Bonjour,
J'ai récemment (hier) était victime d'une intrusion sur un forum phpBB 2.0.22.
La personne a visiblement réussi à accéder à la base de données et à avoir les mots de passe md5 (pas très sécuritaire je sais...) et les adresses e-mail.
Le "hacker" en question n'a rien supprimé, juste fais le beau (ce qui me surprend venant d'un "hacker") en postant ce message :
http://uzumaki-world.fr/viewtopic.php?t=20&start=0&postdays=0&postorder=asc
Les mots de passes et adresses e-mail correspondent.
Le site DW dont il parle est : http://shinsuke78.free.fr
Mais nous n'avons aucun rapport avec ce qui peut leur arriver...
Je n'y connais absolument rien en "hacking" et aimerais me protéger afin que d'autres personnes mal intentionnées n'utilisent pas ces informations à des fins malsaines.
Je vais lire les tutos présents sur le site, mais en attendant, pouvez-vous déjà me dire s'il y a des failles évidentes que je devrais corriger ?
Je vous ai créé un compte sur le forum, au cas où :
login : hbbs
pass : hackbbs
De toute façon le forum est totalement vide et en reconstruction suite à son vidage par une autre personne mal intentionnée...
Mais j'aimerai qu'une fois qu'il sera rempli, il ne soit pas à nouveau détruit...
Par avance, merci ;)
Je vais me plonger dans de la lecture :)
@+
Un phpBB 2.0.22 ? tester.
8 posts
• Page 1 of 1
Un phpBB 2.0.22 à tester.
by $p00ky » Tue Dec 11, 2007 11:57 am
- $p00ky
- Projets
- Posts: 4
- Joined: Tue Dec 11, 2007 11:40 am
by baltazare » Tue Dec 11, 2007 4:22 pm
le mec est baleze^^ J'ai lu votre topic où le hackeur fait un spitch.
On devrai l'embaucher :lol:
Je rigole^^ quoi que... :twisted:
As tu toujours mis a jour ta base de donnée avec phpbb?
Pourquoi il a reussi a peter tout vos mot de passe, surement des dates de naissances ou des MDP identiques à ceux d'msn.
Il lui a suffit de vous baiser sur msn, et hop là.
Des copies de BDD sont dispnible a mettre sur un DD, si on te hack, un coup de copie de donnée, et tout est comme avant.
On devrai l'embaucher :lol:
Je rigole^^ quoi que... :twisted:
As tu toujours mis a jour ta base de donnée avec phpbb?
Pourquoi il a reussi a peter tout vos mot de passe, surement des dates de naissances ou des MDP identiques à ceux d'msn.
Il lui a suffit de vous baiser sur msn, et hop là.
Des copies de BDD sont dispnible a mettre sur un DD, si on te hack, un coup de copie de donnée, et tout est comme avant.
-
baltazare - Posts: 607
- Joined: Mon Sep 03, 2007 10:27 am
by $p00ky » Tue Dec 11, 2007 7:02 pm
Oui oui j'avais des sauvegardes.
En fait avant ça, un truc comme deux jours avant, un des admins a supprimé tous les messages du forum.
Cette personne n'avait aucune compétence, elle a juste abusé de la confiance d'un des autres admins qui l'a mis admin...
Enfin bon, suite à ça il a été préférable de repartir à 0, c'est pas ma décision, moi à vrai dire je m'en tape, pour tout dire, c'est à mon frère en fait, moi j'y connais rien, je lui ai juste pris l'abonnement...
J'aimerais juste que ça recommence pas (alors je lui ai dit de pas filer le niveau admin à n'importe qui...)
Ensuite, un autre forum, un ou deux jours après nous (donc avant-hier en gros) a été hacké. ?? les entendre, ce serait vraiment hacké, y'aurait plus rien chez eux.
Apparament aussi, il y aurait des querelles entre les deux forums et l'autre forum a cru que c'était nous, en représaille de ce qui nous était arrivé juste avant...
Enfin bon en ce qui me concerne, pour moi c juste un gars qui se marre à monter les deux forums l'un contre l'autre...
Mais ce qui n'est pas marrant, c'est qu'un hacker de l'autre forum prenne parti avec eux, et commence à faire du vrai 'hacking'.
Voilà j'ai résumé la situation comme elle m'est apparue...
Moi je veux juste protéger le forum de mon frère.
En ce qui concerne les mots de passe, une fois que tu as accès à la base de donnée, il n'y a rien de plus simple, ils sont enregistrés en md5...
Même moi ne connaissant rien, je tape "md5 online" sur google, le premier site est http://ice.breaker.free.fr qui a décodé avec succès les tout simples que j'ai testé pour vérifier que le hackeur disait vrai...
Sinon, je suis bien en phpBB 2.0.22 oui, malgré ce que raconte la doc...
J'ai vu que phpBB3 utilisait le cryptage en [url=http://www.openwall.com/phpass/]phpass[/url], j'aimerai bien m'y mettre, mais le forum actuel a beaucoup trop de moficiation de code pour y migrer sans dommages.
Je pense retoucher au code de ma version phpBB 2.0.22, juste au code de login et prendre celui de phpBB3. Par contre ça va me prendre du temps, ce que je n'ai pas nécessairement en ce moment...
Donc s'il y avait un moyen pour que personne n'accède à la base de donnée, ce serait encore mieux :D
J'essai dans mon temps libre de me documenter sur votre site pour le protéger, mais malheureusement ce temps libre est une denrée rare...
Merci à tous ceux qui m'aideront !
bye
En fait avant ça, un truc comme deux jours avant, un des admins a supprimé tous les messages du forum.
Cette personne n'avait aucune compétence, elle a juste abusé de la confiance d'un des autres admins qui l'a mis admin...
Enfin bon, suite à ça il a été préférable de repartir à 0, c'est pas ma décision, moi à vrai dire je m'en tape, pour tout dire, c'est à mon frère en fait, moi j'y connais rien, je lui ai juste pris l'abonnement...
J'aimerais juste que ça recommence pas (alors je lui ai dit de pas filer le niveau admin à n'importe qui...)
Ensuite, un autre forum, un ou deux jours après nous (donc avant-hier en gros) a été hacké. ?? les entendre, ce serait vraiment hacké, y'aurait plus rien chez eux.
Apparament aussi, il y aurait des querelles entre les deux forums et l'autre forum a cru que c'était nous, en représaille de ce qui nous était arrivé juste avant...
Enfin bon en ce qui me concerne, pour moi c juste un gars qui se marre à monter les deux forums l'un contre l'autre...
Mais ce qui n'est pas marrant, c'est qu'un hacker de l'autre forum prenne parti avec eux, et commence à faire du vrai 'hacking'.
Voilà j'ai résumé la situation comme elle m'est apparue...
Moi je veux juste protéger le forum de mon frère.
En ce qui concerne les mots de passe, une fois que tu as accès à la base de donnée, il n'y a rien de plus simple, ils sont enregistrés en md5...
Même moi ne connaissant rien, je tape "md5 online" sur google, le premier site est http://ice.breaker.free.fr qui a décodé avec succès les tout simples que j'ai testé pour vérifier que le hackeur disait vrai...
Sinon, je suis bien en phpBB 2.0.22 oui, malgré ce que raconte la doc...
J'ai vu que phpBB3 utilisait le cryptage en [url=http://www.openwall.com/phpass/]phpass[/url], j'aimerai bien m'y mettre, mais le forum actuel a beaucoup trop de moficiation de code pour y migrer sans dommages.
Je pense retoucher au code de ma version phpBB 2.0.22, juste au code de login et prendre celui de phpBB3. Par contre ça va me prendre du temps, ce que je n'ai pas nécessairement en ce moment...
Donc s'il y avait un moyen pour que personne n'accède à la base de donnée, ce serait encore mieux :D
J'essai dans mon temps libre de me documenter sur votre site pour le protéger, mais malheureusement ce temps libre est une denrée rare...
Merci à tous ceux qui m'aideront !
bye
- $p00ky
- Projets
- Posts: 4
- Joined: Tue Dec 11, 2007 11:40 am
by Korigan » Tue Dec 11, 2007 9:46 pm
Laisse ta bdd accessible...plus de bdd...plus de forum! Et désactive tout tes mod. Tu te renseigne ensuite sur chacuns d'eux et tu réinstall juste ceux qui te sembles sans failles.
Pour la sécurisation de ton forum c'est assez simple.
Je te conseil de suivre ce tuto:
http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html
Pour la sécurisation de ton forum c'est assez simple.
Je te conseil de suivre ce tuto:
http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html
-
Korigan - Site Admin
- Posts: 1781
- Joined: Tue May 29, 2007 6:57 pm
8 posts
• Page 1 of 1
Return to Faites tester vos sites <b>DE TEST</b>
Who is online
Users browsing this forum: No registered users and 1 guest