Bonjour à tous !

Une mésaventure arrivée à l'un des "infogérés" m'a décidé à publier ce post.
Il se reconnaîtra facilement !

Depuis la sortie de IPB V2.1.5 il y a eu un nombre plus important de forums tournant cette version qui se sont fait hacker. C'est dû à certains exploits sous IPB V2.1.5. Invision a rapidement mis à disposition des patches de sécurité, fait procéder à un audit de son code et mis la version IPB V2.1.6 en téléchargement.

IPB V2.1.6 est la version la plus stable et sûre (à l'heure où j'écris ce post) du forum Invision. Il est fortement conseillé à tous de mettre leurs forums à jour pour éviter qu'ils se fassent hacker.

N.B.: La plupart de ces "trojans" sont le résultat d'un exploit dans le code IPB et non dans une mod..

Néanmoins, un certain nombre d'utilisateurs n'ont pas fait la mise à jour à cause d'une licence expirée ou par manque de temps, ce qui a valu à leur forum de se faire hacker.

Ce guide va décrire la meilleure manière de faire la mise à jour vers 2.1.6 au cas où votre forum aurait été hacké récemment.

Si votre forum a été hacké, vous trouverez dans le "board wrapper" une iFrame similaire à celle-ci:
(l'URL a été éditée par mes soins pour des raisons évidentes de sécurité )

Le code ci-dessus résulte en une demande à l'utilisateur de télécharger un fichier, et ce fichier est un trojan qui infectera le PC sur lequel il est téléchargé.
Les antivirus tels que Kaspersky l'interdisent et le visiteur ne risque donc rien avec eux, mais tout le monde n'est pas correctement équipé en antivirus, malheureusement ...

Je vais donc vous expliquer comment faire la mise à niveau vers la version V2.1.6 et vous donner quelques trucs pour prévenir les attaques futures.

Etape 1

Le fait de faire simplement un "drag and drop" des fichiers de la v2.1.6 sur ceux de la v2.1.5 ne résoudra pas complètement le problème - vu que le hacker a peut-être déposé sur votre serveur d'autres fichiers qui pourraient se montrer dangereux plus tard.

Avant de poursuivre, je vous recommenderais de faire une sauvegarde des répertoires "uploads", "style_images" et du fichier "conf_global.php" avant de passer à l'étape suivante.

Pourquoi ces répertoires ?

Certains forums peuvent autoriser aux admins/modos/membres de télécharger des pièces jointes à leurs posts - ces fichiers se retrouvent dans le répertoire "upload" . De même, certains forums pratiquent une customisation des "skins" en téléchargeant des fichiers image (le logo par exemple) qui seront utilisés par le "skin". Le fichier "conf_global.php" est le fichier de configuration. Il est important car il contient quantité d'informations utiles à votre forum (emplacement des répertoires et fichiers, paramêtres etc.).

Donc, la meilleure chose à faire en place du "drag and drop" est de supprimer tous les fichiers et répertoires dans l'arborescence de votre forum.
Une fois fait, passez à l'étape suivante.

Etape 2

Elle est simple et consiste à télécharger tous les fichiers de la version 2.1.6 sur votre serveur.
Une fois ceci fait, remettez en place les répertoires "syle_images", "upload" ainsi que le fichier "conf_global.php" que vous venez de sauvegarder.
Fait ? Passons à l'étape suivante.

Etape 3

Maintenant que vous avez supprimé les anciens fichiers et transféré avec succès (nous osons l'espérer) les nouveaux fichiers de la version 2.1.6, il vous faudra faire la mise à jour de votre base de données avec les scripts fournis par Invision.
Ceci se fait tout simplement en visitant le répertoire "upgrade" de votre installation.
Par exemple : Ceci lancera le script d'upgrade Invision qui vous guidera durant la procédure.
Fini ? Heureux de l'entendre, passons à l'étape suivante !

Etape 4

Si tout va bien, vous avez réussi l'étape 1 (suppression des fichiers,et sauvegarde), l'étape 2 (téléchargé tous les fichiers de la version 2.1.6 et les sauvegardes de votre forum) ainsi que l'étape 3 (lancé le script de mise à jour). Si tout s'est bien passé, il vous reste encore un point à valider, et c'est le plus simple à faire.

Allez sur votre forum, et naviguez sur le forum, les sous-forums et les sujets (le mieux est de faire ceci avec I.E parce que les navigateurs récents vous mettent à l'abri de cet exploit par iFrame). Il ne devra pas vous être demandé de télécharger un fichier, et si vous analysez la source de vos skins, vous ne devrez voir aucun code iFrame similaire à celui que j'ai mentionné plus haut passé la balise <body>.

La meilleure manière d'être sûr après avoir été hacké est de suivre scrupuleusement les instructions qui précèdent. Vous pourrez ensuite dormir sur vos deux oreilles.

Bonne chance à tous !

Pour mémoire: Il n'y a aucune faille de sécurité confirmée pour IPB V2.1.6.

Dan

En cas d'exploit, voici quelques informations supplémentaires.

Les fichiers envoyés sur votre serveur peuvent avoir plusieurs formats différents. Gardez en mémoire qu'Invision n'utilise aucun cgi, ni aucun fichier .pl ou .perl. Ces fichiers sont donc suspects, sauf si vous les avez installés délibérément.

On trouve aussi des fichiers .htaccess, dans les répertoires avec permission d'écriture. Ce que ces fichiers .htaccess font est simplement rediriger le visiteur vers un de ces fichiers php malveillants. Vérifiez tous les répertoires en mode 777 et assurez-vous qu'ils ne contiennent aucun fichier .htaccess que vous n'avez pas mis vous même. Vérifiez scrupuleusement le contenu de ces fichier dans cette éventualité.

Visitez ensuite tous vos répertoires en mode 777 (tous ceux dans lesquels tout le monde peut écrire) et assurez vous qu'il n'y a aucun fichier .php dans ceux-ci.

Par exemple (aucun de ces répertoires ne doit contenir de fichier .php):

Important - pour les répertoires skin cache et lang cache, essayez de vérifier les fichiers lang_*.php files qui DOIVENT y être.
Comparez ces fichiers avec ceux de l'installation par défaut, et notez toutes les modifications dans ces fichiers téléchargés. Dans l'incertitude, téléchargez-les localement et vérifiez qu'ils ne contiennent que des déclarations de variables.
Faites la même chose pour les fichiers skin. Les fichiers skin valides ont une entête montrant qu'Invision a créé ces fichiers. Ne les éditez pas !

Assurez-vous encore qu'il n'y a dans ces répertoires aucun fichier .htaccess que vous n'avez pas mis intentionnellement.

Attention: les fichiers .htaccess sont cachés par défaut sous le shell Linux. Il faut utiliser "ls -a" pour les voir.

Un autre point à vérifier en cas de hack: le fichier conf_global.pghp.
Téléchargez-le en local et regardez consciencieusement si rien ne vous semble bizarre.
Dans le doute, postez cette ligne sur le Hub !

Vérifiez aussi dans le panneau d'administration le "Board Wrapper" de toutes vos skins. Supprimez le <iframe> si vous le trouvez.

Au cas où votre fichier conf_global.php aurait été modifié. Changez le mot de passe de mysql avec Cpanel ou phpMyAdmin, et éditez le fichier conf_global.php.
Recherchez aussi dans votre base de données si vous n'avez pas de membre ayant le statut admin si vous ne les avez pas nommés vous-même.
Essayez dans ce cas de tracer l'IP du visiteur ayant accédé à admin.php, et tracez tous les fichiers vus sur le serveur par cette IP.

C'était quelques idées, pas forcément exhaustives

oops, on parle de moi ici ?

Hello

je profite de ce topic pour dire :

- il ne faut JAMAIS dire "je ferais la mise à jour demain"
c'était mon cas. (panne d'adsl, j'aurais du demander à quelqu'un de me la faire)

Et encore je serais tenté de dire que ce n'était pas un trop méchant Hack, car ça touchait que les visiteurs ayant Internet Explorer et pas d'anti-virus d'installé sur leur ordinateur (ce qui n'est vraiment pas sérieux non plus)

Les symptômes :

Les visiteurs qui sont passés "chez moi" ce jour là et qui n'avaient pas d'anti-virus, ont eu leur Internet Explorer Hors Services et ne peuvent plus surfer (donc impossible de prévenir le responsable du forum ou de lui crier dessus)

Conclusion

Je suis content d'avoir souscrit à l'infogérance du Hub, et au système de Backup
car sinon c'était pas gagné pour trouver la ligne de code

Merci de cette information très utile.