure suivante: https://aide.lws.fr/base/Noms-de-domaine/Gerer-un-nom-de-domaine/Cloudflare

CloudFlare est un service de performance et de sécurité. En moyenne, un site utilisant CloudFlare se charge 40% plus vite, utilise 60% de bande passante en moins, à 65% de requêtes en moins et est plus sécurisé.

Posté il y a 5 mois
Avatar de kutatCodeur
kutatCodeur

Salut a tous. j'ai ete egalement hacker. Mon hebergeur c'est LWS. ma base de donnees a ete pirater.

j'ai recu cette information de la part du service technique de LWS.

les pirates ont acces a la base de donnee via le fichier .env par exemple: nom-de-domaine.com/.env il faudra trouver le moyen de securiser cela

Posté il y a 4 mois
Avatar de PaulsLons
PaulsLons

Bonjour, Est-ce qu'il y'a pas une faille sécurité dans la version 5.4 de Laravel ? Parce j'ai un autre site sur un autre hébergeur (France DNS) qui a été piraté.

Table WARNING To recover your lost Database and avoid leaking it: Send us 0.06 Bitcoin (BTC) to our Bitcoin address 1Mo24VYuZfZrDHw7GaGr8B6iZTMe8JbWw8 and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: FP205_BDISUZU . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.

Posté il y a 4 mois
Avatar de kutatCodeur
kutatCodeur

Salut a tous. j'ai ete egalement hacker. Mon hebergeur c'est LWS. ma base de donnees a ete pirater.

j'ai recu cette information de la part du service technique de LWS.

les pirates ont acces a la base de donnee via le fichier .env par exemple: nom-de-domaine.com/.env il faudra trouver le moyen de securiser cela

Posté il y a 4 mois
Avatar de bestmomo
bestmomo

Salut,

Le fichier .env ne devrait pas être accessible si le domaine pointe bien sur le dossier public.

Posté il y a 4 mois
Avatar de kutatCodeur
kutatCodeur

Justement c'est la le problème. Comment faire pour que le domaine pointe Vers le dossier public? Merci d'avance pour votre aide

Posté il y a 4 mois
Avatar de bestmomo
bestmomo

Selon l'hébergeur c'est différent. En général on a un CPanel ou une interface du même genre et dans les réglages du domaine on choisit le dossier.

Posté il y a 4 mois
Avatar de PaulsLons
PaulsLons

J'ai constaté que si on saisit une url du genre : domaine.com/.env => On accède directement aux données du fichier .env Comment est-il possible de bloquer cette url ? Quelle forme de protection peut-on mettre sur ce fichier ? Merci d'avance pour votre aide.

Posté il y a 4 mois
Avatar de bestmomo
bestmomo

@PaulsLons

Certainement là aussi le domaine est mal pointé.

Posté il y a 4 mois
Avatar de PaulsLons
PaulsLons

J'ai rajouté les lignes ci-dessous dans mon fichier .htaccess

<Files .env> Order allow,deny Deny from all

Posté il y a 4 mois
Avatar de CinquièmeDimension
CinquièmeDimension

Salut,

Je pense que ça peut te poser des problème de Deny from all. Il faut vraiment trouver comment pointer ton domaine vers le dossier public. Je sais que sur OVH ca se passe dans l'onglet Multisite (et j'ai cru voir que cet onglet existe sur LWS) il faut essayer de déclarer '/public' (sur OVH, le dossier d'origine est www donc c'est 'www/public')

Posté il y a 4 mois
Avatar de KYoann
KYoann

@PaulsLons,

Si on arrive à acceder à ton fichier .env en faisant tondomaine.com/.env, par quelle adresse accède tu à la racien de ton site tondomaine.com/public ?

Posté il y a 4 mois

Vous ne pouvez pas répondre à ce sujet.