Christophe Casalegno a écrit 106 commentaires

La fibre optique sert uniquement au repérage des câbles... cf [http://www.patchsee.com]

" (tous hébergés sur le même serveur, y compris ses super clients secret défense se la mort), "

On ne peut pas laisser écrire des conneries pareilles. Je pensais que vous étiez seulement de mauvaise foi mais au vu de ce dernier message, on peut se poser la question de savoir si vous n'êtes pas un nuisible qui agit sur commande : vous êtes payé par qui ??

Digital Network n'héberge à 99% des serveurs et infrastructures dédiées, dispose de ses propres suites et infrastructures (que les clients ont pour la plupart déjà visités) avec plusieurs points de présence et c'est très facile à vérifier.

Quelques classes ips exploitées au hasard : 83.143.16/17/18/19/20/21/22/23.0 195.242.191.0 194.246.101.0 '195.140.140-1-2-3.0, etc..

Autant mon intervention dans ce thread est à l'origine effectuée à titre personnelle et en mon nom propre, autant les *très graves* accusations que vous portez sont à classer dans un tout autre registre.

Moi qui pensais avoir été clair dès le départ : j'ai dit dès le début que c'était un site statique. C'est exactement le fonctionnement sauf

- que le message apparait que dans certains cas de figure
- change en fonction des mots clef utilisés dans les champs également ! (c'est pour ça que j'ai dit dès le départ : si tu as essayé l'injection vraiment, tu as pu voir que ça ne peut pas marcher), en effet en sus des caractères si certaines chaines étaient détectées (insert, select, delete, etc...) on a droit à un message d'erreur différent, voir à un gag qui simulait carrément l'affichage d'un shell root...

Il y a même des check alétoire en fonction des ips qui va vérifier sur une liste de proxy (if ip = bla bla htt http://www.digital-network.net/cache.html), etc..

Et pour finir, je faisais la remarque que c'est en place depuis des années, mais tous ceux qui l'ont fait avant étaient allés "plus loin", en testant vraiment l'injection (ce qui n'a pas du être essayé ici), et comprenent donc le jeu au bout d'un moment.

D'ailleurs, si vous avez sauvegardé les pages html qui renvoient les fausses erreurs php, il y a des commentaires html dans la page pour indiquer qu'il s'agit d'une "arnaque" genre // celle là c'est un poisson. Il suffit de faire "afficher le source", ça y est pas dans doute mais dans 90%, donc si vous avez fait plusieurs tests, affichez le source et vous verrez..

Bon impossible de discuter face à des gens qui n'ont *aucun* arguments, "tu t'enfonces bla bla", aucun fait, comme d'habitude. Les mêmes existaient déjà il y a 10 ans... Je vois pas en quoi j'ai raconté n'importe quoi sur mariaDB, en ce qui me concerne les bases se migrent parfaitement de mysql vers mariadb et sans soucis. Bonne nolife.

Ma réponse ci-jointe

[http://www.christophe-casalegno.com/2010/09/19/script-kiddie(...)]

sur ce, très bonne "continuation"...

Ma réponse, sur ce, je m'en tiens désormais au post initial, les troll, ça fait "dino", à savoir un fork de mandriva...

[http://www.christophe-casalegno.com/2010/09/19/script-kiddie(...)]

ça veut juste dire que je croyais que ce n'était qu'une seule personne depuis 2 adresses ips différentes, et qu'il y en avait 2 : 206.167.245.2 ... maintenant encore beaucoup plus, une 50aine à faire la même chose... : P

Non comme une source de spam :

anus@anus.com Sam, 23:08 Contact via www.digital-network.net

anus@anus.com Sam, 23:33 Contact via www.digital-network.net

kikou@example.com Sam, 23:47 Contact via www.digital-network.net

kikou@example.com Sam, 23:48 Contact via www.digital-network.net

anonymous@example.com Sam, 23:49 Contact via www.digital-network.net

anonymous@example.com Sam, 23:49 Contact via www.digital-network.net

anonymous@example.com Sam, 23:51 Contact via www.digital-network.net

anonymous@example.com Sam, 23:53 Contact via www.digital-network.net

pla@pla.prg 0:34 Contact via www.digital-network.net

pla@pla.prg 0:37 Contact via www.digital-network.net

pla@pla.prg 0:37 Contact via www.digital-network.net

pla@pla.prg 0:38 Contact via www.digital-network.net

Pourquoi ton premier message aurait affiché une erreur s'il ne contenait pas le caractère testé pour le if ???

Bon comme tu ne veux pas comprendre, j'en fais mon propre billet complet, avec tout l'historique et tous les logs...

*tout* ce que tu dis est faux. Le site n'a jamais été coupé, il n'y a jamais eu de sql (avant que je te le mette dans la seconde partie et que je re-whiteliste ton adresse ip) et j'ai au moins 50 personnes qui peuvent témoigner de l'existence de ceci depuis plus de 7 ans suite justement à une histoire similaire à la tienne...

Dis toi bien que le site reçois ce genre de test des centaines (milliers ?) de fois par semaine, et que ce serait publié depuis longtemps... Et que le site n'a pas bougé depuis des années... Ce que tu peux vérifier facilement également.

J'ai simplement voulu pousser un peu l'amusement car ta réaction m'a fait sourire, je ne m'attendais pas vraiment à ce que tu continues droit dans le panneau. Ce qui est amusant, c'est que suite à tes commentaires, j'ai reçu une 50aines de tests similaires d'autres adresses que la tienne...

Bref, j'ai voulu être sympa, ça ne marche pas, je publie le dossier complet sur mon blog dans quelques minutes :) Je me suis cependant dispensé de donner ton adresse ip.

Dis toi bien que si ce que tu dis était le cas, et avec les nombreux "amis" que j'ai, le site serait défacé depuis longtemps... Mais rien ne dit que ça n'arrivera pas un jour, ça arrive bien à la nasa ;). On réagira vite, et on corrigera : l'erreur est humaine et tout programme de plus de 100 Ko est buggué. A bon entendeur...

lol

Je renvoie tous ceux qui lisent ici au post et à l'explication complète d'origine disponible sur linuxfr :

http://www.linuxfr.org/2010/09/18/27393.html

Je trouve dommage ces réactions (trop) rapides sans prendre le temps de lire. Je tiens à la disposition de celui qui le voudra la preuve que le serveur n'a jamais été arrêté.

J'avais seulement mis une règle iptables sur l'ip de notre ami ici...

Contrairement à ce que tu indiques dans ton journal écrit (trop) vite, le site n'était pas et n'a jamais été down durant ce temps (ce que je peux aussi prouver avec les logs du serveur...)

Je t'avais juste blackslité toi avec iptables... Merci de montrer que tu es quelqu'un d'honnête et de rectifier en conséquence.

Le message d'erreur était affiché via la commande "echo", mysql_real_escape_string() ne peut pas être utilisé : il n'y *a pas* de base de données..

Je parlais bien du reverse du serveur qui héberge le site, et non du tiens. Il faut toujours vérifier histoire de ne pas avoir d'ennuis. Bon, on fait la paix ? ;)

Des fois que tu restes septique ce qui est généralement une habitude un exemple :

root@rdp13 /home/digitalnet/www # ls -altr /usr/local/Zend/etc/php.ini
-rw-r--r-- 1 root root 27950 2009-02-28 20:48 /usr/local/Zend/etc/php.ini

root@rdp13 /home/digitalnet/www # cat /usr/local/Zend/etc/php.ini |grep display_error |grep -v ";"
display_errors = Off

root@rdp13 /home/digitalnet/www # cat qmail.php |grep mail |grep if
if(eregi( "^([-!#\$%&'*+./0-9=?A-Z^_`a-z{|}])+@([-!#\$%&'*+/0-9=?A-Z^_`a-z{|}]+\\.)+[a-zA-Z]{2,8}\$" ,$mail)!=0) {

root@rdp13 /home/digitalnet/www # tail -n 7 qmail.php
else

echo "plus rien non plus...";

}

?>

Pour résumer, le diplay_error est à off depuis (au moins) la date affichée (depuis toujours en fait). Il ne peut donc pas y avoir de message d'erreur...

Le php.ini n'a jamais été modifié depuis. Le formulaire n'as pas de sql, c'est juste un formulaire d'envoi d'email qui forwarde sur sales@digital-network.net que je reçois en copie..

Pour chaque variable y'a un test à la con (exemple plus haut celui de l'email) qui dit en gros : si l'info envoyée ne correspond pas à ce qui est attendu, on envoie un code à la con via "echo", choisi en fonction de la "technique" utilisée (en fonction de ce que tu aurais testé, t'aurais même eu droit à un access granted uid 0 bla bla...

De même la page www.digital-network.net/admin renvoyait une une interface (bidon c'était du html), genre "administration de l'extranet du groupe bla bla"... Voilà pour toute l'explication..

Cela dit, personnellement je n'y connais pas grand chose en SQL injection non plus (mais j'ai des collaborateurs qui connaissent), chacun son domaine. Et je suis le premier à dire qu'aucun système au monde n'est invulnérable, les notres ne font pas exception : le meilleur de la sécurité, ce sont des intrusions rares, rapidement détectées, compartimentées et traitées... Je pense qu'en terme de délais de réponse, c'était plutôt pas mal non ? ;)

Sans rancune. Bonne soirée.

Si... l'erreur s'affiche uniquement si tu utilises un échappement, la page "administration de l'extranet bla bla", s'affichait en faisant juste /admin, etc... ça ne fait que 7 ans... c'est pas grave, dis toi bien qu'avec le nombre de merdes qui passent par jour dessus... Bref, j'enlève tout, y compris les messages d'erreur aléatoires sur les blabla.php?a=toto.php... (c'est un site statique...)

Si tu voulais tester comme tu le dis, tu aurais pu mettre des données "normales" et pas "anus", et je ne me serais même pas emmerdé à retrouver de qui ça venait... Et quand tu fais ce genre de trucs, vérifie le reverse du serveur avant... on sait jamais, ça aurait pu être quelqu'un de beaucoup moins sympa que moi qui réponde...

@+ et bonne soirée..

Peut être ne faut t'il pas enterrer Mandriva trop vite ? Je ne sais pas les décisions qui ont été prises ni les motivations associées, mais parfois, lors de grands changements, des personnes de qualité sont licenciées pour mieux "repartir à zéro", sans antécédents.

Des développeurs compétents, il y en a beaucoup sur le marché, Mandriva peut encore recruter de ceux là.

J'espère que cette distribution n'est pas morte, j'ai un attachement personnel à cette distribution, et même si le fork peut devenir une référence à son tour, il serait dommage de perdre cette référence française...

Pourquoi les gens ne lisent jamais les historiques... ? Si tu as testé l'injection, tu auras remarqué que la base de données n'existe pas... Vais afficher un morocons pour ceux qui n'ont décidément aucun sens de l'humour... et un gros Defaced by Myself... Décidémment les années passent, mais les mentalités ne changent pas :( et toujours aussi dépourvues d'humour :(

Très cher Pankkake, ou devrais-je dire Mr le responsable de la SSII "anus", n'avez vous rien d'autre chose à faire que polluer les formulaires de contact de sites que vous visitez de la sorte ?

"Message : anusanusanusanusanusanusanusanusanusanusanusanusanusanus"

Amis du bon goût, bonsoir... Triste mentalité.

MariaDB n'a rien d'experimental : c'est MySQL sans les bugs, plus léger, et réellement libre (et non pas sous le joug d'Oracle...). Îl n'y a même pas à changer la configuratoin, même les binaires portent le même nom. Le remplacement est transparent.

C'est la même chose en mieux et en *libre*. Il n'y a même pas les fichiers de config à toucher.

lol, un peu de sourires dans ce monde cruel et impitoyable ;)

Les années passent mais les mentalités ne changent pas. A peine posté sur mon blog, qu'on parle déjà de "bras cassés"... :/

[http://www.christophe-casalegno.com/2010/09/18/premier-fork-(...)]

Perso, je ne connais pas l'équipe, mais saluons tout de même l'initiative, quoi que cela devienne.

Peut être avec de la chance vera t'on mysql remplacé par MariaDB dans cette distribution...

Arf je viens de me connecter sur le chan en question, le mec est connecté en direct, sans proxy à partir de son adresse en belgique...

A mon avis c'est une attaque d'une tribu de troll, ou bien le mec est cinglé...

amicalement,

--
Christophe Casalegno | Digital Network | UIN : 153305055
http://www.digital-network.net(...) | http://www.securite-reseaux.com(...)
Institut International des Hautes Etudes de la Cybercriminalité
Technical director | Security Intrusion techniques specialist.