Bonjour Benjamin,
Merci pour ton travail.
Je te remonte mon expérience de ce matin.
Mon serveur a subit une attaque par injection le 14 septembre. En remontant dans les logs, on trouve ces 3 lignes dans le log apache2 de jorani :
20.205.116.139 - - [14/Sep/2023:16:38:18 +0200] "GET /session/login HTTP/1.1" 200 7985 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36"
20.205.116.139 - - [14/Sep/2023:16:38:19 +0200] "POST /session/login HTTP/1.1" 303 4366 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
20.205.116.139 - - [14/Sep/2023:16:38:20 +0200] "GET /pages/view/log-2023-09-14 HTTP/1.1" 401 8664 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"
Suivi chronologiquement de ce log dans auth.log, qui sous-entend connexion réussie
Sep 14 16:38:21 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/true
Puis quelques secondes plus tard :
Sep 14 16:38:36 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/true
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session closed for user root
Sep 14 16:38:36 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/systemctl stop c3pool_miner.service
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session closed for user root
"Ils" sont clairement passé par là et installé xmrig, le daemon de c3pool.
Se sont-ils loggués ou ont-ils injecté depuis le formulaire de loggin ?
Je me penche alors sur la version de mon jorani. je suis en v1.0.0.
La page /admin/diagnostic me dit "votre version est à jour" alors que la version du 1er mai est la v1.0.1
Résolution :
- Je me débarrasse de c3pool (crypto) qui a été installé sur mon serveur de production.
- J'installe la version v1.0.1
- Ne sachant pas quel formulaire a été utilisé, je vais faire changer tous les mots de passe.
J'ai 2 questions :
- est-ce que la dernière version résout ce problème d'injection de code ?
- est-ce que la page /admin/diagnostic pourrait dire "Vous n'êtes pas à jour" ?
Félicitations pour ce magnifique outil que nous utilisons depuis de nombreuses années.
Cordialement
Denis