C'est en effet mardi dernier que, m'apprêtant à passer une douce soirée je jette un cil à mes mails – on ne se refait pas. Et là, c'est le drame : je reçois un e-mail de notre hébergeur les premiers sont les derniers que je voulais lire ce soir :

Nous avons du intervenir en urgence sur votre serveur dédié ********* afin de bloquer une attaque. Il semble que votre serveur dédié présente une faille de sécurité ou qu'un utilisateur malveillant ait obtenu un accès.

Pitain dé mérde ! Au passage, l'intervention en question s'est revelé être un reboot de la machine en mode rescue – hop là, merci d'avoir effacé les traces d'un potentiel hack les gars. Le reste du mail ? Des hypothèses à la con, un tutoriel façon Le forensic pour les nuls et enfin une info intéressante : un dump du trafic réseau m'informant que notre serveur floodait une des IP d'amazon.com.

J'appelle le sieur Jop en renfort, et c'est parti pour un passage de logs au peigne fin. Rien au niveau de l'auth.log : soit alors le mec était très fort et a effacé ses traces, soit il n'est pas rentré via SSH. Nous nous rabattons donc sur une autre piste : exploitation d'une faille PHP sur un des sites hébergés. Là encore pas moyen d'y couper : il va falloir éplucher les logs des sites – c'est dans ces moments-là que je suis presque heureux qu'on n'ai pas beaucoup de clients. Après avoir passé en revue la première moitié des comptes clients pendant que je rédigeais un mail d'excuses à nos clients pour les informer de la raison de l'indispo, le Big Buck Bunny breton me fait savoir qu'il doit aller voir ailleurs si il y est et me laisse la seconde moitié des clients à vérifier.

Sans me démonter j'enchaîne les visites de homedirs, jusqu'à tomber sur zeu ouane :

[Tue Jun 10 19:36:15 2008] [error] [client 80.93.82.71] PHP Warning: fputs(): supplied argument is not a valid stream resource in /******/www/modules/FileManager/postlet/error.php on line 58
[Tue Jun 10 19:36:15 2008] [error] [client 91.189.183.90] PHP Warning: fsockopen() [<a href='function.fsockopen'>function.fsockopen</a>]: unable to connect to www.amazon.co.uk:80 (Connection timed out) in /******/www/modules/FileManager/postlet/error.php on line 57

7.7 Go de logs, featuring la même chose en couleur pour amazon.com et quelques autres sites de torrents russes. Twingo! Je désactive le vhost du site compromis et je reboot fujin sur son noyal de prod, informe notre hébergeur que nous avons la situation en main. Pendant que j'y suis j'envoie un nouveau mail à nos clients pour leur faire part du rétablissement du service, avec nos plus plates excuses pour le dérangement.
Quelque peu agacé par ces deux heures de downtime, je me lance dans la rédaction d'un de ces SCUDs dont ma famille a le secret à l'attention du responsable du site web. Heureusement pour lui, le Mirobolant revient à ce moment-là et je finis par effacer les passages légèrement lapidaires lui transférer le mail inachevé en lui demandant de le terminer et de l'envoyer.

Voilà. Après les clients qui nous lâchent, les menaces de poursuites judiciaires et les migrations totales à la mégarrache, nous venons de franchir encore un nouveau palier dans les emmerdes. En même temps sans tout ça, qu'est-ce qu'on se ferait chier... ;)