Bonjour,

Ce message s'adresse principalement à Swann, mais également à toute personne ayant des connaissances en sécurité informatique et étant assez ferrue d'ouverture facile pour aider notre bon dieu ( eh oui, c'est toi, Swann ) à retrouver son forum perdu.

Serait-il possible d'avoir plus de détails dur l'intrusion, les données perdues, avez-vous encore l'accès en écriture aux fichiers... enfin tout ce qui pourrait être utile sans pourtant révéler d'information pouvant permettre au hacker de récidiver ( version du serveur... ).

Je mettrai le maximum de mes connaissances de votre côté pour vous aider.

PS : Pendant que vous y êtes, vous pourriez personnaliser les message d'erreur 403 qui indiquent gentiment à quiconque le désire la version et l'os utilisé sur le serveur...

Tout est encore là, pas d'inquiétude c'est juste un trojan qui met un iframe dans le code source du forum bloquant ainsi les utilisateurs à lire celui ci....

Swan n'est pas là un moment donc il a préféré le fermé pour ne pas avoir de soucis !

Citation:

Il semble que le hacker ai profité d'une faille de l'ancienne version d'ipb (le "moteur" du forum). Pour injecter le Trojan : PHP.RSTBackdoor ( http://www.symantec.com/avcenter/venc/data/php.rstbackdoor.html ). Le repertoire forums/upgrades contenait le virus r57shell.php à la place du fichier index.php

Ouf, je suis rassuré, mon petit forum chéri n'est pas mort...
Merci de l'info !

Ça nous est aussi arrivé sur un pauvre petit forum de guilde avec 56 inscrits (forum phpBB). Nous arrivions sur une page du type "Ce forum a été hacké par notre super groupe de Hackers etc.". Il y avait une faille qui permettait d'insérer du code php ou des commandes mysql… rien de bien grave en général.

oui sur phpBB c'est très courant
Sur IPB, ce n'est pas le même genre de hack mais c'est énervant quand même

message pour le hacker que je déteste :

tiens, je t'offre une boîte à coucou

-hacker coucou
-COUCOU

- mouhahahaha

Si tout se passe bien le forum reviendra demain soir (en fin de soirée).

AAAAAAAAAAAAAAAAAAAAH!! mais c'est super génial ça!!
J'suis super heureuse^^

merci Swan

*Arwen prie pour que tout se passe bien*

ça déchire trop la race de sa grand mère. Je suis tout perdu sans lui.

Naaan ! Demain je pars pour 10 jours

(on pourrait pas avancer ça à ce soir ? )

bon, pour ce soir alors le forum officiel swan ??

Malheurusement NON j'en doute fort !

Que vais-je faire de mes journées alors ???

Non plus sérieusement j'espère que c'est pas trop compliqué pour vous d'arranger ça... toujours pareil... toujours des cons pour détruire (ou du moins essayer) le boulot de ceux qui veulent faire partager des bonnes choses...

Merci d'exister !

a priori non :'(^^ mais ce n'est pas grave on admire quand meme votre travail

Alors voilà de plus amples informations :

Logiquement l'intrusion est réparée, le hacker avait réussi à uploader un fichier php dans le repertoire où sont stockées les images uploadées par les membres.

J'ai effacé ce fichier php (qui n'était autre que le backdoor r57shell, un virus qui donne accès au pirate à une panneau de contrôle pour faire pleins de vilaines choses sur le site) ainsi que toutes les images et le dossier uploads. J'ai mis à jour le forum vers la version 2.1.6 qui apparement ne comporte (pour le moment) pas de faille de sécurité.

La raison pour laquelle j'ai carrément viré le dossier upload :
Même avec la version 2.1.6 et le forum fermé le fichier index.php revenait. Ne me demandez pas pourquoi, je n'en sais rien.

J'ai changé les mots de passe (ftp, admin, root, etc...) et j'ai comparé les fichiers php du forum avec la version d'origine de la 2.1.6 pour voir si quelque chose a été modifié quelque part, mais je n'ai rien trouvé.

Les réponses de mon hébergeur sont évasives, "ça devrait allez maintenant, etc..." , cependant ça n'explique pas comment ce index.php vérolé a refait surface tout seul.

Pour contrer tout problème à l'avenir j'ai crée un sous domaine sans gestion du php, de l'asp ou autres fioritures.

J'ai uploadé toutes les photos sur ce sous domaine et changé le repertoire et le "chemin" du repertoire d'upload dans le panneau de contôle d'Invision Power Board. Désormais les avatars et les miniatures sont revenus.

Cependant, bien que les chmod du repertoire d'upload soient à 777, je rencontre une erreur lorsque j'essaye d'uploader une photo, ipb me dit que les permissions du repertoire ne me permettent pas cette action. De même le forum ne trouve pas l'image associée lorsque je clique sur une miniature. C'est peut être un problème lié au chemin du sous domaine ( /home/httpd/vhosts/ouverturefacile.com/subdomains/préfixe du sous domaine/httpdocs/dossier d'upload ) ou à un mauvais réglage quelque part. Toujours est t'il que le problème semble pas provenir de la gestion du php désactivée, en effet le repertoire d'upload n'a toujours contenu que des images et aucun fichier php necessaire au fonctionnement de l'upload.

J'ai envoyé une demande d'aide au support technique d'invision power board (après de longues heures à fouiner sur google pour trouver la source de ce problème, mais en vain). J'attend la réponse et je continu de chercher dans mon coin.

voilà.

une belle énigme pour notre Mr Ouverture Facile, ça ! !

courage swan, on est tous avec toi..

Swan, j'ai rien pipé à ce que t'as écrit, mais je suis de tout coeur avec toi.
Si je pouvais me rendre utile je le ferais volontiers. La seule chose que je me sente capable de faire c'est ... euh ben rien en fait...
Mais je t'encourage très fort !

Tu sais combien de temps mets une femme qui a ses règles pour changer une ampoule ?
réponse avec la voix enragée : ça prendra l'temps qu'ça prendra !!!

Ben n'enrage pas pour réparer ton forum, on peut toujours flooder sur celui là en attendant

Courage Swan, jcroise les doigts pour toi