J'ai demandé conseil aupres d'un pote assez callé dans le domaine.
<fireboot> c'est (ou c'était =D) le site d'un pote
<Gutek> c'etait me parait plus approrie
<fireboot> donc j'voulais savoir qu'est ce qu'il faudrait faire
<fireboot> ou au moins, comment les pirates s'y sont pris
<Gutek> il faudrait deja prendre le temps (ce que je n'ai pas fait) de fouiller tous les repertoires a la recherche d'une backdoor. Parceque je connais l'habitude des turcs en matiere de deface, ca passe toujours par )une faille evidente sur un phpBB, upload d'une backdoor php pour se garder un axx au cas ou, et vidage de la base mysql
<fireboot> ok, je note
<fireboot> comment doit-on effectuer cette recherche ?
<Gutek> le fichier en question devrait pesr entre une 50aine et 160ko
<Gutek> *peser
<Gutek> et avoir soit : un nom du genre "config.php", tu vois l'esprit
<fireboot> wé
<Gutek> soit un nom en "azerty.php.jpg"
<Gutek> a mon avis, vu comme ca, rapidement
<Gutek> vu les versions phpBB et le resultat de vol de passes
<Gutek> je penche pour une faille sur l'upload d'avatard
<fireboot> ok
<Gutek> je parie qu'il proposait a ses membres de'up leur propre avatar de puis le panneau de profil
<fireboot> possible, mais je ne sais pas
<Gutek> cette faille sur ces versions permet justement d'envoyer tranquillement une backdoor en .php.jpg
<fireboot> de toute facon, je vais lui paster cette conversation (sauf si ça te gene, auquel cas je tenterais de lui expliquer avec mes mots)
<Gutek> non, pas de probleme. Mais je precise bien que je n'ai que survole quelques minutes son arborescence, hein
<fireboot> oui oui
<Gutek> pour un audit complet, prevoir un rendez vous et un cheque de banque certifie
<fireboot> j'crois que dans son cas, toute aide est bonne à prendre
<fireboot> lol
<Gutek> mais, si ce site etait si important, il a au moins une sauvegarde ? des fichiers, et de la base ?
<fireboot> je sais pas :x
<fireboot> mais de toute faocn
<fireboot> il a plus les axx
<fireboot> (ça a été changé)
<fireboot> donc même si il a une save il pourra pas l'uploader
<Gutek> parceque bon, Free est faillible a certaines choses, phpBB aussi evidement, mais si il n'y a pas de moyen de restauration une fois le pass retrouve, ca ne sert a rien de perdre du temps a chercher
<Gutek> (je suis dur, mais je prefere le dire)
<Gutek> si ils sont tellement confiants qu'ils ont laisse leur backdoor, il est possible de retrouver les passes
<Gutek> par contre si ils ont ete propres, ils l'uaront effacee
<Gutek> a ce moment la, il ne resterait que la solution de s'attaquer a l'hebergeur lui meme
<fireboot>c'est quoi que t'apelles "s'en prendre à l'hebergeur lui même" ?
<Gutek> tu as deux voies pour acceder aux ressources d'un espace web (site, forum, etc...) :
<Gutek> soit une faille sur le site lui meme (exemple de faille phpBB) qui te donne un axx limite au site
<Gutek> et te permet le deface
<Gutek> soit l'axx a l'ensemble directement de l'hebergeur
<Gutek> la, forcement, tu as devant toi le Konkeror du HD du serveur en question, dont le site qui t'interresse
<Gutek> et quand tu prend un espace chez un hebergeur,
<Gutek> ton espace est en fait un simple dossier vers lequel pointe un virtual host du serveur Apache (dans le cas qui nous interresse)
<Gutek> toi, client,
<Gutek> tu as acces au premier sous dossier de ce dossier. C'est l'espace de ton site
<Gutek> mais juste au dessus, en "parent directory",
<Gutek> il y a quelques autres sous dossiers et autres conf.php auxquels normalement seul ton hebergeur a acces qui contiennent tes donnees client
donnees client
<Gutek> ainsi, l'attaquant a non pas les euls mots de passe de ton forum, mais carrement tous tes pass clients chez l'hebergeur
<fireboot> omg
<Gutek> tu as deja vu une backdoor php, a quoi ca ressemble ?
<fireboot> absolument pas
<fireboot> de toute facon je code pas php
<fireboot> mais pour que l'attaquant ait acces à ce fameux parent directory, il faut la faille vienne de l'hebergeur non ?
<Gutek> sur google on en trouve en acces non protege par l'attaquant. Par exemple (celle ci est corrompue, mais tu vois l'interface) :
http://www.rackfirm.com/forum/index.php?act=Help<Gutek> pas necessairement. En fait, il suffit d'avoir un moyen d'uploader cette backdoor depuis par exemple un forum ou un truc genre Imageshack mais mal protege
<Gutek> a partir de la, il faut quelques conditons sur le serveur Apache de l'hebergeur : par exemple, le safe_mode sur Off
<Gutek> (precisement dans ce cas, dans son php.ini)
<fireboot> donc, si je comprends bien
<fireboot> admettons que j'ai un espace de stockage chez un hebergeur qui remplit les conditions que t'as cité
<fireboot> il suffit que j'upload une backdoor php sur mon propre site pour avoir acces aux pass's des clients ?
<Gutek> tout a fait. Chez un grand hebergeur, parmis ses miliers de sites clients, il en suffit d'un qui soit faillible pour etre un danger pour tous les autres
La fin de la discussion ne t'aidera pas forcement, mais j'ai preferé la laisser, un peu de culture ne fait pas de mal
Si t'as d'autres précisions à ajouter hésite pas ça pourrait eventuellement aider
