{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me compromis, en particulier les sites WEB faisant  l'objet d'une d\u00e9figuration.</P>","closed_at":"2004-01-30","content":"## Description\n\nLa \u00ab d\u00e9figuration \u00bb d'un site WEB, est une intrusion men\u00e9e sur un site\nWEB ayant pour effet d'en modifier le contenu.\n\nUne soci\u00e9t\u00e9 a automatis\u00e9 un proc\u00e9d\u00e9 qui pr\u00e9vient les administrateurs des\nsites WEB d\u00e9figur\u00e9s. Le message d'alerte contient des \u00ab explications \u00bb\net une r\u00e9f\u00e9rence \u00e0 un site WEB qui donne des \u00ab recommandations \u00bb sur la\nmarche \u00e0 suivre :\n\n*\u00ab What is the next step?*\n\n*The remediation process can be broken down into this high-level set of\nprocedures:*\n\n*1) Replace the defaced message with a 'temporarily unavailable' message\nto retain reputation.*\n\n*2) Restore the original website (recommended: reload server and website\nin the event backdoors were installed).*\n\n*3) Install all appropriate security bug fixes and patches.*\n\n*4) Perform external security assessment to ensure all security holes\nand vulnerabilities are resolved.*\n\n*Remote Assessment \\[remoteassessment.com\\] can guide, assist and\nperform all of the steps listed above. Contact Remote Assessment\nimmediately to begin the remediation process. \u00bb* [^1^](#foot46)\n\nCes conseils semblent \u00eatre de bon sens. En pratique, ils posent de\nnombreux probl\u00e8mes.\n\nLe premier est qu'un tel traitement \u00ab amateur \u00bb de l'incident \u00e9chappe\naux \u00e9quipes qui en ont officiellement la mission, qui savent adapter\nleur r\u00e9ponse au contexte de la victime bien mieux qu'un message envoy\u00e9\nautomatiquement par un inconnu.\n\nLe deuxi\u00e8me probl\u00e8me vient de ce que les \u00ab recommandations \u00bb, si on les\nsuit \u00e0 la lettre, conduisent \u00e0 :\n\n1.  \u00e9craser la page pos\u00e9e par l'intrus ainsi que les divers traces et\n    indices associ\u00e9s ; l'annonce de la d\u00e9figuration de votre site est\n    d\u00e9j\u00e0 publi\u00e9e, avec un miroir de la page concern\u00e9e, sur un site\n    consacr\u00e9 \u00e0 cet effet ; il est donc na\u00eff de croire qu'on prot\u00e8ge sa\n    r\u00e9putation en mettant une page de substitution qui ne trompera\n    personne ;\n2.  \u00e9craser les \u00e9l\u00e9ments permettant de comprendre ce qui a \u00e9t\u00e9 fait par\n    l'intrus sur le serveur ; en effet la d\u00e9figuration n'est que\n    l'aspect visible, le vrai probl\u00e8me comprend aussi et surtout\n    l'intrusion dans votre syst\u00e8me (d\u00e9terminer ce que l'intrus a fait\n    une fois dans la place : installation de rootkits ou autre moyens de\n    masquer son activit\u00e9, installation de porte d\u00e9rob\u00e9e, installation de\n    serveurs, lecture ou modification de documents, attaques commises\n    avec votre adresse IP, ... et toute action pouvant engager \u00e0 priori\n    votre responsabilit\u00e9) ;\n3.  \u00e9craser les logiciels en place, si bien qu'on ne pourra plus\n    affirmer lequel \u00e9tait vuln\u00e9rable ; sans analyse approfondie qui met\n    en \u00e9vidence la vuln\u00e9rabilit\u00e9 exploit\u00e9e par l'intrus, le site risque\n    d'\u00eatre \u00e0 nouveau compromis ; l'exp\u00e9rience montre en effet qu'une\n    d\u00e9figuration est souvent suivie de nombreuses tentatives\n    d'intrusions ;\n4.  polluer les journaux d'\u00e9v\u00e9nements de s\u00e9curit\u00e9 avec des traces qui\n    n'ont rien \u00e0 voir avec l'incident, au risque d'effacer des indices\n    int\u00e9ressants.\n\nSous l'apparence d'une aide qui vous est apport\u00e9e, ce type de message\nd'alerte prodigue de mauvais conseils. Il conduit \u00e0 compromettre\nconsid\u00e9rablement les chances de mener \u00e0 bien l'analyse qui permettra de\ncomprendre l'intrusion dans le syst\u00e8me de traitement automatis\u00e9 de\ndonn\u00e9es.\n\n## Solution\n\nLorsque vous recevez un message de ce type, il convient de suivre les\nconseils dispens\u00e9s dans la note d'information CERTA-2002-INF-002. Avant\ntoute action sur la machine compromise, prenez contact avec votre CERT\nde rattachement (le CERTA pour l'administration) et/ou votre cha\u00eene\nfonctionnelle de s\u00e9curit\u00e9 des syst\u00e8me d'information.\n","cves":[],"links":[],"reference":"CERTA-2004-ALE-001","revisions":[{"description":"version initiale.","revision_date":"2004-01-30T00:00:00.000000"}],"risks":[{"description":"Difficult\u00e9 de prouver sa bonne foi vis-\u00e0-vis d'actions commises par l'intrus au moyen des syst\u00e8mes compromis (risque l\u00e9gal)"},{"description":"Destruction d'\u00e9l\u00e9ments qui permettent de mener correctement l'analyse technique mettant en \u00e9vidence le mode op\u00e9ratoire d'un intrus, ce qui peut souvent conduire \u00e0 de nouvelles intrusions (risque technique)"}],"summary":null,"title":"Obstacles \u00e0 la r\u00e9solution d'incidents","vendor_advisories":[]}