[Incident] Script malicieux découvert ce jour


  • Administrateur

    Bonjour,

    Nous avons découvert un script malicieux sur notre forum PHPbb3 (à jour pourtant) ce jour.
    Ce script semble avoir la capacité de modifier le mot de passe d'accès d'un compte utilisateur, et de s'y connecter ensuite pour effectuer des actions malicieuses.
    Les mots de passes étant cryptés en md5, le pirate est obligé d'écraser le mot de passe pour se connecter.

    Je suis en train de faire une recherche dans les logs pour savoir quels sont les comptes qui ont étés touchés. En effet, avec les IP d'accès au fichier malicieux, on peut récupérer les comptes utilisateurs sur lequel ils se sont connectés. De plus, le mail envoyé lors de la connexion a permis à certains utilisateurs d'agir à temps.

    RAPPEL :
    Les mots de passes FTP et de compte client sont tous cryptés dans la base de donnée.
    Les identifiants sont cachés dans votre espace client, donc invisible pour l'éventuel pirate.

    A priori, il n'y a eu que très peu de comptes touchés, mais j'en saurais plus au milieu de la nuit. Les comptes qui ont étés touchés seront suspendus et leurs propriétaires seront prévenus afin de faire changer le password et de faire un check du site.

    Ce script a probablement été placé là à l'aide du module d'upload d'avatar de PHPbb3, je l'ai donc suspendu pour le moment. Il doit y avoir un problème de droit quelque part, on va chercher.

    Ce message est envoyé afin de vous présenter les faits, et seulement les faits. Notez qu'on est de ce point de vue irréprochable, on ne vous cache pas ces évènements. Nous allons faire le maximum pour traiter cet incident. Ils deviennent rare, mais les pirates trouvent toujours de nouvelles méthodes, et malgré notre veille active, on se fait avoir, toujours, mais avec des méthodes de plus en plus complexes (preuve que nos procédures deviennent de plus en plus sécurisés).

    Je vous tient au courant ici même.


  • Administrateur

    Problème résolut, un seul compte visé par cette attaque. Des mesures vont être mise en oeuvre pour bloquer ce type d'intrusion.



  • Par contre, le webmail n'a pas encore été remis en place ^^


  • Administrateur

    Je le laisse bloqué pour le moment, on va le bouger de machine demain je pense.



  • Ah ok.



  • Par contre, le webmail n'a pas encore été remis en place ^^

    Pour avoir participé au décodage du script, je peux t'assurer d'une chose: Le webmail, c'est un problème secondaire quand on vois la qualité du script et la subtilité des moyen mit en place pour l'utiliser !


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.