Da H4ck3r Code

Que d'émotions nous avons eu hier sur le forum Alsacréations : de sympathiques visiteurs turcs sont venus gentillement nous rendre visite. Ils nous ont même redécoré la façade. On n'en demandait pas tant.

défacement du forum Alsacreations

Le forum a été l'oeuvre d'un bref mais captivant défacement, comme le montre la capture d'écran ci-jointe.

Ce piratage, qui a eu lieu aux alentours de 14 heures hier, nous a permis de remettre en cause tous les mots de passe FTP et bases de donnée que comporte Alsacréations et ses nombreux sous-domaines.

Cette alerte a mobilisé pendant quelques heures Dew et Salemioche (qui héberge toute la communauté Alsa depuis un moment maintenant).

J'en profite d'ailleurs pour adresser un énorme merci à Salemioche qui a découvert l'origine du problème : il s'agissait en fait d'une faille de PlumeCMS (l'outil de gestion de contenu utilisé pour les tutoriels Alsa) et que je n'avais pas correctement mis à jour. [1] PS : si vous cherchez un hébergeur très disponible et dont l'un des soucis principaux est la sécurité, il est tout trouvé ;)

En clair : à partir d'une faille de PlumeCMS utilisé uniquement pour les tutoriels, les pirates avaient accès à l'ensemble de la communauté Alsacréations : forum, tutoriels, blog, emploi, etc. !

On pense toujours que ça n'arrive qu'à son voisin et qu'il ne peut rien nous arriver car nos mots de passe sont inviolables. Ici, les mots de passe n'ont pas été touchés et les pirates ont quand-même réussi à s'introduire dans le système un court instant.

Mais ce n'est pas étonnant au fond; Ne dit-on pas fort comme un turc ? :)

Notes

[1] Voir à ce propos la note de sécurité à propos du fichier prepend.php sur le site français de Plume CMS.

Par Raphael GOETTER - dimanche 28 mai 2006 à 17:28

Blabla - #254 - Lu 6810 fois - Intérêt du billet: 2(3) - Fil RSS

Trackbacks

Aucun trackback pour le moment.

Les trackbacks pour ce billet sont fermés.

Evaluez ce billet

Commentaires

Le dimanche 28 mai 2006 à 19:12, par Felipe :: site :: #

"car nos mots de passe sont inviolables". Même dans l'adversité, toujours le mot pour rire!

Le dimanche 28 mai 2006 à 19:13, par Mobman02 :: site :: #

Les mises à jours, toujours faire ses mises à jours qu'il disait :)

^^

Le dimanche 28 mai 2006 à 19:43, par SuperDevy :: site :: #

A tient, toi aussi t'utilises l'extension Firefox pour avoir le PageRank. Elle est super pratique, n'est-ce pas.

Ceci dit, il est vraiment balèse le pirate.

Le dimanche 28 mai 2006 à 20:16, par Lanza :: #

Elle était valide au moins, cette page ?

Le dimanche 28 mai 2006 à 21:53, par Maryline :: #

La question qui se pose est: mais pourquoi défacer et ne pas avertir par i-méïlleuh?

Le dimanche 28 mai 2006 à 22:02, par Raphael :: site :: #

"Elle était valide au moins, cette page ?"

> <meta name="generator" content="microsoft word 10" />
C'est suffisant comme réponse ? :)

Le dimanche 28 mai 2006 à 22:33, par Nautre125 :: site :: #

Triste de voir que l'on puisse s'en prendre a un site si utile pour le web, surtout quand on lis que les hackeur aurait grand besoin de lire les tuto du site (et des cours de xHTML).

bravo a l'equipe pour le retablissement rapide du site.

il semble cependant subsiter un probleme au niveau de la FAQ.

Le lundi 29 mai 2006 à 02:25, par Thanh :: site :: #

A quand un pirate qui installe un démon Unreal Tournament Server?

Le lundi 29 mai 2006 à 08:52, par Raphael :: site :: #

@Nautre125 > Merci, c'est réglé pour la FAQ :)

Le lundi 29 mai 2006 à 09:21, par Lanza :: #

Raphaël : Ah Word 10 effectivement, c'est peu probable. Pour les prochaines versions, je suis moins catégorique.

Je suis en train d'essayer "Expression Web Designer", et je me suis aperçu que Microsoft essaie de "rendre valide" ses extensions Wordiennes à grand coups de commentaires conditionnels.

Donc avec un peu de chance sans windows/ie/ms-office, on ne verra rien du document, mais le code sera valide. :/

Le lundi 29 mai 2006 à 12:15, par ctito17 :: #

et bien vous avez été pris pour une tête de turc (Personne en butte aux sarcasmes, aux mauvais traitements et aux plaisanteries douteuses)...
Par contre, c'est cool d'avoir réglé le problème mais quand est-il de la base de données d'Alsacréations ? A-t'elle été violées... Est-il possible d'être spammé, maintenant... ?

Le lundi 29 mai 2006 à 12:50, par Raphael :: site :: #

@ctito17 > personne n'a été violé, ne t'inquiète pas :)

Le lundi 29 mai 2006 à 13:38, par Monique :: site :: #

Bonjour,

Ah ben ils sont fous ces Rom... euh, ces Turcs !

Mais le principal, c'est qu'il n'y ait pas de dégât irréparable.

Amicalement,
Monique

Le lundi 29 mai 2006 à 13:42, par Lars :: #

C'es pas sympa, surtout que la Turquie est pour l'Europe ce que l'Alsace est à la France : c'est vers la droite sur la carte.

Le lundi 29 mai 2006 à 14:02, par Monique :: site :: #

Humour et coïncidences...

En continuant ma tournée des blogs, je trouve ce lien www.ethicalhacker.net/con... "Tester les applications web" sur celui du Webguide.fgov.be ;-)

Amicalement,
Monique

Le lundi 29 mai 2006 à 17:07, par ctito17 :: #

@Raphaël> Me voilà rassuré... merci ;)

Le lundi 29 mai 2006 à 18:19, par QuentinC :: site :: #

Ah ben bravo ! Ils vous ont pris pendant un instant pour des têtes de turcs !

Tant qu'ils ont pas piqué le pwd de la BD... ça va...

Comme quoi, les CMS... vive les trucs home made dont on a la maîtrise à 100% (ceci étant dit, cela n'exclut pas les failles, mais au moins comme c'est pas un truc connu, les hackers ne s'y aventurent pas trop...)

Et tant mieux, les problèmes n'ont apparament pas duré très longtemps.

Le lundi 29 mai 2006 à 18:24, par Raphael :: site :: #

Tiens, en passant, j'ai entendu qu'Alsa était loin d'être le seul site touché.
Apparemment ils y'aurait eu un "concours" du plus grand nombre de site défacés ce jour là.
Plus de 25000 sites web basés sur Dotclear et ses avatars (PlumeCMS par exemple) et dont la version n'était pas à jour aurait été touchés.

Le lundi 29 mai 2006 à 20:13, par M@teo21 :: site :: #

Je suis un grand traumatisé des defacements (et limite un habitué de la maison).

Ce n'est pas par hasard si depuis on n'utilise plus de scripts tous prêts. Certes ça demande du travail mais ça nous épargne ce genre de désagréments.
En effet, le plus souvent les pirates ne sont pas très doués, ils exploitent simplement une faille connue sur un script connu.

S'il leur faut découvrir une faille dans un système qu'ils ne connaissent pas, ça les décourage et ça élimine la grande majorité des "hackers" potentiels.

Le mardi 30 mai 2006 à 01:28, par cynic- :: site :: #

et... ils s'y sont mis en bande ??? :P

Le mardi 30 mai 2006 à 04:54, par QuentinC :: site :: #

A part ça, je ne sais pas si c'est directement lié mais j'ai l'impression que ces temps-ci, il y a des vagues de spam un peu partout sur le web. Plusieurs sites que

Le mardi 30 mai 2006 à 09:37, par jp :: site :: #

Un bel exemple (malheureux certes) qui rappel vite la réalité du web !

Heureusement pour cette belle communauté, nos amis du bosphore n'étaient que peu intentionnés.

Merci pour le report Raphaël et grand chapeau aux hébergeurs ;)

Le mardi 30 mai 2006 à 12:53, par Stéphane :: site :: #

Et c'était quoi exactement la faille de Plume en question ?

Le mercredi 31 mai 2006 à 14:57, par Felipe :: site :: #

En suivant le lien en Notes de ce billet, on tombe sur secunia.com/advisories/18... (en)

Le vendredi 2 juin 2006 à 18:15, par Romain :: site :: #

Attention, je tiens à attirer votre attention sur le fait que la dernière version stable de Plume CMS, à savoir la 1.0.3, ne permet pas d'être à l'abri des failles de sécurité.

En complément du commentaire de Felipe, voici le lien vers un article plus récent de Secunia : secunia.com/advisories/20...

Il faut donc également indiquer la ligne suivante dans le fichier /manager/frontinc/prepend.php, après le bloc de licence : if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;

Un autre moyen pour se protéger consiste à faire passer register_globals à Off dans le php.ini, ou via la directive .htaccess associée. La récupération des paramètres se fait alors uniquement avec les tableaux superglobaux tels que $_GET. Or, la modification n'est pas toujours possible, notamment dans le cas d'un hébergement mutualisé.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.