Bonjour,

Je pense qu’une petite explication s’impose concernant la mésaventure qu’à connu le site dans la soirée du 09 février 2006. Un défacing en règle par le biais du module AllMyGuests du site www.php-resource.net. Je savais que ce module avais un souci de sécurité, ce que je ne savais pas c’était à quel point. Du coup j’ai remis à plus tard un examen approfondit de ce dernier. Grand mal m’en a prit car s’il était aisé de défacer un site en passant par ce module, il était tout aussi « facile » de prendre le contrôle FTP. Ben oui, j’en tombe aussi des nus, comme quoi on en apprend tous les jours.
Au final et je ne parlerai que des attaques réussit, le site en a subit deux. Une le 08, dont je vais reparler, l’autre le 09 qui concerne le défaçage. Sur ce dernier, que du classique une injection basique dans la table « config» en passant par le fichier « signin.php » du fameux module.
Pour la seconde attaque, l’entrée est la même mais le but et le résultat sont totalement différents. Ici le « jeux » consiste à prendre possession d’une partie de votre espace disque sans que vous ne vous aperceviez de rien. Cela en créant un ou des répertoires précédés d’un point. Ainsi et suivant comme vous avez configurez votre logiciel de transfert FTP, ils ne vous apparaîtront pas. Une fois l’espace créé, le vers XH ou équivalent sera injecté suivit d’un « httpd » et « apache » pour la configuration du tout. Bien sur, le plaisantin prendra bien soins de n’éveiller aucuns soupçons car le but final est de se servir de cet espace pour mettre à disposition des téléchargements par forcément en règles. Le tout « à l’insu de mon plein grès » comme dirait l’autre ;-) .

Que faut il retenir de cet épisode ?
- Mon hébergeur n’y est strictement pour rien et je m’excuse si j’ai pu laisser le moindre doute sur celui-ci.
- Il ne faut pas faire le fainéant et corriger ou supprimer le moindre fichier qui vous semble suspect. Le tout même si l’on est mieux sur une paire de ski.
- Surveiller vos logs et alertez vous à la moindre recherche sur un de vos modules style « modules.php?name?AllMyGuests ». Evidemment faire ce qui est mentionné supra en cas de découverte de ce style de log.
- La sécurité totale n’existe pas et n’est pas prêt de l’être de mon point de vu. Néanmoins ne pas faire ni le fainéant moyen, ni le crétin. En résumé ne pas faire comme moi et jouer avec le feu ;-) .
- Comme répété bien souvent, maintenez votre site à jour des derniers correctifs.

En conclusion ? Ben pas grand chose. J’avais deux solutions, soit dire ce qui c’était passé, soit la fermer. Bon j’ai choisit la deuxième quitte à passer pour un benêt ce qui, au final, ne me dérange absolument pas, bien au contraire. Si la première attaque est pas mal je trouve (façon de parler), la deuxième est très moyenne. Le but est totalement différent surtout lorsque l’on essaie de se faire passer pour un team. Mais bon, que voulez vous, c’est ainsi. Il y aura toujours de la jalousie dans l’air, ce qui engendrera toujours soit, des posts anonymes soit, des attaques diverses. Ce qui est certain c’est que tout cela m’en a « touché une, sans faire bouger l’autre » comme on pourrai le dire vulgairement. Si le but était de me faire tenir la langue c’est raté, s’il était de me « foutre les boules » c’est raté aussi et s’il était de m’instruire la par contre c’est réussi et par conséquence merci.

Portez vous bien, bises.