Imunify360

Monarobase utilise plusieurs systèmes de sécurité complémentaires pour protéger vos sites :
– Patchman : dédié à WordPress, Joomla et Drupal, il alerte puis corrige automatiquement les failles de sécurité au niveau du CMS.
– Imunify360 : suite de sécurité globale, elle protège nos serveurs et vos données hébergées des attaques.

Dans cet article, nous vous expliquons ce qu’est Imunify360, ses différents domaines d’intervention et pourquoi c’est un allié précieux.

Qu’est-ce que Imunify360 ?

Imunify360 est une suite de sécurité développée par CloudLinux pour protéger les sites web et serveurs à plusieurs niveaux complémentaires.

Détection et nettoyage de code malveillant sur votre compte hébergement

Imunify360 dispose d’un antivirus très efficace qui détecte et bloque tout fichier dangereux ajouté à votre compte hébergement.
Si un fichier malveillant est détecté, l’utilitaire recherche une copie saine de ce fichier parmi les différentes versions sauvegardées automatiquement par notre système Acronis pour le restaurer.
Imunify360 peut aussi, dans le cas où du code malveillant a été ajouté à un fichier existant, nettoyer le fichier infecté.

Pare-feu applicatif web

Imunify360 dispose d’un pare-feu applicatif puissant (Web Application Firewall ou WAF) qui protège des failles de sécurité connues et des tentatives pour les exploiter.
Vous connaissez peut-être les pare-feu Securi ou WordFense pour WordPress ?
La protection effectué par le WAF Imunify360 est similaire.
De plus, grâce à la rapidité et à l’efficacité de ModSecurity implémenté dans LiteSpeed, ce pare-feu n’a aucun impact sur la vitesse de d’affichage de vos sites web.

Proactive Defense

Un pare-feu web fonctionne en se référant à des signatures d’attaque connues, il ne peut donc pas bloquer les actions malveillantes non documentées.

Proactive Defense bloque l’exécution de scripts PHP en analysant ce que fait réellement le script entre sa compilation et son exécution.
Ainsi, il peut interdire l’exécution de scripts malicieux, notamment ceux utilisant l’offuscation, qui ne seraient pas bloqués par des pare-feu comme Securi ou WordFense.

Au sein de l’infrastructure de Monarobase, le rôle de Proactive Defense est de seconder le pare-feu applicatif web en ciblant plus spécifiquement l’exploitation de failles zero-day et les nouvelles méthodes d’offuscation.

Détection, blocage des tentatives d’intrusion et déblocage à la demande

Imunify360 détecte les tentatives de connexion à votre compte FTP, à vos comptes e-mails et même à votre site WordPress…
Toute adresse IP à l’origine de plusieurs échecs successifs est placée en liste grise et temporairement bloquée.
De nombreux blocages temporaires successifs entraînent un blocage plus long interdisant l’accès à l’ensemble du serveur.
Mais, s’il est crucial de bloquer une attaque le plus rapidement possible, il est important que le système évite les faux positifs et que, en cas de blocage, les utilisateurs légitimes soient impactés le moins possible.

Imunify360 utilise pour cela une liste de blocage temporaire : la « liste grise » dont il est possible de sortir en complétant un Captcha.

Exemple : une adresse IP à l’origine de 4 échecs de connexion à un site WordPress, est automatiquement ajoutée à la liste grise.
Si une nouvelle tentative de connexion est initiée, une page générée par Imunify360 et contenant un Captcha est présentée à l’utilisateur afin qu’il démontre qu’il n’est pas un robot.
Si le Captcha est complété avec succès l’adresse IP est débloquée et placée temporairement en liste blanche.

Ce processus permet au logiciel de prendre en compte les faux positifs pour améliorer les définitions des règles de sécurité concernées et devenir ainsi de plus en plus précis dans ses interventions.

Autre avantage : avant Imunify360, les déblocages par le visiteur lui-même n’étant pas possibles, les seuils de déclenchement des règles de sécurité ne pouvaient pas être aussi stricts : il fallait éviter au maximum de bloquer de véritables utilisateurs…
Maintenant, le blocage intervient plus tôt et le déblocage peut être (presque) immédiat… si vous n’êtes pas un robot !

Détection et blocage de botnets

Il est en effet de plus en plus fréquent de voir des « botnets » attaquer un serveur, un site ou un compte e-mail…
Dans ce cas, le blocage d’adresses IP n’a presque aucun effet, la technique d’attaque consistant à utiliser des milliers voire des millions de machines compromises.

Par exemple, 200 000 appareils compromis, c’est 200 000 tentatives de connexion sans réutiliser la même adresse IP.
Un serveur bloque en général une adresse IP après plusieurs tentatives erronées dans une période de temps défini.
Si cette période de temps est de 30 minutes et le nombre de tentatives avant blocage est de 5, il est alors possible de faire 800 000 tentatives toutes les 30 minutes sans blocage…

Un tel botnet coûte cher, les pirates attaquent donc généralement de nombreux serveurs, sites ou comptes e-mails pour maximiser la rentabilité de l’opération.
C’est à ce moment que le composant « herd protection » (littéralement « protection de troupeau ») d’Imunify360 entre en jeu. Capable de détecter qu’une adresse IP a été bloquée par plusieurs serveurs, le système la bloque également sur les autres serveurs protégés par Imunify360.

Cette protection permet d’arrêter des botnets de grande taille de manière préemptive – avant même qu’ils n’essaient d’attaquer votre site ou votre compte e-mail.

Correction des failles de sécurité du noyau Linux et de PHP

Habituellement, lorsque une faille de sécurité est corrigée au niveau du noyau Linux, il est nécessaire de redémarrer le système pour appliquer les correctifs.
Imunify360, en revanche, peut appliquer la majorité de ces correctifs de sécurité sans redémarrage.

Imunify360 nous permet aussi de continuer à vous proposer d’anciennes versions de PHP : l’éditeur corrige les failles de sécurité de différentes versions de PHP qui ne sont plus maintenues.
Grâce à cette fonctionnalité, votre hébergement Monarobase vous permet de choisir d’utiliser en toute sécurité les versions 5.6 ou 7.0 de PHP, bien qu’elles ne soient plus prises en charge officiellement depuis le 1er janvier 2019.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *