Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 26/09/2011, à 22:10

olive

Piratage du forum, samedi 24 septembre 2011

Bonjour,
Le samedi 24 septembre vers 11h15, le forum de ubuntu-fr.org a été victime d'un piratage.
La partie la plus visible ayant été un défaçage (détournement de la page d'accueil).
L'attaquant, un certain SaMo_Dz, est connu pour avoir récemment piraté plusieurs sites de préfectures françaises.

Conséquences :
Le forum a été indisponible pendant 2 heures, le temps de sécuriser et corriger les méfaits.
L'attaquant a tenté et partiellement réussi, contrairement à ce que nous pensions dans un premier temps, à voler le contenu de la base de données des utilisateurs du forum.
Cela concerne les adresses e-mail ainsi que les mots de passe (chiffrés). Les données volées pourraient être utilisées ou vendues pour envoyer des courriers indésirables. Une main courante a été déposée. Pleinement conscients de la gène occasionnée, nous recommandons à l'ensemble des utilisateurs du forum de changer leur mot de passe.
L'attaque a exploitée une erreur de configuration de notre serveur web. Cette erreur, qui ne concerne ni le noyau Linux, ni Ubuntu, ni FluxBB, ni PHP, ni aucun logiciel directement, est assez peu courante, mais pas nouvelle. De nombreux sites sont aujourd'hui vulnérables et les administrateurs d'ubuntu-fr ont entrepris d'en contacter un certain nombre individuellement avant de communiquer totalement.
Toute l'équipe d'Ubuntu-fr regrette profondément cet acte et ses éventuelles conséquences (diffusion d'e-mails indésirable, principalement).

Détails techniques :
L'attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web. Après avoir créé un compte sur le forum, il a uploadé un avatar contenant du code php en plus de l'image (oui on check déja les extensions, oui le mime-type était bon, oui l'image était bien une vrai image, mais elle contenait du code PHP à la fin). Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d'une erreur de configuration permettant de passer au backend PHP tout fichier avec un ".php" dans l'url. Ainsi, un simple /img/monavatar.png/.php a permis d'exécuter le code.
À partir de ce point, divers scripts ont été uploadés, permettant à l'attaquant d'essayer un certain nombre d'attaques, dont la plupart ont échouées (gain de privilège, création d'un socket ou connexion à un ssh distant). Cependant, il a eu accès aux paramètres de la base de données qui lui ont probablement permis le dump d'une partie de la base (dont la table des utilisateurs). D'après les logs, aucune requêtes n'a cependant atteint le poids total de la table utilisateurs (même compressée). Les mots de passes sont chiffrés et salés.

Corrections de la faille :
Nous avons commencé par désactiver tous les scripts de l'utilisateur et interdire l'exécution de scripts php dans le répertoire des images. Ensuite, une restriction encore plus forte est mise en place pour limiter au maximum une exécution imprévue. Nous avons également reconfiguré le proxy filtrant pour interdire certaines requêtes (ce proxy étant une autre machine, l'attaquant n'y a pas eu accès).
L'intégralité des fichiers du forum étant versionnée, il a été rapidement possible de vérifier qu'aucune modification n'y avait été apportée.
Par précaution, l'intégralité des comptes avec privilèges du forum ont vu leurs mots de passe changés, de même que les accès à la base de données (cette base de données est sur un autre système auquel l'attaquant n'a pas eu accès).
L'intégralité des avatars a été vérifiée de façon à assurer qu'il n'en existe plus avec du code malveillant.


Pour quiconque veut devenir un homme dur, il est indispensable d'être souple. Sans quoi, on n'est que raide. Dans la troisième année du régime soviétique aux Etats-Unis, vous cesserez de mâcher du chewing-gum.(Лeв Давидович Бронштeин)
olive

Hors ligne

#2 Le 26/09/2011, à 22:27

bahoui

Re : Piratage du forum, samedi 24 septembre 2011

Une modification du bandeau annonce est prévue pour inviter les membres à changer de mot de passe?


Mettez [résolu] dans le titre quand le problème est réglé (cliquez sur "modifier" dans votre 1er message).

Hors ligne

#3 Le 26/09/2011, à 22:39

Bousky

Re : Piratage du forum, samedi 24 septembre 2011

Bravo pour la vitesse de réaction et pour les explications !


Linux qui plante complètement ? Plus rien ne répond ? On peut toujours le redémarrer proprement :
Alt + SysRq + REISUB (Retourne En Islande Sur Un Bateau !)

Hors ligne

#4 Le 26/09/2011, à 22:42

xabilon

Re : Piratage du forum, samedi 24 septembre 2011

Salut

Ce post n'est qu'informatif, il est fermé.
Pour discuter du sujet, rendez vous ici.


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#5 Le 26/09/2011, à 22:42

slasher-fun

Re : Piratage du forum, samedi 24 septembre 2011

bahoui a écrit :

Une modification du bandeau annonce est prévue pour inviter les membres à changer de mot de passe?

C'était en cours smile

Hors ligne

Haut de page ↑