Blork & size.fac > Le Temple du Blam! > Attaque du 04/10/14

Message laissé le 05/10/14 à 13:46

Citation :

Rien n'est exclu mais ça me semble peu probable en l'occurrence. ça supposerait qu'ils aient eu un accès complet au serveur et qu'ils aient pu exécuter un script bash. Même pas sûr que notre hébergeur nous le permette.



Citation :

Ils ont inséré du code malicieux dans certaines pages html et php. Le script envoie vers un site lui-même piraté, qui va exécuter du code pour installer des malwares sur votre machine en profitant de failles de sécurité.

La seule question stupide, c'est celle qu'on ne pose pas Je connais la source oui : c'est la faute à lag !

Plus sérieusement dans l'immédiat j'ai résolu les conséquences, mais je n'ai pas identifié la source du problème. Je vais vérifier un certain nombre de choses plus tard (logs et cie) pour voir si je peux en apprendre plus.

Ils ont modifié uniquement les fichiers html, et certains fichiers php dont le nom contenait des mots clés bien précis. Des mots clés génériques : login, index, header... ce qui a le plus de chances d'être retrouvé un peu partout.

Ils n'ont pas touché à la base de données a priori (vérifications nécessaires à ce stade), mais comme je ne sais pas s'ils y ont eu accès je suis parti du principe qu'il valait mieux faire un reset général des mots de passe. On est jamais trop prudent.



Citation :

Je ne pense pas, je n'ai rien vu qui permettrait de laisser penser une chose pareille. Mais je compte prendre le temps de faire des vérifications plus tard. Ce que je crains c'est surtout qu'ils aient inséré des cochonneries dedans plus que de supprimer quoi que ce soit.



Citation :

La seule question bête, c'est celle qu'on ne pose pas Tant qu'il y a des avertissements il faut les prendre au sérieux et ne pas les ignorer surtout. Maintenant le froum est nettoyé et on devrait être tranquille... jusqu'à la prochaine attaque

Il semble que l'attaque en soi ait eu lieu le 30/09, c'est la date à laquelle les fichiers ont été modifiés.

Cependant google a visité le site jusqu'au 03/10 sans y voir quoi que ce soit d'anormal. Cela peut signifier deux choses :

- Soit l'aspect malveillant du script était mis en sommeil.

- Soit google a mis du temps à réagir. Il fallait que le site vers lequel le script envoyait soit signalé pour que le nôtre soit signalé aussi par ricochet. Apparemment le site a été signalé le 04/10, et c'est la seule fois où ça a été le cas durant les 90 derniers jours.

Voilà, je vous tiendrai au courant si j'ai plus d'infos

- - - - - - - - - -

GG le club des papas ! Pensez aux gosses

Message laissé le 05/10/14 à 16:05

OK j'ai vérifié la base de données et je n'y ai rien trouvé d'anormal.

En revanche j'ai constaté que les droits d'accès à certains éléments étaient trop élevés. Pas sûr que le problème vienne de là, mais c'est une piste sérieuse. Pour peu qu'ils aient pu exploiter une faille quelque part, ça leur aurait permis de modifier les fichiers et d'y inclure leur script.

- - - - - - - - - -

GG le club des papas ! Pensez aux gosses

Message laissé le 06/10/14 à 15:35

je remonte un probleme qui est peut etre lié! j'ai modifié mon mot de passe par un autre! Celui ci a fonctionné 2 fois et ne marche plus... un lien peut etre?

- - - - - - - - - -



le leguman est revenu pour conquérir le monde et l'asservir a ses propres fins!!

Message laissé le 06/10/14 à 16:46

Citation :

J'avais eu un problème peut-être similaire. Mon premier mot de passe avait des caractères accentués. Depuis que je les ai enlevés, ça fonctionne normalement.

Lunatik> Je fais suivre le problème !

- - - - - - - - - -
Guide d'utilisation du forum
Comment créer son blog ?
Comment poster une image ?
Comment utiliser la balise "quote" ?

Mémo : Faire un nouveau gif pour faire rire Moussaka
Faire une chanson pour Freytaw

Message laissé le 07/10/14 à 20:48

Et bien, il y a de sacrés trous de balle sur internet, pour en trouver qui voient un intérêt à s'attaquer à un aussi petit forum... en tout cas, bravo aux médecins pour le prompt rétablissement du site.

Message édité 1 fois. Dernière édition par Yohann From Outer Space le 07/10/14 à 20:49.



- - - - - - - - - -

Message laissé le 13/10/14 à 19:36

Je souhaite partager mon expérience sur ce genre de soucis :

Si vous utilisez Filezilla (ou autre client FTP) et que vous avez mémorisé vos mot de passe, voici une bonne piste !

Ne mémorisez jamais vos mots de passe ftp sur votre PC et si ce n'est pas fait, changez les !


Les fichiers header, index, footer, home sont généralement infectés avec un script JS (cross-site, vol de cookie)

- - - - - - - - - -
Live Play

Message laissé le 13/10/14 à 20:50

De manière générale, il faut éviter de laisser votre ordi se rappeler de vos identifiants/mots de passe.
FTP (sans couche SSL/TLS) fait passer tout le traffic en clair, ie. on peut facilement sniffer votre identifiant/mot de passe. De plus, le protocole est très faillible aux attaques en tous genres. Bref, n'utilisez pas FTP.

Mais il me semble que de nos jours l'accès aux serveurs hébergés se fait soit par une interface web sécurisé, soit par SSH, qui sont beaucoup plus sécurisés.

Message édité 1 fois. Dernière édition par Jonath lé là le 13/10/14 à 21:32.



- - - - - - - - - -

"With kindness comes naïveté. Courage becomes foolhardiness. And dedication has no reward. If you can't accept any of that, you are not fit to be a Magical Girl."
でも!でも!かわいいからOK!

Message laissé le 13/10/14 à 21:12

Vu les paramètres du logiciel que j'utilise, la connexion semble se faire en FTP simple, je vais vérifier s'il est possible d'utiliser une connexion cryptée

- - - - - - - - - -

Did you get the number of that donkey cart?

Message laissé le 13/10/14 à 21:32

C'est bien la faute à Lag .

- - - - - - - - - -

"With kindness comes naïveté. Courage becomes foolhardiness. And dedication has no reward. If you can't accept any of that, you are not fit to be a Magical Girl."
でも!でも!かわいいからOK!

Message laissé le 14/10/14 à 12:45

C' est encore fort utilisé le FTP? Ca fait bien 10 ans que j' ai plus touché à ça

- - - - - - - - - -
(\__/)
(o.o )
(> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination

Message laissé le 21/10/14 à 14:23

Evidemment que c'est encore utilisé
Dans les réseaux personnels ou professionnels, pour des tâches bien spécifiques. C'est une méthode assez répandu pour transmettre des données. C'est pas limité comme le mail ou autre. Et en général, tu communiques de machine à machine
Aujourd'hui, on utilise des versions plus sécurisés que FTP classique, mais ça reste du FTP (File Transfert Protocol).

- - - - - - - - - -




Club des Papas !

Message laissé le 12/11/14 à 19:22

Je voulais prendre des nouvelles de la situation du froum. Histoire de savoir si le problème avait été isolé, et surtout si tout avait pu rentrer dans l'ordre depuis l'attaque. Et éventuellement si vous aviez des informations supplémentaires à nous faire parvenir.

- - - - - - - - - -
Restons calme et courtois en toutes circonstances...Qui a écrit ça sur moi?
Comme si ça pouvait être vrai...

Blork pour le meilleur et pour le pire !

Message laissé le 12/11/14 à 20:33

C'est la faute de de Lag, sinon, rien de neuf de mon côté...

A voir avec les autres !

- - - - - - - - - -
Guide d'utilisation du forum
Comment créer son blog ?
Comment poster une image ?
Comment utiliser la balise "quote" ?

Mémo : Faire un nouveau gif pour faire rire Moussaka
Faire une chanson pour Freytaw

Message laissé le 12/11/14 à 21:33

- - - - - - - - - -

Did you get the number of that donkey cart?

Message laissé le 12/11/14 à 22:00

Je trouve ça très pratique que ça soit toujours de sa faute. J'irais même jusqu'à dire que c'est formidable

- - - - - - - - - -



Twui twui twui ! Twili twili twili !

Message laissé le 12/11/14 à 22:43

Baby Calamar => Aucun autre incident à déplorer pour le moment. Si jamais il y a un bug, c'est la faute de Lag

- - - - - - - - - -
Club des Mamies et des Papys !

Message laissé le 15/11/14 à 10:21

Ok, merci pour vos réponses !
...
Vous croyez que quand une mauvaise note, je peux aussi expliquer à mes parents que c'est la faute à Lag ?

- - - - - - - - - -
Restons calme et courtois en toutes circonstances...Qui a écrit ça sur moi?
Comme si ça pouvait être vrai...

Blork pour le meilleur et pour le pire !

Message laissé le 01/08/15 à 17:32

Salut les blorkiens,

Ce message s'adresse surtout aux admins, SF ayant été prévenu par MP.
Le message dans le footer "Cher vega, nous avons ton adresse IP. Plus la peine de nous spammer, merci." étant encore présent j'apporte juste une précision pour qu'il n'y ai pas d'inquiétude inutile.
Vega a été utilisé pour remonter certaines failles a des fins d'indexation et de correction, un rapport détaillé est en cours de rédaction vous sera fournis le plus tôt possible.
Le but n'est pas de spammer le site mais de vous donner les bonnes pistes pour améliorer la sécurité de votre site.
Désolé du nombre important de requètes... le but est simplement de vous donner un coup de main, pas d'inquiétudes

Peace, WhoKnows.

- - - - - - - - - -

Message laissé le 03/08/15 à 16:00

J'ai juste envie de dire : Ne stockez jamais vos mot de passe FTP sur vos PC, SURTOUT avec filezilla qui les sauvegarde en brut.

Je me suis fait avoir et le soucis était que les fichiers portant un nom commun du style index / footer / header ont eu un script js malveillant. La source exacte je ne sais pas, mais la faille exploitée est bien le stockage de passe ftp.

- - - - - - - - - -
Live Play