Security-X

Forum Security-X => Sécurité Générale => Discussion démarrée par: igor51 le février 16, 2014, 18:59:07

Titre: Blocage par IP de Malwarebytes Anti-Malware
Posté par: igor51 le février 16, 2014, 18:59:07
Cela fait maintenant au moins 3 fois que MBAM bloque l'accès à SX. Pour comprendre ce qu'il se passe, il faut revenir sur notre hébergement.

(Toutes les commandes exécutées le sont sous Linux)


I) Préambule

Nous sommes hébergés sur un hébergement mutualisé, cela signifie que notre IP ne renvoie pas que sur notre domaine.
Pour obtenir notre iP, on peut utiliser la commande suivante :
Citer
igor51@debian-lenovo:~% host security-x.fr
security-x.fr has address 213.186.33.2
security-x.fr has IPv6 address 2001:41d0:1:1b00:213:186:33:2
security-x.fr mail is handled by 1 mx1.ovh.net.
security-x.fr mail is handled by 5 mx2.ovh.net.

On voit que l'P associée à SX est 213.186.33.2. En faisant un reverse sur l'IP on obtient :

Citer
igor51@debian-lenovo:~% host  213.186.33.2
2.33.186.213.in-addr.arpa domain name pointer cluster002.ovh.net

Déjà, on observe qu'il ne pointe pas sur SX, mais sur cluster002.ovh.net. En utilisant le site  robtex (https://www.robtex.com/ip/213.186.33.2.html#shared), on peut voir qu'en fait, cette IP est partagée par plus de 100 sites (dans la pratique, c'est beaucoup plus).

II) Le blocage de MBAM

Comment se caractérise le blocage :

Un premier message apparaît indiquant que le site est potentiellement malveilant.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-1.jpg&hash=a59c7fba8ff4314e9fdcc743ba53710eca5603f8)

L'accès au site est donc bloqué, c'est-à-dire, que rien ne s'affiche.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-2.jpg&hash=1d00505d5fe11a932c2bc05c7cb1000808d9f669)

On observe les lignes suivantes dans les rapports, indiquant que l'IP est bloquée.

Citer
2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Starting protection
2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Protection started successfully
2014/02/10 07:56:14 +0100   XXX   (null)   MESSAGE   Starting IP protection
2014/02/10 07:56:16 +0100   XXX   Users   MESSAGE   IP Protection started successfully
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49215, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49220, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49226, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49229, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49230, Process: avwebgrd.exe)
2014/02/10 08:02:31 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49232, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49234, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49237, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49238, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49242, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49243, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49246, Process: avwebgrd.exe)
2014/02/10 08:02:39 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49247, Process: avwebgrd.exe)
2014/02/10 08:03:51 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 49259, Process: avwebgrd.exe)
2014/02/10 08:03:59 +0100   XXX   Users   MESSAGE   Stopping IP protection
2014/02/10 08:03:59 +0100   XXX   Users   MESSAGE   IP Protection stopped successfully
2014/02/10 13:49:53 +0100   XXX   Users   MESSAGE   Starting IP protection
2014/02/10 13:49:55 +0100   XXX   Users   MESSAGE   IP Protection started successfully
2014/02/10 13:52:01 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55692, Process: avwebgrd.exe)
2014/02/10 13:52:01 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55694, Process: avwebgrd.exe)
2014/02/10 13:57:29 +0100   XXX   Users   IP-BLOCK   213.186.33.2 (Type: outgoing, Port: 55700, Process: avwebgrd.exe)

III ) Déblocage

Il est normalement possible d'ajouter certains sites dans une liste d'exception, mais cette commande ne semble pas fonctionner, il faut donc désactiver complètement le module de protection.



(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-3.jpg&hash=2c59807343d43a504310b207f9588c5410ae7213)

IV) Pourquoi ce système génère des Faux Positifs ? (ou pourquoi cette méthode est complètement débile...)

Comme le montrent les éléments du blocage (alerte et rapport) MBAM considère qu'une IP est malveillante. Or une IP n'est pas (vraiment) malveillante en soi, c'est le site web qui l'est parce qu'il transmet des malwares à cause d'une faille, d'une pub, etc.

Comme il semblerait que certains sites ayant la même IP que nous "distribuent" des malwares, MBAM a décidé de bloquer l'IP et par conséquent, ça bloque aussi les sites sains qui sont sur la même IP...

Pourquoi ce système de blocage est inefficace ?


Nous avons plusieurs fois demandé à MBAM de revoir son système de blocage pour ne plus générer autant de FP et pour cibler les domaines malveillants. mais ils restent complètement sourds à nos demandes. C'est vrai que des petits Français n'y connaissent pas grand chose....

Ils nous ont dit que nous devrions mieux prendre un serveur dédié...soit, mais sortons du cas de SX. Imaginez quelqu'un qui ne connaît pas grand chose en informatique, est-ce que vous lui demanderiez de prendre une serveur dédié parce que MBAM bloque l'accès à son site ?

La prise d'un serveur dédié impose :


Alors qui a réellement les connaissances pour faire ça sur un site web quand il n'est pas professionnel ? J'entends déjà les personnes dire : "installer linux, c'est facile et sécurisé", facile et sécurisé, let's me smile hein...
Combien ont déjà installé un Linux from scratch ? Ont pris le temps de tout configurer ? De mettre en place de vrais mécanismes de protection comme Grsecurity/Selinux/AppArmor, etc... ? De mettre leur système à jour ainsi que leurs programmes ?

La gestion d'un serveur dédié  pour fournir un site web demande non seulement du temps mais aussi des connaissances qu'au final peu de personnes ont, les hébergements mutualisés proposent des solutions simples et efficaces. Donc peut-être qu'un jour SX passera sur un dédié, c'est prévu, mais pas pour le moment...

Cette méthode de détection basée sur l'IP engendre énormément de Faux Positif, ils sont même arrivés à bloquer directement  Google (https://forums.malwarebytes.org/index.php?showtopic=141889)....

V) Conclusion

Depuis le premier blocage, nous avons expliqué à MBAM les dangers d'une telle politique de blocage, mais ils semblent complètement hermétiques à nos remarques. Le système des hébergements mutualisés n'est pas prêt de disparaître car il permet de créer un site "clé en main", mais il ne semble pas se soucier de ce genre d'argument .

Ce système de blocage nuit aussi à la réputation de ces sites web sains hébergés sur des IP bloquées. Un utilisateur qui ne connaît pas le problème peut craindre pour la protection de son système alors que le site sur lequel il essaie d'aller est sûr. On sait tous qu'une grande partie du trafic généré se fait grâce à la réputation du site.

Nous n'avons parlé ici que des aspects qui concernent l'utilisation des hébergements mutualisés et pourquoi le système de blocage de MBAM est dangereux et surtout complètement débile .

VI) Epilogue

Le blocage des sites malveillants est une bonne idée mais le blocage par IP n'est clairement pas la meilleure solution. L'utilisation de MBAM pour bloquer les sites peut être une bonne chose, mais lorsqu'un site est bloqué par MBAM, il est nécessaire de savoir pourquoi ce site a été bloqué. Malheureusement le système utilisé par MBAM ne permet pas d'avoir d'information...


----
Mise à jour du 12/03/14 :

L'exclusion des sites semble fonctionner maintenant. Pour mettre une IP en exclusion :

Après avoir ouvert la page SX (qui ne s'affiche pas donc)


Ouvrir de nouveau la page SX.

L'illustration de la manipulation :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-exclusion.jpg&hash=2346bc4ffe8a12566848d0c5b4c6e4dbb0369be3)

On obtient le résultat suivant

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-exclusion-2.jpg&hash=3f1f8a09a84d8197fde267ab37a1522d1987f2c4)
Titre: Re : Blocage par IP de Malwarebytes Anti-Malware
Posté par: xsun le février 18, 2014, 19:30:19
salut igor

faut l'épingler ce sujet, faut pas qu'il descende, pour que cette info reste bien visible

info qui éclaire pour ma part (entre autres, je ne vais pas tout citer) un hebergement mutualisé... :

Citer
un hébergement mutualisé, cela signifie que notre IP ne renvoie pas que sur notre domaine



Titre: Re : Blocage par IP de Malwarebytes Anti-Malware
Posté par: igor51 le mars 12, 2014, 18:51:41
Mise à jour du tuto :

L'exclusion des sites semble fonctionner maintenant. Pour mettre une IP en exclusion :

Après avoir ouvert la page SX (qui ne s'affiche pas donc)


Ouvrir de nouveau la page SX.

L'illustration de la manipulation :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-exclusion.jpg&hash=2346bc4ffe8a12566848d0c5b4c6e4dbb0369be3)

On obtient le résultat suivant

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2Fblocage%2Fmbam-exclusion-2.jpg&hash=3f1f8a09a84d8197fde267ab37a1522d1987f2c4)