Pauvre petit forum... sniff

Bonjour,

Ce message s'adresse principalement à Swann, mais également à toute personne ayant des connaissances en sécurité informatique et étant assez ferrue d'ouverture facile pour aider notre bon dieu ( eh oui, c'est toi, Swann ) à retrouver son forum perdu.

Serait-il possible d'avoir plus de détails dur l'intrusion, les données perdues, avez-vous encore l'accès en écriture aux fichiers... enfin tout ce qui pourrait être utile sans pourtant révéler d'information pouvant permettre au hacker de récidiver ( version du serveur... ).

Je mettrai le maximum de mes connaissances de votre côté pour vous aider.

PS : Pendant que vous y êtes, vous pourriez personnaliser les message d'erreur 403 qui indiquent gentiment à quiconque le désire la version et l'os utilisé sur le serveur...

Tout est encore là, pas d'inquiétude c'est juste un trojan qui met un iframe dans le code source du forum bloquant ainsi les utilisateurs à lire celui ci....

Swan n'est pas là un moment donc il a préféré le fermé pour ne pas avoir de soucis !

Citation :

Il semble que le hacker ai profité d'une faille de l'ancienne version d'ipb (le "moteur" du forum). Pour injecter le Trojan : PHP.RSTBackdoor ( http://www.symantec.com/avcenter/venc/data/php.rstbackdoor.html ).
Le repertoire forums/upgrades contenait le virus r57shell.php à la place du fichier index.php

Ouf, je suis rassuré, mon petit forum chéri n'est pas mort...
Merci de l'info !

Ça nous est aussi arrivé sur un pauvre petit forum de guilde avec 56 inscrits (forum phpBB). Nous arrivions sur une page du type "Ce forum a été hacké par notre super groupe de Hackers etc.". Il y avait une faille qui permettait d'insérer du code php ou des commandes mysql… rien de bien grave en général.

oui sur phpBB c'est très courant
Sur IPB, ce n'est pas le même genre de hack mais c'est énervant quand même

message pour le hacker que je déteste :

tiens, je t'offre une boîte à coucou

-hacker coucou
-COUCOU

- mouhahahaha

Si tout se passe bien le forum reviendra demain soir (en fin de soirée).

AAAAAAAAAAAAAAAAAAAAH!! mais c'est super génial ça!!
J'suis super heureuse^^

merci Swan

*Arwen prie pour que tout se passe bien*

ça déchire trop la race de sa grand mère. Je suis tout perdu sans lui.

Naaan ! Demain je pars pour 10 jours

(on pourrait pas avancer ça à ce soir ? )

bon, pour ce soir alors le forum officiel swan ??

Malheurusement NON j'en doute fort !

Que vais-je faire de mes journées alors ???

Non plus sérieusement j'espère que c'est pas trop compliqué pour vous d'arranger ça... toujours pareil... toujours des cons pour détruire (ou du moins essayer) le boulot de ceux qui veulent faire partager des bonnes choses...

Merci d'exister !

DARWINjun a écrit:

Malheurusement NON j'en doute fort !

ou alors peut-être finallement

a priori non :'(^^ mais ce n'est pas grave on admire quand meme votre travail

Alors voilà de plus amples informations :

Logiquement l'intrusion est réparée, le hacker avait réussi à uploader un fichier php dans le repertoire où sont stockées les images uploadées par les membres.

J'ai effacé ce fichier php (qui n'était autre que le backdoor r57shell, un virus qui donne accès au pirate à une panneau de contrôle pour faire pleins de vilaines choses sur le site) ainsi que toutes les images et le dossier uploads. J'ai mis à jour le forum vers la version 2.1.6 qui apparement ne comporte (pour le moment) pas de faille de sécurité.

La raison pour laquelle j'ai carrément viré le dossier upload :
Même avec la version 2.1.6 et le forum fermé le fichier index.php revenait. Ne me demandez pas pourquoi, je n'en sais rien.

J'ai changé les mots de passe (ftp, admin, root, etc...) et j'ai comparé les fichiers php du forum avec la version d'origine de la 2.1.6 pour voir si quelque chose a été modifié quelque part, mais je n'ai rien trouvé.

Les réponses de mon hébergeur sont évasives, "ça devrait allez maintenant, etc..." , cependant ça n'explique pas comment ce index.php vérolé a refait surface tout seul.

Pour contrer tout problème à l'avenir j'ai crée un sous domaine sans gestion du php, de l'asp ou autres fioritures.

J'ai uploadé toutes les photos sur ce sous domaine et changé le repertoire et le "chemin" du repertoire d'upload dans le panneau de contôle d'Invision Power Board. Désormais les avatars et les miniatures sont revenus.

Cependant, bien que les chmod du repertoire d'upload soient à 777, je rencontre une erreur lorsque j'essaye d'uploader une photo, ipb me dit que les permissions du repertoire ne me permettent pas cette action. De même le forum ne trouve pas l'image associée lorsque je clique sur une miniature. C'est peut être un problème lié au chemin du sous domaine ( /home/httpd/vhosts/ouverturefacile.com/subdomains/préfixe du sous domaine/httpdocs/dossier d'upload ) ou à un mauvais réglage quelque part. Toujours est t'il que le problème semble pas provenir de la gestion du php désactivée, en effet le repertoire d'upload n'a toujours contenu que des images et aucun fichier php necessaire au fonctionnement de l'upload.

J'ai envoyé une demande d'aide au support technique d'invision power board (après de longues heures à fouiner sur google pour trouver la source de ce problème, mais en vain). J'attend la réponse et je continu de chercher dans mon coin.

voilà.

une belle énigme pour notre Mr Ouverture Facile, ça ! !

courage swan, on est tous avec toi..

Swan, j'ai rien pipé à ce que t'as écrit, mais je suis de tout coeur avec toi.
Si je pouvais me rendre utile je le ferais volontiers. La seule chose que je me sente capable de faire c'est ... euh ben rien en fait...
Mais je t'encourage très fort !

Tu sais combien de temps mets une femme qui a ses règles pour changer une ampoule ?
réponse avec la voix enragée : ça prendra l'temps qu'ça prendra !!!

Ben n'enrage pas pour réparer ton forum, on peut toujours flooder sur celui là en attendant

Courage Swan, jcroise les doigts pour toi

Que vois-je? Après avoir été prive pendant plus d'un mois de mon forum préféré pour cause de connection internet foireuse (****** de ****** de connection), je me dirige d'un pas décidé vers l'URL bien connue, quand je m'aperçois que ledit forum est fermé! Après avoir pesté contre ces foutus hackers (non mais sans blague, ils ont que ça à faire? encore des frustrés qui sont restés à l'énigme 2 et qui se vengent mesquinement), je souhaite bonne chance à Swan pour résoudre ce problème.

Bon, du nouveau :

On m'a confirmé qu'il était effectivement, par défaut, impossible d'écrire dans un sous-domaine ou d'un sous-domaine vers un autre sous domaine.

Il semblerait qu'il faille éditer le fichier httpd.conf pour régler le problème, bon j'ai réussi à m'initier un peu au ssh, j'ai trouvé ce httpd.conf (dans /etc/httpd/conf), mais la personne qui m'a donné cette information ne se rappele plus ce qu'il faut modifier exactement dans ce fichier... J'ai cherché mais j'ai un peu peur de tenter des choses et de foutre tout en l'air.


Mais sinon il y a peut être un autre moyen d'arriver à ce que je veux faire sans utiliser de sous domaines, c'est à dire que le repertoire d'upload du forum ne gère pas le php, on peut peut être exclure un repertoire précis et dire qu'on ne veut pas que du code php soit reconnu dans ce repertoire, non ? ça serait bien plus simple...

c'est la qu'on peut dire merci à l'entraide entre internautes..

swan, voici le code qu'on copain utilise dans l'upload des images de sa galerie, sur son site.
quand on upload l'image, ce script vérifie que c'est bien une image, tout simplement ! !

Code:

//Note : $_FILES['photo'] c'est le fichier uploadé

   unset($erreur);
   $extensions_ok = array('png', 'gif', 'jpg', 'jpeg');
   $taille_max = $_POST['MAX_FILE_SIZE'];
   // vérifications
   if( !in_array( substr(strrchr($_FILES['photo']['name'], '.'), 1), $extensions_ok ) )
   {
      $erreur = 'Veuillez sélectionner un fichier de type png, gif ou jpg !'; 
   }
   elseif( file_exists($_FILES['photo']['tmp_name'])
      and filesize($_FILES['photo']['tmp_name']) > $taille_max)
   {
      $erreur = 'Votre fichier doit faire moins de 500Ko !';
   }
   // copie du fichier
   if(!isset($erreur))
   {
      //tout le code d'upload
   }
   if(isset($erreur))
   {
      echo '<p>', $erreur ,'</p>';
   }

Code:

httpd.conf

est le fichier de configuration du serveur (apache). La première chose à faire est effectivement d'en faire une copie

Code:

.bak

pour toujours pouvoir revenir en arrière. Il faudra activer ou désactiver une ou plusieurs lignes à l'aide du

Code:

#

voir insérer quelques lignes. L'endroit importe peu mais la syntaxe est rigoureuse… Je ne peux pas en dire plus… Désolé.

J'ai personnellement beaucoup joué avec ce fichier

Code:

/etc/httpd/httpd.conf

et je suis souvent revenu en arrière en rétablissant mes modifications. Je n'ai jamais rien rencontré de pire qu'un crash serveur (refus de redémarrer). Tout revenait à la normale en annulant les modifications du fichier.