Forum Security-X > Sécurité Générale

Blocage par IP de Malwarebytes Anti-Malware

(1/1)

igor51:
Cela fait maintenant au moins 3 fois que MBAM bloque l'accès à SX. Pour comprendre ce qu'il se passe, il faut revenir sur notre hébergement.

(Toutes les commandes exécutées le sont sous Linux)


I) Préambule

Nous sommes hébergés sur un hébergement mutualisé, cela signifie que notre IP ne renvoie pas que sur notre domaine.
Pour obtenir notre iP, on peut utiliser la commande suivante :

--- Citer ---igor51@debian-lenovo:~% host security-x.fr
security-x.fr has address 213.186.33.2
security-x.fr has IPv6 address 2001:41d0:1:1b00:213:186:33:2
security-x.fr mail is handled by 1 mx1.ovh.net.
security-x.fr mail is handled by 5 mx2.ovh.net.

--- Fin de citation ---

On voit que l'P associée à SX est 213.186.33.2. En faisant un reverse sur l'IP on obtient :


--- Citer ---igor51@debian-lenovo:~% host  213.186.33.2
2.33.186.213.in-addr.arpa domain name pointer cluster002.ovh.net

--- Fin de citation ---

Déjà, on observe qu'il ne pointe pas sur SX, mais sur cluster002.ovh.net. En utilisant le site robtex, on peut voir qu'en fait, cette IP est partagée par plus de 100 sites (dans la pratique, c'est beaucoup plus).

II) Le blocage de MBAM

Comment se caractérise le blocage :

Un premier message apparaît indiquant que le site est potentiellement malveilant.


L'accès au site est donc bloqué, c'est-à-dire, que rien ne s'affiche.



On observe les lignes suivantes dans les rapports, indiquant que l'IP est bloquée.


--- Citer ---2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Starting protection
2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Protection started successfully
2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Starting IP protection
2014/02/10 07:56:16 +0100   XXX   Users   MESSAGE   IP Protection started successfully
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49215, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49220, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49226, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49229, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49230, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49232, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49234, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49237, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49238, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49242, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49243, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49246, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49247, Process: avwebgrd.exe)
2014/02/10 08:03:51 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49259, Process: avwebgrd.exe)
2014/02/10 08:03:59 +0100   XXX   Users   MESSAGE   Stopping IP protection
2014/02/10 08:03:59 +0100   XXX   Users   MESSAGE   IP Protection stopped successfully
2014/02/10 13:49:53 +0100   XXX   Users   MESSAGE   Starting IP protection
2014/02/10 13:49:55 +0100   XXX   Users   MESSAGE   IP Protection started successfully
2014/02/10 13:52:01 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55692, Process: avwebgrd.exe)
2014/02/10 13:52:01 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55694, Process: avwebgrd.exe)
2014/02/10 13:57:29 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55700, Process: avwebgrd.exe)

--- Fin de citation ---

III ) Déblocage

Il est normalement possible d'ajouter certains sites dans une liste d'exception, mais cette commande ne semble pas fonctionner, il faut donc désactiver complètement le module de protection.


* Clic droit dans l'icône de la barre des tâches
* Clic gauche pour Blocage de site web



IV) Pourquoi ce système génère des Faux Positifs ? (ou pourquoi cette méthode est complètement débile...)

Comme le montrent les éléments du blocage (alerte et rapport) MBAM considère qu'une IP est malveillante. Or une IP n'est pas (vraiment) malveillante en soi, c'est le site web qui l'est parce qu'il transmet des malwares à cause d'une faille, d'une pub, etc.

Comme il semblerait que certains sites ayant la même IP que nous "distribuent" des malwares, MBAM a décidé de bloquer l'IP et par conséquent, ça bloque aussi les sites sains qui sont sur la même IP...

Pourquoi ce système de blocage est inefficace ?


* A l'heure du fameux Cloud computing (lol), de plus en plus de sites partagent la même IP. Les hébergements mutualisés sont des moyens simples et peu onéreux pour les personnes n'ayant pas ou peu de connaissances en informatique pour mettre en place un site web.
* Leur système d'exclusion ne semble pas fonctionner, donc les personnes vont autoriser (ou débloquer) l'action pour aller sur le site sur lequel ils veulent aller. En faisant ainsi, ils vont donc remettre en cause leur système de protection et s'exposer aux menaces.

Nous avons plusieurs fois demandé à MBAM de revoir son système de blocage pour ne plus générer autant de FP et pour cibler les domaines malveillants. mais ils restent complètement sourds à nos demandes. C'est vrai que des petits Français n'y connaissent pas grand chose....

Ils nous ont dit que nous devrions mieux prendre un serveur dédié...soit, mais sortons du cas de SX. Imaginez quelqu'un qui ne connaît pas grand chose en informatique, est-ce que vous lui demanderiez de prendre une serveur dédié parce que MBAM bloque l'accès à son site ?

La prise d'un serveur dédié impose :


* Une installation du système et des logiciels
* Une configuration précise de tous les éléments
* Un maintien du système et des logiciels à jour, en ayant au préalablement testé les mises à jour pour vérifier qu'elles ne "cassent pas tout"
Alors qui a réellement les connaissances pour faire ça sur un site web quand il n'est pas professionnel ? J'entends déjà les personnes dire : "installer linux, c'est facile et sécurisé", facile et sécurisé, let's me smile hein...
Combien ont déjà installé un Linux from scratch ? Ont pris le temps de tout configurer ? De mettre en place de vrais mécanismes de protection comme Grsecurity/Selinux/AppArmor, etc... ? De mettre leur système à jour ainsi que leurs programmes ?

La gestion d'un serveur dédié  pour fournir un site web demande non seulement du temps mais aussi des connaissances qu'au final peu de personnes ont, les hébergements mutualisés proposent des solutions simples et efficaces. Donc peut-être qu'un jour SX passera sur un dédié, c'est prévu, mais pas pour le moment...

Cette méthode de détection basée sur l'IP engendre énormément de Faux Positif, ils sont même arrivés à bloquer directement Google....

V) Conclusion

Depuis le premier blocage, nous avons expliqué à MBAM les dangers d'une telle politique de blocage, mais ils semblent complètement hermétiques à nos remarques. Le système des hébergements mutualisés n'est pas prêt de disparaître car il permet de créer un site "clé en main", mais il ne semble pas se soucier de ce genre d'argument .

Ce système de blocage nuit aussi à la réputation de ces sites web sains hébergés sur des IP bloquées. Un utilisateur qui ne connaît pas le problème peut craindre pour la protection de son système alors que le site sur lequel il essaie d'aller est sûr. On sait tous qu'une grande partie du trafic généré se fait grâce à la réputation du site.

Nous n'avons parlé ici que des aspects qui concernent l'utilisation des hébergements mutualisés et pourquoi le système de blocage de MBAM est dangereux et surtout complètement débile .

VI) Epilogue

Le blocage des sites malveillants est une bonne idée mais le blocage par IP n'est clairement pas la meilleure solution. L'utilisation de MBAM pour bloquer les sites peut être une bonne chose, mais lorsqu'un site est bloqué par MBAM, il est nécessaire de savoir pourquoi ce site a été bloqué. Malheureusement le système utilisé par MBAM ne permet pas d'avoir d'information...


----
Mise à jour du 12/03/14 :

L'exclusion des sites semble fonctionner maintenant. Pour mettre une IP en exclusion :

Après avoir ouvert la page SX (qui ne s'affiche pas donc)

* Clic-droit sur l'icône Malwarebytes dans la zone de notification
* Ajouter aux exclusions
* Cliquer sur l'IP 213.186.33.2 qui s'affiche

Ouvrir de nouveau la page SX.

L'illustration de la manipulation :


On obtient le résultat suivant

xsun:
salut igor

faut l'épingler ce sujet, faut pas qu'il descende, pour que cette info reste bien visible

info qui éclaire pour ma part (entre autres, je ne vais pas tout citer) un hebergement mutualisé... :


--- Citer ---un hébergement mutualisé, cela signifie que notre IP ne renvoie pas que sur notre domaine
--- Fin de citation ---



igor51:
Mise à jour du tuto :

L'exclusion des sites semble fonctionner maintenant. Pour mettre une IP en exclusion :

Après avoir ouvert la page SX (qui ne s'affiche pas donc)

* Clic-droit sur l'icône Malwarebytes dans la zone de notification
* Ajouter aux exclusions
* Cliquer sur l'IP 213.186.33.2 qui s'affiche

Ouvrir de nouveau la page SX.

L'illustration de la manipulation :


On obtient le résultat suivant

Navigation

[0] Index des messages

Sortir du mode mobile