[Réglé]Page Authenticate et vol de mot de passe(piratage)

[cyberseb]

Bonjour, j'ai installé la prémod phpbbseo 3.
Url rewrite avancé (activé)
No duplicate (activé)
Zero duplicate (activé)

Lorsque je parcours le forum et que je souhaite bénéficier des actions rapides en pied de page pour "diviser un message" par exemple, je le sélectionne je clique sur "aller".

Jusque la pas de problème la page s'affiche en me listant les messages du sujet avec des case pour cocher celles que je souhaite diviser etc...

Je tape ensuite le titre du nouveau sujet.
Après avoir coché les messages a divisé, je valide ma sélection en cliquant sur "Divisé les messages sélectionnés" et ensuite "Envoyer".


Et la surprise un page s'affiche composé de 2 cellules et d'un bouton authenticate. Par curiosité, et pour finir mon opération je rentre mon login et mot de passe et la... rien.

Il revient sur la page de selection des message a diviser.

L'Url de la page de modération du sujet se présente sous cette forme (pour diviser):
-http://Forum.monsite.com/mcp.php?&f=15&t=38&i=main&mode=topic_view&action=split&start=0

C'est la même url pour la page authenticate.

J'ai jamais vus cela avec les anciennes version de phpbb3 que j'avais auparavant, je pour couper, supprimer, diviser.

Je suis dans le cas ou un sujet du forum est parti hors-sujet justement, et je dois diviser le sujet pour le mettre dans un nouveau topic.

Que dois-je faire svp ?

[dcz]

A tout hasard, je viens de tester pas mal de combinaisons, et je n'ai pas réussi à reproduire le bug.

Par contre, c'est bizarre ton "authenticate", il n'y a rien d'autre d'écrits ?

Parce que "authenticate" n'est simplement pas utilisé dans le pack FR, et jamais seul dans le pack en ni ailleurs dans les fichiers de phpBB. Et tu ne devrais tout simplement pas perdre ta session en faisant cela. Du coup, faudrait quand même vérifier que c'est pas un pishing genre donne moi ton mot de passe admin.
Vérifies biens tes fichiers de includes/mcp/ ainsi que les templates correspondant.

++

[cyberseb]

Bonjour,

Que suis-je censé trouver au niveau du include/mcp. Je ne voit pas d'ou peu venir cette authenticate.

Deuxieme probleme que je vient de trouver en rapport avec le premier je suppose.

Des pages dont je n'avait pas connaissance on été référencer en meme temps que le sitemap.

Il se presente comme cela:http://forum.Exemple.com/sitemapindex.xml?easy=141

Je commence vraiment a me poser des questions.

On dirait une espèce de site sous format wordpress ecrit en anglais avec des posts etc...

Comme puis je remettre de l'ordre dans tout cela ?

[dcz]

Que suis-je censé trouver au niveau du include/mcp. Je ne voit pas d'ou peu venir cette authenticate.

Justement, c'est difficile à dire, mais il est facile de voir les différences entre tes fichier en ligne et des fichier tout propres avec winmerge, et du coup de dire si le problème viens de s fichiers de ce dossier.

Vu les symptômes, c'est soit un hack, soit un grosse boulette, mais je ne peu pas trancher sans voir le site, tu pourrais poster (ou PM) l'url ?

++

[cyberseb]

Je t'ai envoyer l'url mais sa sent le hack quand meme.
Je suis pas expert mais bon.

Je suis tenter a virer tous les fichiers du forum et reinstaller propre a condition que la BDD ne soit pas poluer du coup.

C'est incroyable en tout cas...

[dcz]

En effet, c'est assez louche.

[cyberseb]

Je reinstalle tout des demain je crois.

[cyberseb]

Le forum à été piraté d'où la page authenticate qui n'existe pas dans les fichiers orginaux de phpbb.

Il semblerait qu'une personnes aurait réussit à pénétrer le ftp

La personne à intégré un code php devant le code de toutes les pages html ou php du site.

Le but de cette démarche était d'héberger un site complet discrètement sur le serveur à l'insu du propriétaire du forum. Pour ce faire, le système pirate se sert de la réécriture d'URL pour générer des URL pour le site du pirate.

Donc si il y aurai un topic qui résume les points de sécurité a renforcer sa serait bien, je prend.

Sinon, bein je change le titre de mon topic pour qu'il soit en rapport avec le problème.

Voilou.

[SeO]

Il y a pas ml de façon d'avoir accès au ftp, la plus courante étant la plu simple, avec le mot de passe et le login.

Ces informations peuvent tomber dans les mains de personnes malveillantes le plus simplement du monde, parce que tu les lui aurais donné en faisant confiance soit directement à la personne malveillante, soit par le bais d'une personne de confiance (genre le petit frère de ton pote qui espionne les mail de son grand frère).
Avant de parler de hack frontal, il reste pas mal de façon de récupérer ces mod de passes, en accédant au mails à l'aide d'un virus ou en utilisant des techniques de pishing, les variantes sont nombreuses.

Je penche pour une des ces solution car phpBB3 n'as pas de failles connues à ce jour, si c'était le cas, on aurait plus d'exemples de hack, et il a été audité méticuleusement pour la sécurité.

A ce stade, il est fortement conseillé de changer tous ces mot de passes (oui tous, vu que la source probable est une fuite potentiellement sur ton compte mail ou ton PC) après un virus scan méticuleux de ton pc.

Ensuite, si tu as accès à tes logs serveur, il ne doit pas être trop difficile de retrouver les ip à l'origine des upload, auquel cas, des hack reports auprès des société gestionnaires e ces ip pourraient être une bonne chose.

Enfin, l'analyse des fichiers uploadés pourrait également donner des indice permettant de démasquer l'auteur de ce hack.

Pour ce qui est de réutiliser tes fichier ou ta db actuelle, c'est très délicat, tu ne peux faire confiance ni à ta db ni à tes fichiers car l'accès ftp donne les login et mot de passe de la db du forum. Et pour utiliser un backup antérieur au hack, il faut impérativement avoir une idée précise du début des évènement.

Concrètement pour les fichiers, tu peux prendre des fichiers tous neufs et ne simplement pas utiliser les tiens, et refaire tes modifs perso.
Pour la db, il faut, en plus de vérifier l'intégrité de la structure des tables, vérifier le contenu. Du code html a par exemple pu être ajouté dans des posts (c'est coton a filtrer parce que phpBB en met lui aussi).

Quelques conseils d'ordre général sur la sécurité :
http://www.phpbb-seo.com/forums/securit ... .html#5377

[cyberseb]

Déjà la fuite n'a rien a voir avec un accès donné à un proche. Je suis le seul admin et ne travail avec personne pour le moment.

Aucun compte de proche n'a d'accès privilégié. Je ne communique pas mes infos personnels à une tiers personne.

L'antivirus est actif et ce même sur les mails. Mon courrier electronique est filtré. Je n'entre aucune information personnel sur le web ou très rarement sur des sites très connus. Même si un fichier malveillant aurait pu s'infiltrer sur le pc, il n'y a pas de pass ou de login a récupérer dessus (je stock pas d'info sous forme de fichiers avec mots de passe et login dedans). J'ai bien pensé au cookies, mais il sont supprimé à chaque fermeture de firefox. Je n'autorise pas mon navigateur a stocker les mots de passe d'ailleurs.

J'ai demandé l'avis de certaines personnes qui pensent que cela viendrait du technique de pishing. Le premier changement qui m'a surpris est cette fameuse page authenticate qui n'a rien à faire la, au milieu du forum. Page présente uniquement dans le forum et pas dans le site web à aucun niveau. Page que j'ai eu également du mal à trouver puisque insérée dans la fonction rapide de modération "diviser un message".

La page authenticate est donc surement une méthode pour récupérer les info vu que je croyait que cette page avait apparut dûe à une session de perdue. j'ai tapé mes informations dedans, login et pass. Et la rien, retour à la page précédante (mais on imagine derrière le mécanisme).

Peut de temps après, je référence avec le système gym site map et la, bonne et mauvaise surprise. Cela fonctionne, nikel le title, le descriptif et les url sous google.

Mais des url inconnus au bataillon se sont référencé avec les urls rewrité. Le timing est d'ailleurs très précis puisque je vérifiait tout les jours l'état du référencement et ces pages n'existait pas avec l'ancien forum qui était en phpbb3 classique sans rewrite et sans sitemap. Les liens se présentait sous la forme forum.MonSite.com/indexsitemap.xml?easy=147

Et derrière cela ce lien se cachait un site en anglais, comme le dit dcz, rien d'outrageant, mais un site quand même, avec des dizaines de pages de mise (easy=130, 132, etc...) dont le référencement à révélé la présence.

Mon idée m'est venu de tester si le contenu des pages était hébergé sur la data base (zone la plus précieuse), donc changement de mot de base de la db et la, le site frauduleux fonctionne toujours...

En surfant sur le web, j'ai lu qu'il y'aurai des failles dans phpbb3 au même titre que tout autre projet open source. Beaucoup s'accordent a dire d'ailleurs que aucun de ces projets n'est infaillible ou définitivement infaillible. Des sites de hack suivent l'actualité de ces projets de très prêt et en exploite les moindre failles ou les moindre zone de faible sécurité (exemple trouvé sur le web du fichier config avec les infos sur DB ecritent en clair).

Le hack est apparu de manière quasi simultané avec la premod phpbb. Je ne reporte d'ailleurs nullement la faute sur ce dernier. Mais les pages hébergé de manière frauduleuse on d'ailleurs été installé ou redirigé grâce au fichier sitemap sous la forme indexsitemap.xml?easy=147 par exemple (je ne suis pas expert en hack mais cela a été le choix du hacker).

Maintenant pour parler de la sécurité et de l'éradication du problème.
Je ne place pas la faute sur la prémod que je vais réutiliser avec grand plaisir d'ailleurs . Je rappel d'ailleurs que cette prémod est la meilleurs que j'ai eu l'occasion de voir et que vous pouvez y aller les yeux fermé. Cependant je vais mettre d'avantage l'accent sur la sécurité en suivant les conseils présent sur le forum (cryptage de toute sorte, limiter les possibilités des utilisateurs en upload, etc...).

Le anciens fichiers pollués partent tous à la benne, idem pour les templates (pas le temps de trier le bon du mauvais). Je remplace effectivement par des fichiers neuf sur lesquels je modifierai pour avoir le look voulu. Mots de passe tous changés. Data Base épuré (utilisateurs inactifs supprimé, etc...). Mots de passe administrateur changé.

Par contre ça va être beaucoup plus long de contrôler les enregistrements de toute la data base et comme tu le dit seo, de voir les codes ajoutés par le forum de ceux ajouté par une tiers personne.

Après tout cela, je fait un saut sur le lien que tu donne au dessus pour accroitre la sécurité pour une remise en place plus sereine.

Je serais encore plus prudent la prochaine fois (proche de la paranoïa) lol.

Merci pour le lien seo. Un topic pour rappeler que la sécurité est primordial et que même si les projets open source sont vraiment développer avec soin et avec un soucis de sécurité, il y'a une partie où l'utilisateur doit être tout aussi vigilant.

[SeO]

Vu ce que tu dis, il est possible que des fichiers aient été uploadés sans forcement passer par le ftp
Ça m'intéresserai de jeter un coup d'œil aux fichiers de GYM, voir du forum complet (en pm), vu qu'a priori il n'y a pas eu utilisation de la db.

A noter qu'un tel ajout de variable et donc de pages sur GYM est, sauf lourde modifs, impossible si le zéro duplicate est activé, enfin, les page ne pourraient pas être visités sans redirections :
http://phpbb3.phpbb-seo.net/sitemapindex.xml?easy=147

Rien sur les logs serveurs ?

Concernant phpBB3 et les failles, bien entendu aucun logiciel est infaillible, mais il n'existe a ce jour aucune faille connue, et phpBB3 a été fait pour apporter bien plus de sécurité que phpBB2 dès le début. Et surtout, si un faille aussi grosse existe, il ne fait pas trop de doute qu'elle serait ou va si tu es le premier de la liste être largement exploitée.

Il est donc assez important de tenter d'en trouver l'origine.

[cyberseb]

Si cela peut permettre de faire avancer la sécurité, bien volontiers.

J'ai précieusement conservé le code pirate original dans un fichier .txt.
Je te l'envoi par mp ou mail dans une archive.

Il était inséré dans toutes les pages html et php du forum. On dirait une fonction php mais quel fontion, je sais pas.

En ce qui concerne les fichiers de gym sitemap altéré, j'ai peu d'espoir d'en avoir une copie.

Lorsque je me suis rendu compte de la redirection indexsitemap.xml?easy=147, j'ai tout de suis pensé a gym sitemap, donc j'ai pris mes fichiers en locaux et uploadé sur le serveur (remplacement par des fichiers "propres"), espérant nettoyé cet redirection frauduleuse.

J'ai également agis sur les codes html et php modifié de manière assez simple en supprimant le code pirate ajouté en ligne 1 des codes.

Résultats de la manœuvre:

Site web inaccessible
Forum inaccessible
Site frauduleux inaccessible

Réponse navigateur:
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webadmin @ kundenserver.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

En gros, erreur 500.

Je t'envoi le code, ça te parlera plus qu'a moi pour comprendre un partie du fonctionnement de cet redirection frauduleuse.
Je t'envoi également le gym sitemap en espérant qu'il reste une trace.
Dcz à pu vérifié l'authenticité de mes dires, je lui avait linké les urls du forum par mp.

A defaut de pièce jointe dans les mp je t'ai envoyé un mail + mp.

J'ai conservé tout les logs. J'analyse...

[cyberseb]

L'analyse des fichiers logs n'a révélé aucun accès via ftp autre que le mien.

Vu ce que tu dis, il est possible que des fichiers aient été uploadés sans forcement passer par le ftp

Cela confirme ton approche seo, pas d'upload de fichier via ftp

[SeO]

Donc, c'est une injection en règle, il a juste masquer un peu son entourloupe avec un eval + base64_decode.
S'il a infesté tous les fichiers, il a pu faire tout ce qu'il a voulu.

Cela n'a concerné que GYM ou y a-t-il eu d'autre pages, tu as essayer un recherche google :

Code: Tout sélectionner

site:forum.MonSite.com/ +easy

?

Je peux analyser d'autres fichiers si tu veux. Il serait bon de trouver la faille ou a défaut, les ip de l'intrus

[cyberseb]

Re,

Désolé d'avoir mis un peu de temps mais vu que je remet en place le site et le forum, sa me laisse plus beaucoup de temps.

Seo pourrait-tu stp m'envoyer les repertoires a sécuriser sur phpbb3 prémod seo ?

J'ai lu sur le forum qu'il y'aurai peut-etre le /include et quoi d'autre ?

Avec quel méthode ? .htaccess (deny from all) ?

Je tient pas à ce que cela recommence. J'hesite aussi à activer le sitemap. Peut être y'a t'il un moyen de sécuriser également le repertoire de ce dernier ?

En ce qui concerne le ftp, il n'indique aucune ip différente. Donc je cherche encore des traces...