Posté : sam. 23 avr. 2005 12:41
Merci Palmi! Et un grand bravo!
une petite question, est ce que quelqu'un a gardé l'adresse qu'ils avaient mise (l'adresse e-mail) ???
C'était admin@...... ???
LUTHERIE AMATEUR
Forum d'entraide à la fabrication d'instruments
https://lutherie-amateur.com/Forum/
Grrrrr... c*****s de hackers !
Page 3 sur 5
Posté : sam. 23 avr. 2005 14:03
Posté : sam. 23 avr. 2005 14:08
Oui, san pedro avait fait une capture ici :
viewtopic.php?t=1874
de toute facon j'ai fait une copie de tout le code qu'ils avaient introduit.
viewtopic.php?t=1874
de toute facon j'ai fait une copie de tout le code qu'ils avaient introduit.
Posté : sam. 23 avr. 2005 14:42
hummm ??? et avec une adresse mail, vous pensez qu'ils apprécieraient une petite campagne de spam ??? genre, les news letter, et autre abonnement aux pubs des sites visités dans les séances de surf
je me tate, c'est pas l'envie qui me démange.
je me tate, c'est pas l'envie qui me démange.
Posté : sam. 23 avr. 2005 14:53
oui mais d'un autre coté, c'est rentré dans leur jeu car ca montre que ca nous a fais chié. non?
Posté : sam. 23 avr. 2005 14:54
spa bete, mais ils doivent etre habituésJeannot a écrit :hummm ??? et avec une adresse mail, vous pensez qu'ils apprécieraient une petite campagne de spam ??? genre, les news letter, et autre abonnement aux pubs des sites visités dans les séances de surf
je me tate, c'est pas l'envie qui me démange.
Posté : sam. 23 avr. 2005 15:12
En effet, je ne pense pas que des gens capable de pirater un site ne soient pas protegé contre de simples spams.tranber a écrit :spa bete, mais ils doivent etre habituésJeannot a écrit :hummm ??? et avec une adresse mail, vous pensez qu'ils apprécieraient une petite campagne de spam ??? genre, les news letter, et autre abonnement aux pubs des sites visités dans les séances de surf
je me tate, c'est pas l'envie qui me démange.
Posté : sam. 23 avr. 2005 15:24
cool c'est retabli
Posté : sam. 23 avr. 2005 15:25
ca m'etonnerait que cette adresse soit lue, mais bon...
Posté : sam. 23 avr. 2005 15:27
Et contre un grand coup de planche en travers des dents? 
Posté : sam. 23 avr. 2005 15:31
c'est pas l'envie qui m'en manque, mais à mon avis ces hackeurs sont à mon avis :meuh la vache a écrit :Et contre un grand coup de planche en travers des dents?
- Des gens tres qu'on (haha)
- Qui n'ont rien de mieux a faire
- Qui ne contruiront jamais de guitares
Alors ca ne me derange pas trop (on sera toujours meilleurs qu'eux)
Si le pirate à le sentiment d'être fort et bien tant mieux pour lui, mais rendez vous compte ... Le mec s'attaque à lutherie-amateur et pas à un site ou il pourrait tirer un quelconque bénéfice de ses méfaits, ca veut quand même dire qu'il fait ca juste pour emmerder le monde.
Posté : sam. 23 avr. 2005 15:41
Très bien parlerpalmitoale a écrit :c'est pas l'envie qui m'en manque, mais à mon avis ces hackeurs sont à mon avis :meuh la vache a écrit :Et contre un grand coup de planche en travers des dents?
- Des gens tres qu'on (haha)
- Qui n'ont rien de mieux a faire
- Qui ne contruiront jamais de guitares
Alors ca ne me derange pas trop (on sera toujours meilleurs qu'eux)
Si le pirate à le sentiment d'être fort et bien tant mieux pour lui, mais rendez vous compte ... Le mec s'attaque à lutherie-amateur et pas à un site ou il pourrait tirer un quelconque bénéfice de ses méfaits, ca veut quand même dire qu'il fait ca juste pour emmerder le monde.
Posté : sam. 23 avr. 2005 15:43
:app: :mer: :app: :yaisse: :linux:
Posté : sam. 23 avr. 2005 16:45
Palmi, ça fait chier c'est clair, mais peavy n'a quand même pas tout à fait tort.
J'ai eu un site il y a 2-3 ans, et j'avais eu des tentatives de hacking. Ca m'a permis de voir que j'avais laissé un trou béant de sécurité sur mon site, et je l'ai corrigé rapidement.
Je n'excuse en rien l'attitude des hackers, mais je veux juste souligner que la sécurité est un point crucial sur Internet, et qu'il ne faut pas la prendre à la légère, ni pester quand il y a des gens pour profiter des faiblesses.
Internet est une sorte de jungle: il serait absolument vain de traiter de con un tigre qui se jetterait sur toi pour te bouffer, alors que tu n'as pas pris les précautions qui s'imposent quand tu te ballades dans la jungle...
Et enfin, une erreur fréquente pour les jeunes webmasters est de croire que l'hébergeur se charge de toute la sécurité de ton site: ce n'est pas le cas, il faut bien voir ça avec lui. Notamment, chez certains hébergeurs, tu as des choses à paramétrer pour interdire les fichiers en écriture, pour interdire le listage d'un répertoire complet sur le site, etc. Après ça, il reste bien évidemment des trous de sécurité dans les outils qu'utilise l'hébergeur (serveur HTTP, serveur MySQL, etc.), et là c'est évidemment de sa faute s'il ne fait pas promptement les mises à jour quand elles sont annoncées... (dans ce domaine, tous les hébergeurs ne se valent pas, ça c'est clair...)
En l'occurence, comme les hackers se sont introduits dans la base de données, soit ils ont exploité un trou de sécurité (là faut voir si l'hébergeur est sérieux ou pas... et si ça se reproduit, envisager d'en changer), soit la faute te revient: s'ils ont pu lire directement un des fichiers PHP, le nom de la base de données et le mot de passe apparaissent en clair dans l'un deux... Si le serveur HTTP utilisé est Apache, il y a sans doute un fichier .htaccess à créer pour limiter l'accès individuel aux fichiers du serveur...
J'ai eu un site il y a 2-3 ans, et j'avais eu des tentatives de hacking. Ca m'a permis de voir que j'avais laissé un trou béant de sécurité sur mon site, et je l'ai corrigé rapidement.
Je n'excuse en rien l'attitude des hackers, mais je veux juste souligner que la sécurité est un point crucial sur Internet, et qu'il ne faut pas la prendre à la légère, ni pester quand il y a des gens pour profiter des faiblesses.
Internet est une sorte de jungle: il serait absolument vain de traiter de con un tigre qui se jetterait sur toi pour te bouffer, alors que tu n'as pas pris les précautions qui s'imposent quand tu te ballades dans la jungle...
Et enfin, une erreur fréquente pour les jeunes webmasters est de croire que l'hébergeur se charge de toute la sécurité de ton site: ce n'est pas le cas, il faut bien voir ça avec lui. Notamment, chez certains hébergeurs, tu as des choses à paramétrer pour interdire les fichiers en écriture, pour interdire le listage d'un répertoire complet sur le site, etc. Après ça, il reste bien évidemment des trous de sécurité dans les outils qu'utilise l'hébergeur (serveur HTTP, serveur MySQL, etc.), et là c'est évidemment de sa faute s'il ne fait pas promptement les mises à jour quand elles sont annoncées... (dans ce domaine, tous les hébergeurs ne se valent pas, ça c'est clair...)
En l'occurence, comme les hackers se sont introduits dans la base de données, soit ils ont exploité un trou de sécurité (là faut voir si l'hébergeur est sérieux ou pas... et si ça se reproduit, envisager d'en changer), soit la faute te revient: s'ils ont pu lire directement un des fichiers PHP, le nom de la base de données et le mot de passe apparaissent en clair dans l'un deux... Si le serveur HTTP utilisé est Apache, il y a sans doute un fichier .htaccess à créer pour limiter l'accès individuel aux fichiers du serveur...
Posté : sam. 23 avr. 2005 16:56
d accord avec toi merling
c est ce qui est arrivé il y a quelques semaines sur le forum de l agora pour ceux qui connaissent
un mec s est introduit dans l administration et a crée de nouvelles sections dans le forum.
au moins cela a permis des faiblesses des forums et de passer à la dernière version de phpBB pour plus que cela ne se reproduise (c est d ailleurs moi qui ait fait toutes ces mises à jour)
le pire c est de faire la politique de l autruche, de se dire que rien ne peut arriver et laisser les choses en plan, il y aura toujours qq un pour en profiter (bien vu l'image de la jungle et du tigre)
Peavy
c est ce qui est arrivé il y a quelques semaines sur le forum de l agora pour ceux qui connaissent
un mec s est introduit dans l administration et a crée de nouvelles sections dans le forum.
au moins cela a permis des faiblesses des forums et de passer à la dernière version de phpBB pour plus que cela ne se reproduise (c est d ailleurs moi qui ait fait toutes ces mises à jour)
le pire c est de faire la politique de l autruche, de se dire que rien ne peut arriver et laisser les choses en plan, il y aura toujours qq un pour en profiter (bien vu l'image de la jungle et du tigre)
Peavy
Posté : sam. 23 avr. 2005 17:17
Yep, donc deux pistes pour palmi:
1. Bien vérifier les permissions de certains fichiers clés (dont le fichier config.php de phpBB).
2. D'après ce que tu dis, ils ont modifié un commentaire dans la base de données. Mais le fait qu'ils ont pu y mettre du code javascript et/ou html, c'est pas vraiment normal. N'y a-t-il pas une option dans l'administration de phpBB pour empêcher le HTML dans les commentaires?
Bon et pour conclure, les hackers ne font pas toujours un boulot inutile, malgré tout. C'est eux qui ont permis de faire prendre conscience à toute la profession des problèmes de sécurité. Sans ça, je pense qu'on en serait encore à des méthodes totalement insécurisées (vu qu'on a tendance à ne rien faire que dans l'urgence, c'est humain...) Et comme on ne vit pas dans un monde idéal (idéal pour qui, d'ailleurs, tout est là), il y a forcément quelqu'un à un moment donné qui pourrait tirer un réel profit du manque de sécurité et faire de vrais dégâts. Tu imagines, le jour où la planète entière dépend de serveurs sur Internet (on est pas si loin de ça...), et qu'ils n'ont aucune sécurité: un mec malin pourrait tenir la planète entière entre ses mains. Le scénario est simpliste, mais il montre une réalité. Les hackers nous poussent à faire des efforts de sécurité, et c'est forcément une bonne chose. Sans eux, je pense que nous tendrions inévitablement vers la paresse. Ce qui nous rendrait éminemment fragiles au bout du compte...
1. Bien vérifier les permissions de certains fichiers clés (dont le fichier config.php de phpBB).
2. D'après ce que tu dis, ils ont modifié un commentaire dans la base de données. Mais le fait qu'ils ont pu y mettre du code javascript et/ou html, c'est pas vraiment normal. N'y a-t-il pas une option dans l'administration de phpBB pour empêcher le HTML dans les commentaires?
Bon et pour conclure, les hackers ne font pas toujours un boulot inutile, malgré tout. C'est eux qui ont permis de faire prendre conscience à toute la profession des problèmes de sécurité. Sans ça, je pense qu'on en serait encore à des méthodes totalement insécurisées (vu qu'on a tendance à ne rien faire que dans l'urgence, c'est humain...) Et comme on ne vit pas dans un monde idéal (idéal pour qui, d'ailleurs, tout est là), il y a forcément quelqu'un à un moment donné qui pourrait tirer un réel profit du manque de sécurité et faire de vrais dégâts. Tu imagines, le jour où la planète entière dépend de serveurs sur Internet (on est pas si loin de ça...), et qu'ils n'ont aucune sécurité: un mec malin pourrait tenir la planète entière entre ses mains. Le scénario est simpliste, mais il montre une réalité. Les hackers nous poussent à faire des efforts de sécurité, et c'est forcément une bonne chose. Sans eux, je pense que nous tendrions inévitablement vers la paresse. Ce qui nous rendrait éminemment fragiles au bout du compte...
Posté : sam. 23 avr. 2005 17:45
Je suis tout à fait d'accord avec toi merling, sans hackeurs la securité n'avance pas. D'ailleurs au moment ou j'ai monté mon reseau local chez moi je me suis transformé en hacker pour tester la securité de mon resau.
Normalement le HTML est Interdit sur le forum par defaut.
alors 2 choses :
1°/ ils ont reussi à modifier la base, surement du à une faille de phpBB qui n'était pas à jour (oui je sais j'ai honte, mais maintenant elle l'est)
2°/ ILS ont reussi à changer la variable qui autorise ou non l'html.
d'apres ce que j'ai compris en regardant le code de la nouvelle version (parce que je fais les MAJ à la main) c'est qu'avant il y avait une faille pour que l'html soit autorisé si seulement le site était configuré, dans la nouvelle version le code html est executé Si et seulement si (ssi pour les intimes) ET le site ET les options personelles de chaque utilisateur le permettent. Donc maintenant les balises html ne sont pas reconnues peu importe les circonstances.
PS : oui ils utilisent Apache et il y a des .htacces un peu partout.
Edit : si t'as d'autres question n'hesite pas.
Normalement le HTML est Interdit sur le forum par defaut.
alors 2 choses :
1°/ ils ont reussi à modifier la base, surement du à une faille de phpBB qui n'était pas à jour (oui je sais j'ai honte, mais maintenant elle l'est)
2°/ ILS ont reussi à changer la variable qui autorise ou non l'html.
d'apres ce que j'ai compris en regardant le code de la nouvelle version (parce que je fais les MAJ à la main) c'est qu'avant il y avait une faille pour que l'html soit autorisé si seulement le site était configuré, dans la nouvelle version le code html est executé Si et seulement si (ssi pour les intimes) ET le site ET les options personelles de chaque utilisateur le permettent. Donc maintenant les balises html ne sont pas reconnues peu importe les circonstances.
PS : oui ils utilisent Apache et il y a des .htacces un peu partout.
Edit : si t'as d'autres question n'hesite pas.
Posté : sam. 23 avr. 2005 18:02
Au fait, le fichier config est bien les bonnes propriétés CHMOD de plus j'ai fait la manip qui permet de crypter le mot de passe alors que par defaut il est en clair
Posté : sam. 23 avr. 2005 18:30
Ok palmi, et merci pour le temps que tu y as passé! :yap:
Posté : sam. 23 avr. 2005 18:35
c'est pas grave, j'avais pas envie de reviser et dehors il y avait des nuages (et oui même dans le sud y'a des nuages parfois). Et en plus a force de recopier des lignes des php, j'arriverais peut être à le connaitre ce language.Merling a écrit :Ok palmi, et merci pour le temps que tu y as passé! :yap: