Jump to content

ForumDZ Hacked !


Yacine_3tm
 Share

Recommended Posts

Hey la mafia ! faites gaffe et piratez des sites étrangers et pas les sites locaux, hah vous ne pouvez pas..hain ? débutants

 

Il ne faut pas mettre hacked mais "Application du manuel réussi"

 

To Be Continued when w'll find an other tutorial.

 

Bit** ! Débutants !

des hackers ?mdr pirater un site c'est un hack ,c de la débilité surtout des algeriens contre des algeriens

plutôt allez hacker et montrez votre talent dans la cour des grands et honorez nous

Link to comment
Share on other sites

  • Replies 130
  • Created
  • Last Reply

Top Posters In This Topic

Soit tu t'es fais manipulé soit tu es de mauvaise foi :)

 

pourquoi tu croix que c'est exclusif ? :D

Moi je dirais les deux...avec une grosse part de "manipulé".... ben quand on n'est pas très futé et "jeune", on prend le rôle de marionnette

 

Non :) Je Fait partis de la team

 

ba ba ba .... il fait partie de la team... impressionnant :D

Link to comment
Share on other sites

  • Moderators
Lu,

 

ce msg est destiné au pseudo hacker

 

" écoute mon bonhomme, si tu n'a rien a foutre, et je comprend avec la chaleur qu'il fait ces jours-ci à bechar, je te conseille plutot de sortir et aller faire un tour du côté du jet d'eau.

 

sinon tu risque d'avoir ton abo anis résilié et une visite de la gendarmerie chez toi que ca soit fe 600 400 ou 220.

 

à l'admin :

 

communique moi l'heure de l'attaque et je te sors toutes les informations y compris la photo de son joli petit cul de ce fils de ....

 

T'est pas sérieux ! :D si c'est des hackeurs pro et ça semble être le cas il peuvent lancer une attaque par l'intermédiaire d'une passerelle piraté et c'est pas nos zozos de la gendarmerie ou autre qui trouverons quoi que ce soit au mieux ça serait un pauvre mec qui n'as pas de pare feu activé.

 

En informatique y a toujours des failles et il faut toujours les colmater et puis c'est tout.

Link to comment
Share on other sites

T'est pas sérieux ! :D si c'est des hackeurs pro et ça semble être le cas il peuvent lancer une attaque par l'intermédiaire d'une passerelle piraté et c'est pas nos zozos de la gendarmerie ou autre qui trouverons quoi que ce soit au mieux ça serait un pauvre mec qui n'as pas de pare feu activé.

 

En informatique y a toujours des failles et il faut toujours les colmater et puis c'est tout.

Des hackeurs pros ? :) J'espère que tu plaisantes ?

 

Je peux t'assurer qu'on en est trèèèèèèès loin. La vraie scène underground ne s'amuse pas scanner les serveurs web pour ensuite déposer un pauvre shell PHP leur permettant d'éxécuter des commandes via une interface web à 2 balles...

 

Je me souviens encore les voir me poser des questions sur MSN a propos des languages de programmation qu'ils devaient apprendre...

 

Si tu veux avoir une idée de ce que peut donner le niveau de vrais "Hackerz" je te conseille de parcourir le site de phrack... La on peut parler de pros... Une vraie R&D dans le domaine de la sécurité. C'est ca être un "Hacker". Ce n'est pas scanner des sites web à l'aide d'outils automatiques pour ensuite modifier modifier la page d'accueil.

 

Certes ce sont de petits crackers de sites, habiles et malins, qui savent perfaitement utiliser leurs outils. Mais ca ne va pas plus loin...

 

Je vais voir prochainement à mettre en place un petit jeu qui consistera à exploiter plusieurs petits programmes vulnérables à distance sur un serveur inutilisé et non sensible. Les sources C de ces programmes seront bien entendu communiquées afin que les personnes désirant participer à ce petit challenge, puisse analyser la vulnérabilité et par la suite développer leur propre programme qui permettera d'exploiter la faille.

 

Je manque un peu de temps en ce moment mais dès que j'aurai 5 min j'essaierai de mettre ce petit challenge en place.

 

Sur ce je pense que nous pourrions mettre un terme un ce thread qui nous fait parler pour ne rien dire :)

Link to comment
Share on other sites

Des hackeurs pros ? :) J'espère que tu plaisantes ?

 

Je peux t'assurer qu'on en est trèèèèèèès loin. La vraie scène underground ne s'amuse pas scanner les serveurs web pour ensuite déposer un pauvre shell PHP leur permettant d'éxécuter des commandes via une interface web à 2 balles...

 

Je me souviens encore les voir me poser des questions sur MSN a propos des languages de programmation qu'ils devaient apprendre...

 

Si tu veux avoir une idée de ce que peut donner le niveau de vrais "Hackerz" je te conseille de parcourir le site de phrack... La on peut parler de pros... Une vraie R&D dans le domaine de la sécurité. C'est ca être un "Hacker". Ce n'est pas scanner des sites web à l'aide d'outils automatiques pour ensuite modifier modifier la page d'accueil.

 

Certes ce sont de petits crackers de sites, habiles et malins, qui savent perfaitement utiliser leurs outils. Mais ca ne va pas plus loin...

 

Je vais voir prochainement à mettre en place un petit jeu qui consistera à exploiter plusieurs petits programmes vulnérables à distance sur un serveur inutilisé et non sensible. Les sources C de ces programmes seront bien entendu communiquées afin que les personnes désirant participer à ce petit challenge, puisse analyser la vulnérabilité et par la suite développer leur propre programme qui permettera d'exploiter la faille.

 

Je manque un peu de temps en ce moment mais dès que j'aurai 5 min j'essaierai de mettre ce petit challenge en place.

 

Sur ce je pense que nous pourrions mettre un terme un ce thread qui nous fait parler pour ne rien dire :)

lu,

 

ca ressemble au concours de FBI ;)

 

PS : contacter KT pour un audit

Link to comment
Share on other sites

ben BoF...le thread ne veut pas se fermer .... joli option = message d'un admin => réouverture ? :)

 

En tous cas, perso je croix qu'il n'est pas nécessaire de le fermer.... c'est intéressant quand même

 

Avis d'un simple membre :)

 

==EDIT== Le thread a été réouvert après concertation.Merci

Link to comment
Share on other sites

ben BoF...le thread ne veut pas se fermer .... joli option = message d'un admin => réouverture ? :)

 

En tous cas, perso je croix qu'il n'est pas nécessaire de le fermer.... c'est intéressant quand même

 

Avis d'un simple membre :)

 

 

oui je suis de ton avis , ça ne feras qu'empirer les choses et créer des querelles inutiles :( alors moi aussi je suis de cet avis , le thread doit etre fermé :(

 

et merci buterfly :)

Link to comment
Share on other sites

oui je suis de ton avis , ça ne feras qu'empirer les choses et créer des querelles inutiles :( alors moi aussi je suis de cet avis , le thread doit etre fermé :(

 

rectif : je suis d'avis de laisser ouvert :) .... tant que ça n'a pas dérapé encore :)

Link to comment
Share on other sites

rectif : je suis d'avis de laisser ouvert :) .... tant que ça n'a pas dérapé encore :)

lu,

 

+1

 

à priori, ces gamins ne mesurent pas les conséquences d'un tel acte et surtout du point de vue juridique (amende, prison, interpol ... ).

 

donc je voudrais bien connaitre et surtout faire connaitre à ces petits bambins ce qu'ils risquent s'ils continuent

 

La LOI a et restera toujours le meilleur moyen de répression et de combat contre la délinquance qu'elle soit analogique, numérique, virtuelle ou réelle ;)

Link to comment
Share on other sites

hi

 

lire cet article publié récemment sur TSA , ça brise la pseudo idée sur l'impunité des ha-ckers chez nous. faut savoir ce qu'on risque quand on laisse des traces partout .

 

juste un extrait :

 

Alertés, les services de sécurité ont réussi à remonter rapidement la piste du ha-cker, un jeune informaticien de Oum El Bouaghi, qui a été interpellé. Selon une source proche de l'enquête, le hacker n'avait aucune intention malveillante. Il a expliqué aux enquêteurs s'être introduit dans les systèmes d'information de ces établissements financiers par envie de défi. L'enquête a établi en effet que le hacker n'avait pas l'intention d'effectuer des opérations frauduleuses. Il ne serait pas également à une organisation criminelle internationale

 

[/Quote]

 

sur ce , à bon entendant , salut

Link to comment
Share on other sites

lu,

 

+1

 

à priori, ces gamins ne mesurent pas les conséquences d'un tel acte et surtout du point de vue juridique (amende, prison, interpol ... ).

 

donc je voudrais bien connaitre et surtout faire connaitre à ces petits bambins ce qu'ils risquent s'ils continuent

 

La LOI a et restera toujours le meilleur moyen de répression et de combat contre la délinquance qu'elle soit analogique, numérique, virtuelle ou réelle ;)

Salut,

 

Je suis d'accord, et en même temps je ne le suis pas...

Je vais essayer de m'expliquer et cela risque d'être un peu long donc désolé pour le long blabla qui va suivre ;)

 

Le principe, d'un point de vue purement sécurité et concernant la gestion des risques, repose sur 4 grands axes:

 

1 - L'identification du risque

2 - L'appréciation du risque

3 - Le traitement du risque

4 - Le niveau d'acceptabilité des risques résiduels

 

Ici ce qui nous intéresse c'est le traitement du risque.

Dans ce cas précis, nous avons 4 nouvelles possibilités:

 

1 - Éviter le risque : ce qui sous entend dans notre cas, de ne pas mettre en ligne le service forudmz.

 

2 - Accepter le risque : on sait le risque existe mais on l'ignore en toute connaissance de cause (manque de temps, manque de budget, ...)

 

3 - En réduisant le risque : on applique les mesures de sécurité et on essaie de les améliorer et de les réévaluer régulièrement

 

4 - En transférant le risque : assureurs, autorité compétentes, etc..

 

On portera donc notre attention sur les points 3 et 4.

 

Pour ce qui est du point 3, plusieurs mesures de sécurité ont été appliquées afin de rendre le plus difficile possible le piratage de forumdz. Cela dit comme nous l'a prouvé notre cher n0x, il restait encore des petites choses à améliorer (permission d'accès entre différents sites en autre). Nous avons donc amélioré ce point afin de limiter l'impact que pourrait avoir le piratage d'un site sur d'autres sites hébergés sur un même serveur.

Nous avons également revu quelques points avec Butterfly et Assiliabox en poussant la réévaluation des risques à la revue des configurations du service WEB afin des les optimiser au mieux.

 

Enfin pour ce qui est du point 4, le risque a l'heure actuelle ne nécessite pas de recourir a une quelconque ressource externe. Certes nous avons les IPs, les heures des attaques, et tout ce qui pourrait être utile pour porter plainte. Mais est-ce vraiment nécessaire ? Je ne le pense pas. A ce jour tout est rentré dans l'ordre.

 

Concernant l'impact financier sur forumdz, ce dernier est nul puisque le service est totalement gratuit.

Il reste ensuite les autres sites pros hébergés sur le serveur. Dans ce cas précis, l'impact financier est quant à lui aussi négligeable.

 

Et puis nous pouvons voir les choses du bon coté :) Cela aura permis de sensibiliser les développeurs web des autres site hébergés à faire un peu plus attention à la sécurité lors de leur développement PHP et autre.

 

Conclusion, porter plainte et remonter les logs aux autorités ne nous seraient pas d'une grande utilité. On est ni la poste, ni une banque... :) Et ce n'est pas comme si nous n'avions pas réussi à résoudre le problème.

 

Voilà ce que j'en pense... et désolé pour ce blabla qui n'en fini plus :)

Ensuite pour le reste c'est à vous de voir.

 

++

Link to comment
Share on other sites

Salam,

 

Excellente intervention Iyas, mais je souhaiterais revenir sur le point 4 et le traiter comme tu l'as fais pour le point 3 :_)

 

Je reste entièrement d'accord avec toi sur le fait que la situation ne nécessite aucune suite "officielle" mais nous pouvons voir les choses du bon coté ;_) : Une tentative d'action judiciaire, même si nous ne comptons pas la faire aboutir est une très bonne simulation pour une éventuelle situation que chacun de nous risque de rencontrer un jour (ex:je suis webmestre d'une banque).

 

L'exercice permet d'identifier les actions, d'évaluer les difficultés eventuelles et d'estimer le temps de réponse a partir du jour J0:

 

  • Récupérer et analyser les logs et traiter
  • Déposer plainte
  • Lancer la procédure judiciaire
  • Contacter les FAI (en communicant les IP clients, proxy et VPN)
  • Contacter d'autres services eventuelles (hébergeurs, fournisseurs de service VPN et proxy) pour résoudre les accès par double voir triple proxy
  • ... etc

 

Grâce a de tels exercice nous connaissons mieux

 

  • quels sont les logs utiles,
  • ou et comment déposer une plainte,
  • quels personne contacter chez les FAIs (éventuellement des amis qui peuvent nous donner des coups de main "officieux" ;_) )
  • quels autres fournisseurs de services contacter et comment,
  • quels sont les instruments légales qui existent
  • ...etc

Pour exemple voici une liste de textes officiels algériens sur l'institut de la cybercriminalité de la gendarmerie nationale et des textes algéro-français utiles dans le cas d'un hébergement en France (il existe aussi des texte algéro-italien et algéro-espagnoles) :

 

http://www.joradp.dz/JO2000/2007/036/FP13.pdf

http://www.joradp.dz/JO2000/2007/036/FP14.pdf

http://www.joradp.dz/JO2000/2007/036/FP15.pdf

http://www.joradp.dz/JO2000/2007/036/FP16.pdf

http://www.joradp.dz/JO2000/2007/077/FP5.pdf

 

Ce qui est surprenant c'est la facilité et la rapidité avec laquelle il est possible d'identifier et de balancer des personnes. Et même avec toute la lourdeur de la bureaucratie algérienne, tu peux porter ton action très haut et très vite dans la hiérarchie DZ; surtout lorsqu'il s'agit de personnes malveillante qui se sont amuser a s'attaquer a des sites officiels.

 

Merci pour la formation! n0(9s) :_D

.

Edited by assilabox
Link to comment
Share on other sites

Salam,

 

Excellente intervention Iyas, mais je souhaiterais revenir sur le point 4 et le traiter comme tu l'as fais pour le point 3 :_)

 

Je reste entièrement d'accord avec toi sur le fait que la situation ne nécessite aucune suite "officielle" mais nous pouvons voir les choses du bon coté ;_) : Une tentative d'action judiciaire, même si nous ne comptons pas la faire aboutir est une très bonne simulation pour une éventuelle situation que chacun de nous risque de rencontrer un jour (ex:je suis webmestre d'une banque).

 

L'exercice permet d'identifier les actions, d'évaluer les difficultés eventuelles et d'estimer le temps de réponse a partir du jour J0:

 

  • Récupérer et analyser les logs et traiter
  • Déposer plainte
  • Lancer la procédure judiciaire
  • Contacter les FAI (en communicant les IP clients, proxy et VPN)
  • Contacter d'autres services eventuelles (hébergeurs, fournisseurs de service VPN et proxy) pour résoudre les accès par double voir triple proxy
  • ... etc

 

Grâce a de tels exercice nous connaissons mieux

 

  • quels sont les logs utiles,
  • ou et comment déposer une plainte,
  • quels personne contacter chez les FAIs (éventuellement des amis qui peuvent nous donner des coups de main "officieux" ;_) )
  • quels autres fournisseurs de services contacter et comment,
  • quels sont les instruments légales qui existent
  • ...etc

Pour exemple voici une liste de textes officiels algériens sur l'institut de la cybercriminalité de la gendarmerie nationale et des textes algéro-français utiles dans le cas d'un hébergement en France (il existe aussi des texte algéro-italien et algéro-espagnoles) :

 

http://www.joradp.dz/JO2000/2007/036/FP13.pdf

http://www.joradp.dz/JO2000/2007/036/FP14.pdf

http://www.joradp.dz/JO2000/2007/036/FP15.pdf

http://www.joradp.dz/JO2000/2007/036/FP16.pdf

http://www.joradp.dz/JO2000/2007/077/FP5.pdf

 

Ce qui est surprenant c'est la facilité et la rapidité avec laquelle il est possible d'identifier et de balancer des personnes. Et même avec toute la lourdeur de la bureaucratie algérienne, tu peux porter ton action très haut et très vite dans la hiérarchie DZ; surtout lorsqu'il s'agit de personnes malveillante qui se sont amuser a s'attaquer a des sites officiels.

 

Merci pour la formation! n0(9s) :_D

.

En effet vu sous cet angle cela peut être intéressant.

 

Je peux vous communiquer les logs SNORT si vous le souhaitez.

J'ai des informations de ce type:

 

[**] [1:1122:5] WEB-MISC /etc/passwd [**]

[Classification: Attempted Information Leak] [Priority: 2]

05/25-20:32:11.761130 41.200.243.107:65093 -> 91.121.24.26:80

TCP TTL:50 TOS:0x0 ID:52900 IpLen:20 DgmLen:535

***AP*** Seq: 0x48778BD6 Ack: 0xCA8A790E Win: 0x4000 TcpLen: 32

TCP Options (3) => NOP NOP TS: 33805 3549337563

 

Si cela peut t'interesser.

 

Quant aux logs apache, je ne pense pas qu'ils soient d'une grande utilité. Encore faut il prouver que les fichier PHP interrogés pour exécuter les commandes soient des fichiers déposés par eux-mêmes :)

 

Les logs SNORT devraient être suffisant je pense.

 

A suivre..

Link to comment
Share on other sites

En effet vu sous cet angle cela peut être intéressant.

 

Je peux vous communiquer les logs SNORT si vous le souhaitez.

J'ai des informations de ce type:

 

[**] [1:1122:5] WEB-MISC /etc/passwd [**]

[Classification: Attempted Information Leak] [Priority: 2]

05/25-20:32:11.761130 41.200.243.107:65093 -> 91.121.24.26:80

TCP TTL:50 TOS:0x0 ID:52900 IpLen:20 DgmLen:535

***AP*** Seq: 0x48778BD6 Ack: 0xCA8A790E Win: 0x4000 TcpLen: 32

TCP Options (3) => NOP NOP TS: 33805 3549337563

 

Si cela peut t'interesser.

 

Quant aux logs apache, je ne pense pas qu'ils soient d'une grande utilité. Encore faut il prouver que les fichier PHP interrogés pour exécuter les commandes soient des fichiers déposés par eux-mêmes :)

 

Les logs SNORT devraient être suffisant je pense.

 

A suivre..

Et je peux te dire qu'il y'en a des attaques :)

 

root:/var/log/snort# grep -l 41.200. *

alert.1

alert.2

alert.3

alert.4

alert.5

alert.6

alert.7

 

root:/var/log/snort# grep 41.200. * | wc -l

1026

Link to comment
Share on other sites

Et je peux te dire qu'il y'en a des attaques :)

 

root:/var/log/snort# grep -l 41.200. *

alert.1

alert.2

alert.3

alert.4

alert.5

alert.6

alert.7

 

root:/var/log/snort# grep 41.200. * | wc -l

1026

J'ai les logs de mod_security aussi si ça t'intéresse.

Voici le log d'une de leur attaque avec le C99SHELL en php:

 

--31930708-A--

[25/May/2009:16:16:47 +0200] QrOwplt5GBoAABDWbGkAAAAN 41.200.243.107 50224 91.121.24.26 80

--31930708-B--

GET /sport/usep/doc/Plan_citron_bleu/in.php HTTP/1.1

Host: http://www.ligue94.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Cookie: sort=0a; mysql_web_admin_hostname=localhost; mysql_web_admin_password=blalbalbalba; mysql_web_admin_username=forumdz; sort=0a; PHPSESSID=da9e812627d7f23074e4e9cff8f19792; sort=0a; mysql_web_admin_username=bling-shop; mysql_web_admin_password=blablablabla; mysql_web_admin_hostname=localhost

 

 

--f2676656-A--

[25/May/2009:02:10:41 +0200] cNP6Tlt5GBoAAG1PUiwAAAAJ 41.200.242.104 59965 91.121.24.26 80

--f2676656-B--

GET /sport/users.php?do=f&f=upload.php&d=%2Fhome%2Fodod.fr%2Fwww%2Fupload& HTTP/1.1

Host: http://www.ligue94.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Referer: http://www.ligue94.com/sport/users.php?do=ls&d=%2Fhome%2Fodod.fr%2Fwww%2Fupload&sort=0a

Cookie: sort=0a; PHPSESSID=da9e812627d7f23074e4e9cff8f19792; sort=0a;

Link to comment
Share on other sites

J'essaierai de publier un billet ou une vidéo au sujet de la sécurisation d'un serveur LAMP.

Et bien tu es drôlement motivé ;)

 

Cela dit tu trouveras ce genre de documents déjà tout fait sur le net.

Pur ce qui est de la vidéo elle risque d'être un peu longue non ?

Link to comment
Share on other sites

Et bien tu es drôlement motivé ;)

 

Cela dit tu trouveras ce genre de documents déjà tout fait sur le net.

Pur ce qui est de la vidéo elle risque d'être un peu longue non ?

 

Oui une seule vidéo serait trop longue, c'est pour ça que j'ai pensé en faire par chapitre : PHP, Apache, Linux, ...etc.

 

Ou sinon je ferai juste un billet ou je verrai, de toute façon je compte parler de l'essentiel pour déployer un serveur LAMP ayant un minimum de sécurité. Je ne vais pas m'adresser à ceux qui ont des sites spécifiques ayant des CGI ou à ceux qui font du hosting avec des panel comme PLESK ...etc. Juste à ceux qui veulent déployer un petit serveur (même si on retrouve cette sécurité de base sur les serveur de hosting).

 

Parler de la configuration de PHP, d'Apache,... juste pour souligner les points importants.

Link to comment
Share on other sites

salam

 

d'après les logs il/ils manque vraiment de base:

- utilisation d'addresse IP publique

- log intacte

- des user-agent qui peuvent être facilement fingerprintés en ALGERIE et comme cadeau le champ referer

- utilisation de la même adresse IP pendant plusieurs heures

- j'ajoutrai que j'ai échangé un mail avec lui pour qu'il n'utilise pas les mails des membres (s'il les a eu) ... mais il m'a envoyé balader et j'ai noté q'il utilise hotmail qui ne supprime pas le champ X-Originating-IP qui contient l'IP du sender et ...

- ...

 

le TTL du log de snort: "TTL == 50" pour un Windows ?? mais il y a d'autres champs du packet "timestamp, ..." pour compléter l'analyse et faire un fingerprint de la cible et un vrais pro peut faire un profil ... :)

 

conclusion: c'est comme le petit enfant qui joue à cache-cache, il est caché mais lorseque tu lui pose la question: "tu est caché ?" il te répond a haute voix: OUI ... :), tout le monde est traçable vaut mieux descendre sur terre et s'abstenir de faire des conneries, pour le protagoniste de cette affaire j'éspère pour lui qu'il ne va pas avoir de sérieux problèmes et j'ajoute aussi que souvant les autres noms ou pseudo qui sont sur la page de défacement n'ont pas participé à cet acte. (lol ils font partie de la team mais des remplaçants, désolé je n'ai pas pu m'empécher :p ).

 

respect pour le staff FORUMDZ et pour HAVOC :).

 

l'Algérie na vraiment pas besoin d'actes de défacement ou de piratage.

 

salam

Edited by tixxDZ
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share




×
×
  • Create New...