J'ai upgradé coolforum en version 0.5.2.

Malheureusement aujourd'hui, mon forum viens encore d'être piraté. Voici le beau message laissé par le pirate :

Non personne n'a été hacké de cette manière avant ça !!!!!
tu peux me donner lurl de tofum stp !

regarde si ta base de donnée n'a rien perdu et sauvegarde la vite tu ne perdras rien si elle intacte ;)

mais en tt cas je préviens tout de suite CoolCoyote

edit : heu tu as deja été piraté ?

*** Message édité par nikeman le 28/10/2002 17:25 ***

Merci Nikeman de m'avoir répondu.

L'adresse de mon forum : http://91rollin.free.fr/forum

C'est la deuxième fois effectivement que mon site est piraté en peu de temps.

La première fois, mon site renvoyait directement sur http://debhian.free.fr un autre forum qui dans un des sujets expliquait, comme par hasard, comment pirater les sites.

A mon tort, je n'avais pas encore instaler les derniers patchs de sécurité de coolforum.

*** Message édité par clemouel le 28/10/2002 18:08 ***

Salut,

désolé pour ton forum, mais à priori il s'agit malheureusement d'une erreur de ta part puisque tu n'as pas supprimé le fichier install.php3 comme conseillé lors de l'installation et dans le fichier Lisez-moi.txt, ce qui a permis à ton "hacker" de créer un nouveau compte super admin et de jouer sur ton forum.

Remarque il a été sympa, d'aprés son message il n'a rien changé d'autre...
remet donc ton forum normal et supprime les fichier d'install et d'upgrade.

A priori ça devrait déjà te protéger des trous connus. Je dis pas que c'est la méthode utilisée mais au moins tu seras sûr d'être protégé contre les trous connus.

A noter que dans la prochaine version il ne sera plus possible d'utiliser le forum si ces fichiers sensibles sont toujours présents...

juste une question, comme ça (j'essaye de comprendre ce qu'il a fait) : mon mdp administrateur est-il le même que ton FTP ??

Ca c'est de la réponse rapide ! Merci...

OK je viens de supprimer les fichiers install.ph3 et upgrade.

Mon mot de passe administrateur n'est pas le même que mon mot de passe ftp.

En revanche, mes fichiers forum/index.ph3 et index.html à la racine de mon site ont bien, à deux reprises, été modifiés.

Souhaites-tu avoir le contenu du fichier forum/index.ph3 ainsi piraté ?

N'y a-t-il pas la possibilité pour une personne mal intentionnée la possibilité de connaitre le contenu de la variable $pass dans /forum/secret/connect.php3 qui est le mot de passe ftp du site et de la l'accès à la base de données ?

salut, à priori non, mais comme dans l'administration on a la possibilité d'inclure du javascript dans les options générales -> code html haut et bas, il est possible qu'il ait utilisé ça pour faire ses modifs..
le top du top serait que tu me fournisse le plus possible d'infos, à savoir un backup de ta DB et ton fichier index ouais, envoie moi tout ça par mail à coyote@coolcoyote.net pour que je puisse fouiner voir un peu si c'est bien comme ça qu'il a fait. Au cas où garde tout on sait jamais si j'ai besoin d'autres trucs.

Merci à toi

ah moi suis parano donc j'ai fait une vidange de compte...
J'ai tout en double.. Je n'ai donc plus aucun fichier depuis le piratage.. Au cas où que le gars aurait mis une backdoor en php (j'me comprend hein !!)

Wala...

allé @ ++

Bon, veux pas vous emmerder mais suffit de prévenir votre hébergeur pour qu'il mette votre adresse sous surveillance et repérer le connard en question.

Le hack, du moins en Belgique, est du niveau piraterie informatique et aux dernières nouvelles passible d'une amende de 20000 euros et 2 ans de taulle

D'autant plus que le site signalé est contraire à toutes les lois en vigueure, donc supposé être viré en cas de plainte officielle

c pas le but, le gars n'a rien viré, il a simplement prévenu d'une faille !!

Le vrai connard c celui qui te casse tout... Là rien n'est cassé au contraire, c'est à but de prévention je trouve ça bien.. .C'est le véritable esprit du hacking !!

Wala !!

je pense que le problème n'est pas là... ce qui me préoccupe pour le moment c'est d'être sûr qu'il a bien utilser le fichier install.php pour faire le piratage.

Donc vu que Gun a eu le même piratage, faudrait savoir si toi aussi tu avais laissé ce fichier sensible. Si c'est le cas, il y a de fortes chances qu'il ait bien utilisé cette méthode. J'aimerai rapidement exclure la possibilité d'un nouveau trou de sécu dans le forum, car comme on l'a vu à deux reprises, il n'est pas infaillible et rien ne dit qu'il n'existe pas un autre trou qui est passé sous le nez de tout le monde... Donc à déterminer

aucun fichier install, je les vire à chaque fois... Mais bon rien ne dit que ça vient du forum, vu que j'ai aussi un site prg en PHP.. Mais c'est des scripts maison et je suis presque sûr de ces derniers...

Oui c sûr !!

Je ne suis pas un grand spécialiste en informatique.

Néanmoins, je me pose une question : comment un haker peut-il connaitre le mot de passe ftp d'un site si ce n'est qu'en consultant celui-ci mentionné dans /secret/connect.php3 ?


P.S. je viens de t'envoyer coolcoyote ma BD.

C'est tout simple. En général chez les hébergeurs ont te file un compte don tut peux modifier le pass. Mais ce pass te sert pour :
-> des bases de données
-> ton compte FTP
-> ton webmail (boîte mail)
-> ton espace memebre...

Wala !! Mais bon je ne trouve pas ça top ! Il serait judicieux de pouvoir donner 4 pass différents (mais bon c plus chiant à gérer, quoique...)

Allé @ ++

Super cool d'étudier ce problème.

Salut,

Et tout d'abord meilleurs voeux de bonne et heureuse année à vous tous.

Voilà bien longtemps que je ne me suis pas connecté sur le forum. Vraiment désolé mais bien d'autres occupations personnelles et professionnelles m'ont accaparé ces derniers mois...

Il se trouve que je viens d'être victime, moi aussi, de l'attaque d'un hacker sur mon site. Il m'indique que la faille viendrait de Cool Forum (nous ne l'utilisons plus en ce moment, mais il est toujours sur le site pour consultation des archives). Pourtant les différentes updates jusqu'à la 0.5.2 ont bien été réalisées, et le fichier install.php3 supprimé.

Je vous donne l'adresse du forum :
http://www.cadredesante.com/forum/index.php3

Merci de votre aide.