Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

ForumDZ Hacked !

Yacine_3tm

Par Yacine_3tm
dans La vie du forum

 Share

Messages recommandés

assilabox Rookie

assilabox

Posté(e)
Posté(e)

Salam,

 

Juste pour rendre ca un peu plus didactique :-) Comment empêcher au utilisateur d'exécuter le PHP aux autres répertoires ?

 

Comment créer un utilisateur dédiés par répertoire ? il y a un utilitaire pour cela ou c'est les utilisateurs système ?

 

Merci d'avance

 

Salut,

 

En effet :)

On va dire merci le chroot sur ce coup la ;)

 

Bref, le truc que j'avais omis, honte a moi, concernait la sévérité des permissions des répertoires...

 

Chaque site est éxecuté via un user dédié qui ne doit pas normalement pouvoir lire le contenu des autres sites...

 

Un petit oubli corrigé.

 

Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 130
  • Created
  • Dernière réponse

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

linux Newbie

linux

Posté(e)
Posté(e)

salut

 

bon les gars!!!! que vous les trouvez des kiddies ou des cons et j'en passe, le fait est la ,il ont reussi a pirater le forum et c tout.

 

au lieu que nos chers modos et admin passent leurs temps a filtrer, censuré et moraliser le forum,vaut mieux qu'il le securise. c la moindre des choses

Lien vers le commentaire
Partager sur d’autres sites
assilabox Rookie

assilabox

Posté(e)
Posté(e) (modifié)

Salam,

 

Je repose la question autrement :

 

J'ai une solution LAMP sur un serveur. dans www il y'a deux répertoires, dans chaque répertoire est hébergé un site. Comment créer un utilisateur pour chaque répertoire et être certain que chaque utilisateur n'ait pas le droit de faire executer le PHP hors de son repertoire? Un peu comme le FTP ou le SSH quoi mais pour le PHP :_) ?? Comment?

 

Merciii d'avace :-)

Modifié par assilabox
Lien vers le commentaire
Partager sur d’autres sites
AssilaBox User Newbie

AssilaBox User

Posté(e)
Posté(e)

Bonjour les amis,

 

Heureux que ce beau forum revient fleurir de nouveau..Merci pour tout le Staff.

 

Compétences équivalent à:

 

- construire..aider et partager la connaissance..

 

- étaler l'esprit de vie et de la paix entre nous..

 

- un Algérien qui exploit son ingéniosité pour le bien de son pays (qui restera toujours malgré tout son pays natal) et prouve à tout le Monde que nous somme pas des "pirates" ou des "malintentionnés"..

 

Les Jeunes compétences doivent pensés à la vie non à la mort, de construire non à détruire, d'aimer et non de haïr..et d'entre aider les uns les autres.

 

Allumer une Bougie (ForumDZ) dans toute l'obscurité du réel quotidien, c'est toute une noble idée et responsabilité..Merci infiniment pour toutes ces efforts.

 

Ces jeunes avec leurs compétences (qui ont hacké le Site), qu'ils viennent nous rejoindre et allument de leur part, beaucoup, beaucoup de bougies pour vaincre cette obscurité.

 

Merci..on y tous gagnant avec ce Beau forum et toutes ces compétences.

Lien vers le commentaire
Partager sur d’autres sites
Fr0mY0u Newbie

Fr0mY0u

Posté(e)
Posté(e)

On va juste dire que la vie du forum reprend :)

 

[HS]Petit HS si je me permet au passage[/HS]

 

Je voudrais clarifier ma position quant a la team mafia crew.

 

Tout d'abord pour tous ceux qui les traitent de script kiddies ou je ne sais quoi... C'est pas parce qu'ils pirates les sites que vous aimez que ça en fait des gogoles. Même si leur modestie ne s'est pas encore manifestée (peut-être que cela n'est pas nécessaire), ils arrivent tout de même a faire ce qu'ils veulent :) Que ça soit pour poste.dz ou forumdz...

Donc a mon avis, il montre de la détermination et même s'ils suivent des tutos (d'où votre appellation de "kiddies" je suppose), on en suit tous un peu non?

 

Viens ensuite le comportement de "Qui a la plus grosse...?" Si on pouvait m'expliquer l'utilité! (J'évoque ici une certaine confrontation entre un membre et la team)

 

A mafia Crew, les sites faillibles dz, il y en a plein (pour ceux qui ont été curieux ils ont du le remarquer dans une video quelque part), les .co.il aussi d'ailleurs si vous voulez aller dans ce sens çà serait pas mal ;)

 

Sur ce, je m'excuse deja si mon avis ne suit pas votre logique. Pour moi, la seule idée a retenir c'est la progression qui en découle: alerter (mafia crew) et perfectionner (Iyas ;) )

 

@+

Lien vers le commentaire
Partager sur d’autres sites
Odin91 Newbie

Odin91

Posté(e)
Posté(e)
et en plus il n'utilise même pas linux yaw kiwwww script kiddies

PS : prétendez que je suis un connaisseur.

 

Bof, faut pas forcement utiliser Linux hein. Je connais un pirate du nom de SpY-TecH(Celui qui a déface le site de la police belge, CShacked etc...) et il est de temps en temps sur Windows.

Lien vers le commentaire
Partager sur d’autres sites
Iyas Newbie

Iyas

Posté(e)
Posté(e)
Salam,

 

Juste pour rendre ca un peu plus didactique :-) Comment empêcher au utilisateur d'exécuter le PHP aux autres répertoires ?

 

Comment créer un utilisateur dédiés par répertoire ? il y a un utilitaire pour cela ou c'est les utilisateurs système ?

 

Merci d'avance

Alors... Comment dire... :)

 

Bon je ne vais pas rentrer dans les détails car ça serait trop long.

 

En gros la base repose sur le fait de faire tourner le serveur web dans un environnement chrooté.

 

A partir de la on possède un fichier /etc/passwd et /etc/group complétement indépendant du système principal permettant ainsi a tous les programmes tournant dans l'environnement chroot d'avoir une base d'utilisateurs "virutelle".

 

Ensuite il suffit d'utiliser un serveur WEB adapté (APACHE est ton ami).

Il existe pour apache plusieurs solutions.

La plus connue: SuPHP, ce qui implique que php soit installé en module. Il existe également des patch pour apache qui permettent de préciser sous quel UID/GID le vhost est exécuté.

 

Un petit plus serait d'ajouter à apache le "security module" qui permet d'intercepter les attaques de type injection SQL, PHP include et ce genre de choses.

 

Voilà en gros. Ensuite concernant le service FTP qui permet en général aux utilisateurs de déposer leur site, je vous conseille pure-ftpd. Il permet également de gérer une base d'utilisateurs virtuels auxquels vous pouvez définir leur propre UID/GID.

 

Il suffit ensuite de maintenir ces services à jour et çà devrait aller.

 

Quoi qu'il en soit il n'existe pas de sécurité efficace à 100%. Donc il faut rester vigilant.

 

Si un site se fait pirater, ben ce n'est pas si grave, ça arrive... Ce qu'ils faut c'est limiter l'impact que cela pourrait avoir sur les autres sites hébergés sur le serveur et faire en sorte que tes autres clients ne soient pas impactés.

 

Ah oui ! Personnellement pour ce qui est des services Internet je suis contre le "apt-get install". Car la plupart des exploit sont fait pour des distributions bien précises. Le fait de compiler ses services à la main permet de déplacer certains offset rendant l'exploitation un peu plus triviale.

 

Et enfin pour finir, un petit SNORT peut s'avérer très pratique.

 

 

En espérant que cela puisse vous servir..

 

++

Lien vers le commentaire
Partager sur d’autres sites
unix33 Newbie

unix33

Posté(e)
Posté(e)
Je leur conseillerai bien de prendre des cours de français. même nos hackers sont nuls. Décidément, l'algérie ...

 

HACKER ne se fait pas avec la langue de Molière , mais avec un language machine :( , donc rien a voir avec le français , et maintenant avec les forum et google qui ne sait pas hacker un site qui n'est pas assez protéger :( , tout est distribué sur le net , on fait un copie coller on lit le tuto et voila :)

 

moi je dirais a ce gars au lieu de pirater des site de partage de connaissances et d'informations :) qu'il aille se faire un bon petit site la ou il ya du fric :D:D:D:D:D comme ça au moin il aura gagner quelque chose . :D:D:D:D

Lien vers le commentaire
Partager sur d’autres sites
Iyas Newbie

Iyas

Posté(e)
Posté(e)
On va juste dire que la vie du forum reprend :)

 

[HS]Petit HS si je me permet au passage[/HS]

 

Je voudrais clarifier ma position quant a la team mafia crew.

 

Tout d'abord pour tous ceux qui les traitent de script kiddies ou je ne sais quoi... C'est pas parce qu'ils pirates les sites que vous aimez que ça en fait des gogoles. Même si leur modestie ne s'est pas encore manifestée (peut-être que cela n'est pas nécessaire), ils arrivent tout de même a faire ce qu'ils veulent :) Que ça soit pour poste.dz ou forumdz...

Donc a mon avis, il montre de la détermination et même s'ils suivent des tutos (d'où votre appellation de "kiddies" je suppose), on en suit tous un peu non?

 

Viens ensuite le comportement de "Qui a la plus grosse...?" Si on pouvait m'expliquer l'utilité! (J'évoque ici une certaine confrontation entre un membre et la team)

 

A mafia Crew, les sites faillibles dz, il y en a plein (pour ceux qui ont été curieux ils ont du le remarquer dans une video quelque part), les .co.il aussi d'ailleurs si vous voulez aller dans ce sens çà serait pas mal ;)

 

Sur ce, je m'excuse deja si mon avis ne suit pas votre logique. Pour moi, la seule idée a retenir c'est la progression qui en découle: alerter (mafia crew) et perfectionner (Iyas ;) )

 

@+

Ben écoute je suis assez d'accord sur ce que tu dis. La chose à en retenir c'est que certes, ça fait chier, mais d'un autre coté ça nous démontre en général un problème dans la configuration :) Et comme tu le dis ça permet d'améliorer l'architecture WEB par la suite.

 

Ce qui me gène un peu plus est leur façon de faire...

Je trouve ces petits jeunes très malin. Comme tu dis même si ils ne font qu'utiliser des programmes déjà fait, ils le font très bien.

 

Mais, si je peux me permettre une remarque, la seule et unique chance qu'ils ont est le fait de vivre en Algérie.

 

Les gars laissent leurs IPs partout, c'est super crade. La même attaque en Europe, tu peux enclancher des poursuites et je peux te certifier que le mec à la fin ben il pleure :)

 

Mais bon, il faut reconnaître que ces jeunes crackers sont malins et savent très bien utiliser leur outils. Et puis bon comme tu dis, ça nous permet de nous améliorer :) (Je me répète non ? :) )

 

Bon aller sur ce je file.

 

Bon courage à tous et à plus tard pour de nouvelles aventures... :)

Lien vers le commentaire
Partager sur d’autres sites
Iyas Newbie

Iyas

Posté(e)
Posté(e)

En même temps quand je vois ça... Je me demande si ils comprennent bien ce qu'ils font... :)

 

41.200.243.107 - - [25/May/2009:17:45:04 +0200] "GET /forumdz.com HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

41.200.243.107 - - [25/May/2009:17:45:12 +0200] "GET /~forumdz.com HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

41.200.243.107 - - [25/May/2009:17:45:15 +0200] "GET /~forumdz.com HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

 

Pour info ce sont les logs d'un site autre que forumdz :)

 

Bref... Aller sur ce je m'en vais.

Lien vers le commentaire
Partager sur d’autres sites
Invité Xababa

Invité Xababa

Posté(e)
Posté(e)

Il faudrait peu être (encore) changé d’hébergeur?

car vbulletin est réputé pour être in-hackable!

 

Quant aux avatars c'est le minimum syndicale (avec ou sans le fofo c'est fait hacké comme même) et ça fait partie des raison que pas mal de membres on déserté vers d'autre forum dz.

il faut voir ce Hack du bon coté et partir sur des nouveaux résolutions! notamment savoir être sévère quant il faut et pas tout le temps, a bon entendeur!

Lien vers le commentaire
Partager sur d’autres sites
unix33 Newbie

unix33

Posté(e)
Posté(e)
En même temps quand je vois ça... Je me demande si ils comprennent bien ce qu'ils font... :)

 

41.200.243.107 - - [25/May/2009:17:45:04 +0200] "GET /forumdz.com HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

41.200.243.107 - - [25/May/2009:17:45:12 +0200] "GET /~forumdz.com HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

41.200.243.107 - - [25/May/2009:17:45:15 +0200] "GET /~forumdz.com HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

 

Pour info ce sont les logs d'un site autre que forumdz :)

 

Bref... Aller sur ce je m'en vais.

 

 

je n ai pas bien saisi :confused::confused::confused::confused: , ils font un GET a partir d 'un autre site pour avoir l'arborescence ou je ne sais quoi de forumdz :eek::eek::confused::confused:

Lien vers le commentaire
Partager sur d’autres sites
bassim Newbie

bassim

Posté(e)
Posté(e)
HACKER ne se fait pas avec la langue de Molière , mais avec un language machine :( , donc rien a voir avec le français , et maintenant avec les forum et google qui ne sait pas hacker un site qui n'est pas assez protéger :( , tout est distribué sur le net , on fait un copie coller on lit le tuto et voila :)

 

T'as surement raison, mais la rigueur est une des plus importantes qualités que peut avoir un informaticien.

Lien vers le commentaire
Partager sur d’autres sites
wefix Newbie

wefix

Posté(e)
Posté(e)

salut a tous , ravi de revoir notre cher forum en forme :)

 

 

sinon moi je suis tombé sur sa , c'est quoi s'il vous plais ?

 

ps : si cette image est hors charte svp faite moi signe pour la supprimer ;) je veux nuire aucunement a ce forum.

llly.jpg

Lien vers le commentaire
Partager sur d’autres sites
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Share
Aller sur la liste des sujets
×
×
  • Créer...