D
D.F.
Invité
Comme promis une petite annonce de compte-rendu du hack qui a eu lieu le 5 setempbre 2013.
1. Que s'est-il passé ?
Une personne mal intentionnée à réussi à récupérer des droits admin partiels et à uploader un webshell dans le panneau d'admin via une faille vBulletin, probablement dans le but de défacer le forum.
2. Plus de détails ?
La faille vBulletin à permis au hacker d'obtenir des droits d'admin partiels et uploader un webshell qui permet un accès disque-dur sur le serveur et via celui-ci, de récupérer un accès DB facilement. Néanmoins, le panneau d'admin nécessitant le statut admin ainsi que la présence d'un paramètre en dur dans un fichier du serveur, le hacker n'a pas pu accéder au options du panneau d'admin et à son webshell.
3. Quelle est l'étendue des dégâts ?
Le forum a été indisponible pendant quelques jours et quelques utilisateurs qui ont désactivé leur protection durant les alertes, pourraient en théorie être infectés par un logiciel malicieux.
4. Les données ont-elle été compromises ?
D'après les logs des propriétaires, la base de données n'a pas été compromise. Néanmoins, si vous utilisez le même mot de passe sur Psychonaut et sur d'autres services, un changement de mot de passe est tout de même vivement conseillé.
5. Au sujet des alertes anti-virus ?
Il semblerait que le hacker ait réussi à injecter du code malicieux dans la page d'accueil du forum durant un certain laps de temps, ce qui a provoqué des alertes anti-virus chez certains utilisateurs. Il n'est malheureusement pas possible de connaître la nature du code qui a pu être exécuté.
Il est vivement conseillé à ceux qui ont désactivé leur anti-virus ou ajouté une exception psychonaut.com à cause de l'alerte de procéder à un scan anti-virus complet de leur système. Bien qu'il n'y ait à priori que très peu de risques avec un anti-virus et un navigateur à jour, mieux vaut être prudent.
6. Quelles mesures ont été prises ?
Tout d'abord la fermeture du forum pour éviter que le hacker ne finisse par obtenir un accès complet au panneau d'admin et puisse faire de vrais dégâts. Le serveur a été complètement réinstallé et mis à jour (operating system, apache, PHP, vBulletin...) pour combler la faille utilisée.
7. Quelles mesures seront prises pour la prévention ?
Nous allons demander s'il est possible d'obenir un accès plus haut aux propriétaires du sites afin d'être en mesure d'intervenir si un tel cas se reproduit et de pouvoir corriger certains problèmes, comme la mise à jour de vBulletin, nous-mêmes plus rapidement. Néanmoins les chances que notre demande obtienne une réponse positive restent plutôt faibles je pense.
8. Au sujet des bugs découlant de la mise à jour ?
Les problèmes d'affichage de forums et d'édition des posts ont été signalés et corrigés ce matin. Je n'ai pas relevé d'autres problèmes gênants pour le moment, merci de remonter les problèmes que vous pourriez encore rencontrer.
9.
???
10.
Profit.
1. Que s'est-il passé ?
Une personne mal intentionnée à réussi à récupérer des droits admin partiels et à uploader un webshell dans le panneau d'admin via une faille vBulletin, probablement dans le but de défacer le forum.
2. Plus de détails ?
La faille vBulletin à permis au hacker d'obtenir des droits d'admin partiels et uploader un webshell qui permet un accès disque-dur sur le serveur et via celui-ci, de récupérer un accès DB facilement. Néanmoins, le panneau d'admin nécessitant le statut admin ainsi que la présence d'un paramètre en dur dans un fichier du serveur, le hacker n'a pas pu accéder au options du panneau d'admin et à son webshell.
3. Quelle est l'étendue des dégâts ?
Le forum a été indisponible pendant quelques jours et quelques utilisateurs qui ont désactivé leur protection durant les alertes, pourraient en théorie être infectés par un logiciel malicieux.
4. Les données ont-elle été compromises ?
D'après les logs des propriétaires, la base de données n'a pas été compromise. Néanmoins, si vous utilisez le même mot de passe sur Psychonaut et sur d'autres services, un changement de mot de passe est tout de même vivement conseillé.
5. Au sujet des alertes anti-virus ?
Il semblerait que le hacker ait réussi à injecter du code malicieux dans la page d'accueil du forum durant un certain laps de temps, ce qui a provoqué des alertes anti-virus chez certains utilisateurs. Il n'est malheureusement pas possible de connaître la nature du code qui a pu être exécuté.
Il est vivement conseillé à ceux qui ont désactivé leur anti-virus ou ajouté une exception psychonaut.com à cause de l'alerte de procéder à un scan anti-virus complet de leur système. Bien qu'il n'y ait à priori que très peu de risques avec un anti-virus et un navigateur à jour, mieux vaut être prudent.
6. Quelles mesures ont été prises ?
Tout d'abord la fermeture du forum pour éviter que le hacker ne finisse par obtenir un accès complet au panneau d'admin et puisse faire de vrais dégâts. Le serveur a été complètement réinstallé et mis à jour (operating system, apache, PHP, vBulletin...) pour combler la faille utilisée.
7. Quelles mesures seront prises pour la prévention ?
Nous allons demander s'il est possible d'obenir un accès plus haut aux propriétaires du sites afin d'être en mesure d'intervenir si un tel cas se reproduit et de pouvoir corriger certains problèmes, comme la mise à jour de vBulletin, nous-mêmes plus rapidement. Néanmoins les chances que notre demande obtienne une réponse positive restent plutôt faibles je pense.
8. Au sujet des bugs découlant de la mise à jour ?
Les problèmes d'affichage de forums et d'édition des posts ont été signalés et corrigés ce matin. Je n'ai pas relevé d'autres problèmes gênants pour le moment, merci de remonter les problèmes que vous pourriez encore rencontrer.
9.
???
10.
Profit.
