Faille de sécurité chez Free ?

Mutichou · Le 22/03/2010, à 18:11

Bonjour,

Il y a quelques jours, j'ai eu un problème de code malveillant chez Free. C'est réglé, mais ça m'a permis de découvrir un deuxième problème (je ne pense pas que les deux aient un lien entre eux).

J'en ai parlé sur le Site du Zéro, mais comme j'ai reçu peu de réponses, je me tourne vers vous. (Je ne vais pas m'embêter, je vais copier-coller ce que j'ai dit là-bas).

Moi, hier soir a écrit :

J'ai un compte FTP chez Free sur lequel j'ai un blog (avec Dotclear), quelques trucs que j'ai programmés et divers fichiers. Un petit malin à réussi à y mettre un script en PHP (c99shell) permettant de faire ce qu'il veut.
Je l'ai viré, j'ai changé mes mots de passe, mais comme je ne sais pas comment il a fait, il risque de recommencer. Je suppose qu'il n'a pas trouvé mon mot de passe FTP, sinon il se serait connecté avec un client FTP plutôt qu'avec son script. Il y a donc sûrement une faille quelque part qui permet de téléverser des fichiers :
* dans Dotclear ?
* Dans mes programmes en PHP ? Je n'en ai pas beaucoup et il me semble qu'ils sont sécurisés.
* Free ? Ça me paraît possible (je me souviens par exemple qu'une fois, ils permettaient que des fichiers avec l'extension .php.gif soient exécutés comme des fichiers PHP), surtout qu'à ma connaissance, mon compte Free n'est pas le seul qu'il a attaqué.
Qu'en dites-vous ? Quelqu'un a déjà eu ce genre de problèmes ?

Quelqu'un m'a dit qu'il pensait que la piste la plus probable était Dotclear, et que je dois le mettre à jour régulièrement.

Moi, cet après-midi a écrit :

C'est vrai que je n'avais pas mis à jour Dotclear depuis longtemps, mais hier j'ai fait le ménage et j'ai mis la toute dernière version, et j'ai corrigé la seule faille potentielle de mes scripts. Et aujourd'hui, ce crétin a remis un fichier pour me narguer. Je ne sais vraiment pas quoi faire.

J'ai bien pensé à chercher sur Google « faille FTP Free » et des variantes, mais je trouve surtout des articles qui datent de 2006 ou 2007.

Voilà, si quelqu'un arrive à m'aider, je lui en serai très reconnaissant.

Seren · Le 22/03/2010, à 18:14

Sur le FTP est-ce que tu as vérifié qu'il y avait pas un fichier caché quelque part qui lui permettrait de fire des uploads ou autre ? Tu peux voir les fichiers qui commencent par un "." ?

Est-ce que tu es relativement de sûr de ne pas avoir de keylogger sur ton pc depuis lequel tu fais ces changements ? (Enfin je suppose qu'il utiliserait également un FTP).

Je connais pas Dotclear, mais je suppose que la page de login sur la partie administration doit être à un endroit standard. Est-ce que c'est pas possible qu'il fasse du brute force sur l'interface de login ?

Dernière modification par Seren (Le 22/03/2010, à 18:18)

Mutichou · Le 22/03/2010, à 18:21

Seren a écrit :

Sur le FTP est-ce que tu as vérifié qu'il y avait pas un fichier caché quelque part qui lui permettrait de fire des uploads ou autre ? Tu peux voir les fichiers qui commencent par un "." ?

Je peux voir les fichiers cachés, et j'ai fouillé le FTP de fond en comble pour trouver ses fichiers, donc je ne pense pas en avoir oublié.

Seren a écrit :

Est-ce que tu es relativement de sûr de ne pas avoir de keylogger sur ton pc depuis lequel tu fais ces changements ?

J'en suis plutôt sûr. Enfin, sauf s'il y a des keyloggers sous Ubuntu.

Seren a écrit :

Je connais pas Dotclear, mais je suppose que la page de login sur la partie administration doit être à un endroit standard. Est-ce que c'est pas possible qu'il fasse du brute force sur l'interface de login ?

C'est peut-être possible (même si je ne pense pas avoir un mot de passe facile à trouver). Je vais quand même déplacer le dossier de l'interface d'administration et changer mon mot de passe.

Jules Petibidon · Le 22/03/2010, à 18:23

Quelle version de dotclear ?
Il y a une faille dans les anciennes versions de dotclear 2, donc si ta version est un peu vieille...

http://fr.dotclear.org/blog/post/2008/12/21/Dotclear-2.1.4

Grünt · Le 22/03/2010, à 18:24

Je ne vois pas le rapport avec Free, à part le fait que tu ne peux pas accéder directement aux logs

seb24 · Le 22/03/2010, à 18:37

@Mutichou : Utilises tu Windows des fois pour te connecter à ton FTP ? Quel logiciel FTP utilises tu pour te connecter ?

Mutichou · Le 22/03/2010, à 18:42

Jules Petibidon a écrit :

Quelle version de dotclear ?
Il y a une faille dans les anciennes versions de dotclear 2, donc si ta version est un peu vieille...
http://fr.dotclear.org/blog/post/2008/12/21/Dotclear-2.1.4

J'avais effectivement une vieille version, mais j'ai mis la toute dernière (2.1.6) hier, et le problème est visiblement toujours là.

ǤƦƯƝƬ a écrit :

Je ne vois pas le rapport avec Free, à part le fait que tu ne peux pas accéder directement aux logs

Je me suis dit que ça pouvait peut-être venir d'une mauvaise configuration de chez Free, ou quelque chose comme ça. Mais je ne m'y connais pas trop en serveurs.

seb24 a écrit :

@Mutichou : Utilises tu Windows des fois pour te connecter à ton FTP ? Quel logiciel FTP utilises tu pour te connecter ?

J'utilise Nautilus ou FileZilla, toujours sous Ubuntu.

seb24 · Le 22/03/2010, à 18:47

Je te déconseille filezilla. Il garde les mots de passe en clair sur ton Home.

Y'a un virus qui traine et qui passe par les failles de logiciels Adobe Reader et Flash. Ce virus va scanner ce qu'il peut à la recherche de données FTP. Et ensuite une fois récupéré les utilisent pour se connecter et modifier les pages du serveurs ftp avec un code malicieux.

En théorie GNU/Linux ne devrait pas être impacté. Mais au cas ou. Il vaut mieux éviter d'utiliser filezilla.

Mutichou · Le 22/03/2010, à 22:06

Je préfère utiliser Nautilus, mais (comme si ça ne suffisait pas), j'ai un problème bizarre…

Edit : j'ai rien dit, c'est corrigé.

Dernière modification par Mutichou (Le 22/03/2010, à 22:08)

gromono43 · Le 29/03/2010, à 13:34

Bonjour,

J'ai eu tout récement un problème similaire sur mon site.

Sur un poste sous W$ avec Avast ,ce dernier repérait un cheval de Troie. Sous Ubuntu... pas Avast, donc rien.

Apres vérification, je remarque que du code avait été ajouté entre deux balises "script" à la fin de la page index du site.
Il semblerait (conditionnel !) que cela vienne du fait que sur filezilla j'avais enregistré les informations FTP dans ''gestionnaire de sites''.
J'ai donc tout viré et changé le mot de passe, aprés ''réparation''.

Ca recouperait donc l'info de seb24.

Quelle conséquences ? Pour l'instant rien n'a explosé ...

Patrik · Le 30/03/2010, à 09:09

As tu contacté quelqu'un chez Free ?

Il me semble qu'ils ont une adresse "abuse" d'après Whois :
abuse@proxad.net
hebergement@online.net

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 22/03/2010, à 18:11

Faille de sécurité chez Free ?

#2 Le 22/03/2010, à 18:14

Re : Faille de sécurité chez Free ?

#3 Le 22/03/2010, à 18:21

Re : Faille de sécurité chez Free ?

#4 Le 22/03/2010, à 18:23

Re : Faille de sécurité chez Free ?

#5 Le 22/03/2010, à 18:24

Re : Faille de sécurité chez Free ?

#6 Le 22/03/2010, à 18:37

Re : Faille de sécurité chez Free ?

#7 Le 22/03/2010, à 18:42

Re : Faille de sécurité chez Free ?

#8 Le 22/03/2010, à 18:47

Re : Faille de sécurité chez Free ?

#9 Le 22/03/2010, à 22:06

Re : Faille de sécurité chez Free ?

#10 Le 29/03/2010, à 13:34

Re : Faille de sécurité chez Free ?

#11 Le 30/03/2010, à 09:09

Re : Faille de sécurité chez Free ?

Pied de page des forums