Forum attaqué

[Christophe]

Comme vous le savez probablement le forum a été attaqué dimanche 23 octobre 2005 dans l'après midi ce qui rendait la navigation impossible sur le forum et redirigeait automatiquement vers des sites porno ou d’affiliation.

Voici la situation actuelle ( lundi apres midi ) :

Je ne sais toujours pas ce qu'il sait exactement passé : attaque spécifique à econologie.com ou à tout le serveur ovh ( je suis en hebergement mutualisé chez ovh, c'est a dire que plusieurs dizaine de sites sont hebergé sur la meme machine physique ) ?

Quoiqu'il en soit le "probleme" a disparu automatiquement dans la soirée. D'apres cette constatations, j'en déduirais qu'il ne s'agissait pas d'une attaque voulue sur econologie, d'autant plus que le site n'a pas (a ma connaissance) été "touché" ( pour l'instant).

Je suppose donc qu'il s'agit d'une attaque/virus sur le serveur d'hebergement ( ovh ) que les admin d'ovh l'ont résolu par eux meme...Pour l'instant je ne vois pas d'autre explication possible. J'ai envoyé un mail de demande d'explication à Ovh, j'espère avoir une réponse ( et vous expliquerais ce qu'il en est ...)

Par contre je suis sur que le forum n'est pas sécurisé.

Il va falloir donc prendre une décision quant à la mise en place d'un nouveau forum. Merci donc de répondre à la question du sondage plus haut sachant que :

1) "Mettre à jour celui ci" ( sachant que les mises à jour officielles se sont arrêtées en 2003. )
- Avantages : aucun message et inscription ne seront perdues.
- Inconvénient : manque de sécurité puisque plus de mises à jour. Et plus econologie "grandira" plus ce genre d'attaques seront possibles

2) "Repartir sur un tout nouveau forum" de type PhpBB ( comme celui d'oliomobile par exemple).
- Avantages : sécurité et mises à jour possibles.
- Inconvénients : aucun message ou inscriptions de ce forum ne sera gardé. Changement de fonctionnement pour les habitués.

Mon choix pencherait pour la 2ieme possibilité sachant que sur les 1500 inscrits au forum, seul une petit 50 aine participe activement. Ce forum pourrait toujours être accessible en consultation en archivage.

[SixK]

Il y a quelques temps, un vers s'attaquait a une version spécifique de phpBB en défigurant le site. Il se peut qu'un vers exploitant une faille d'invision se soit introduit sur le forum ?
Quel etait le probleme rencontré sur le forum ? j'ai rien vu hier apres midi.

En général le ver retrouve les sites attaquables par les moteurs de recherche en recherchant un numéro de version ou une chaine spécifique présente sur le forum ciblé. Je pense surtout a une chaine comme celle ci :
Powered by Invision Power Board v1.1 © 2003 IPS, Inc. Version Française par IBF French

Donc première action modifier cette chaine afin que le forum ne puisse pas etre repéré si le ver (si c'est bien un ver) se base bien sur cette chaine...

SixK

[Christophe]

1) Cette chaine est le copyright je ne peux pas l'enlever ( du moins facilement )

2) Pour la description de l'attaque, je viens de la préciser dans le message, je te conseille de suivre ce que j'ai dis (avec un anti spyware )

3) Si c'était l'exploitation d'une faille pkoi le probleme a t il disparu automatiquement ? Je n'ai fait aucune intervention...?!?

[Manager]

- pour limiter les risques sur les fichiers de votre site...

mettre en lecture seule tous vos fichiers par l'intermédiaire du logiciel FTP (en faisant clic bouton droit après avoir sélectionné tous les fichiers et cliquer sur 'changer les attributs' ou 'set attributes' et passer en lecture seule - le nombre correspondant à la lecture seule est "444")...

pour l'attribut des répertoires il faut passer en "501". Ainsi il devient impossible d'effacer ou de réécrire sur le fichiers en ligne


si vous avez phpmyadmin sauvegarder une version des fichiers de phpmyadmin par FTP


Pour votre base (site + forum)... à faire tous les jours... sur un pc personnel par exemple...

si vous avez la possibilité de gérer votre base avec phpmyadmin
- pour sauvegarder cliquer sur "exporter" + case à cocher 'structure' + case à cocher 'données' + case à cocher 'transmettre'
et exécuter... ainsi vous aurez un beau petit fichier texte ou php... de votre base.

- pour restaurer... eh bien c'est tout con... aller dans l'onglet SQL à coté de l'onglet 'exporter' et faire parcourir et aller chercher votre fichier de sauvegarde puis exécuter.

[SixK]

En cas changement de Forum pour phpBB par exemple, il est assez simple de migrer les données. Des scripts déjà tout prets existent peut-etre d'ailleur.
Ce serait dommage de perdre toutes les données accumulées sur plusieurs mois....

Eventuellement je peux filer un coup de main pour la migration, j'ai déjà migré un forum propriétaire vers phpBB sans trop de problemes...

SixK

[A2E]

fait pour le mieux Christophe
dans un cas cpmme dans un autre les fidèles que nous sommes te suivront !
seulement 50 actifs sur 1500 inscrits ?
c'est pas croyable !!!!

[ex-océano]

Cela ne m'étonne pas ! Très souvent les gens commencent à lire puis s'en vont et ils restent enregistrés. De plus quand ils voient la quantité immense des messages postés ils prennent peur.

Après il y a les sangsues qui ne vont pas proposer des choses, donner leur avis ou leur expérience et ne sont là que pour que l'on réponde à leurs questions ou attentes gratos.

Et puis j'oubliais les indélicats qui sont interdits d'accès,...

Donc tout ça ça fait des inscrits pour rien...

50 actifs qui s'investissent valent mieux que 200 qui ne font rien...

[gegyx]

Je suis étonné du nombre de gens qui semblent ne pas avoir été inquiété par ce pb…Vu le peu d’interventions dans ce post, et la multitude d’interventions autres, comme si rien ne s’était passé, où tout avait été transparent…
Cela a commencé samedi en début d’après-midi, suite à une tentative de téléchargement du brevet de Christophe et Olivier ; boulé à chaque fois, avec le code; puis en me reconnectant sur le forum, mon antivirus Mc Afee me signalait un cheval de Troie « sploit.ani », et m’empêchait d’aller plus loin, et cela jusqu’au soir ; j’ai mis Ad Aware, puis A2 Squared free, puis mon anti-virus n’a plus rien détecté sur l’ordi. Je me suis reconnecté sur le forum ce soir.

[yahi]

Salut !
ce qui est rassurant c'est que tout est revenu dans l'ordre en qqs heures, meme un dimanche! Donc si c'est le travail de l'hébergeur, c'est bien joué de leur part !

c'est allé assez vite, j'ai rien vu de mon coté !

yahi

[Lapin]

C est vrai que 50 c est pas des masses ...

Pour moi pas de probleme ,peut importe la presentation ,c est
le contenu qui compte .

Un forum du type oliomobile aurai l avantage d avoir plus de smillies . Cela m evitera de faire des liens vers les leurs ..
oups. :rolleyes:

Pour ce qui est du virus ,vers ou autres bestiole je n ai rien
remarque .de toute facon j en suis couvert et je format mon
pc toutes les semaines .J en ai marre de payer pour des
usines a gaze ou pour des prog qui donnent un sentiment
de securitee qui n est pas justifie.

Petite sugestion : n est il pas possible de repartir le forum sur
plusieurs serveurs ? cela limitera ce type de probleme et
evitera de surcharger un malheureux serveur qui n en demande
pas tant .La que j y pense ... comment fesons nous a 50 pour
saturer un serveur ? y a un truc que je ne pige pas . <_<