Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

[Piratage] Des sites algériens importants ont été piratés

ButterflyOfFire
 Share

Messages recommandés

anubis_1001 Newbie

anubis_1001

Posté(e)
Posté(e) (modifié)

Re, juste comme remarque, j'ai vu citer à plusieurs reprise le cms joomla. Le probléme avec lui ce sont les nombreux plugins souvent pas mis à jour et qui regorgent de failles, cependant tout seul il ne présente pas de failles dangereuses...;)

 

PS:

- Au niveau du mot de passe, quand on créé son propre site il est judicieux d'ajouter un clé (modification) a son mot de passe puis la crypter en MD5. Comme ça, si le MD5 est récupéré via une faille et décrypter il donnera le résultat composé de votre mot de passe + le traitement qu'il a subit (la fameuse clé), le hacker en tapant ce résultat n'accèdera pas au site, il faudra qu'il déduise qu'elle clé est ajouté au mot de passe.

que veux-tu dire pas ajouter une clé?

pour ma part j'utilise généralement le sha1, avec un préfixe et un suffixe au mots de passes avant de les crypter, c'est assez simple comme procédé mais ça a le mérite au moins de ne pas faire figurer la nouveau hash (pass crypté) sur une rainbow table donc même en connaissance du hash (et il y a du boulot pour l'avoir ...), il faudra passer par un bruteforcing (qui ne sera pas du gâteau vu que le nouveau passe aura plus de 12 caractère de longueur)... donc ....

Modifié par anubis_1001
Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

que veux-tu dire pas ajouter une clé?

pour ma part j'utilise généralement le sha1, avec un préfixe et un suffixe au mots de passes avant de les crypter

 

C'est exactement ça que je voulais dire en parlant de "clé", c'est une modification du mot de passe saisi avant son hashage en MD5 ou en sha1. Il y a différente techniques dont celle que tu as cité avec le préfixe et le suffixe, le défaut de cette dernière c'est que si tu utilises toujours les mêmes préfixes et suffixes et que le hacker arrive à obtenir et décrypter le hash des mots de passe de différents utilisateurs de ton site il va bien remarquer que les préfixe et les suffixes de chaque mot de passe est le même, donc tu peux utiliser des techniques légèrement plus complexes : modification de l'ordre des lettres, remplacement des lettres par une valeur numérique puis ajout d'un nombre quelconque au nombre obtenu...Etc.

Bref... ce n'est pas de la haute sécurité mais cela suffit largement à dérouter les scripts kiddies et les hackers les moins doués en cryptographie.

Lien vers le commentaire
Partager sur d’autres sites
ButterflyOfFire Newbie

ButterflyOfFire

Posté(e)
  • Auteur
Posté(e)

Merci pour la Synthèse Assilabox, Merci à Havoc pour les éléments qu'il a apporté, merci à SecDZ, Golden Boy et tout les autres ...

 

Effectivement, je n'arrête pas de le répéter au certains d'entre vous aussi d'ailleurs que le web algérien et surtout celui des institutions de l'Etat est joomlisé à tout va. (Utilisation intensive de Joomla).

 

Laissez-moi vous dire que c'est déjà un très bon signe d'utiliser des Logiciel Libres sous Licence GNU/GPL même si en Algérie, certains préfèrent ne pas le dire clairement ... ils le cachent. Bref, ça c'est un autre sujet.

 

Joomla en soit, tout seul, sans composant ni maquillage, ni gallerie, ni formulaire, ni surplus, est un CMS Stable. Merci a Assilabox d'avoir rappelé que Joomla est né d'une rupture ou discorde entre les devellopeurs de Mambo. Donc Joomla à l'origine s'appellait Mambo, d'ailleurs les plugins nous les appellions les Mambots même sous Joomla.

 

Connaissant un peu les intégrateurs algériens, il aiment toujours rajouter leur module fétiche : une galerie ou un formulaire de contact, une zone de download de fichier etc ...mais ces options fếtiches (appellées Composants ou Add-ons ou plugins) contiennent des vulnérabilités qui risquent de toujours à la sécu du site web même si ce n'est plus+.

 

Et ces webmasters, installent les sites pareil partout (la même recette "lentilles pour tout monde"), il n'y a que le thème qui change grosso modo et le contenu.

 

Et lorsque un seul modèle contenant de probables failles domine dans une sphère, il ne faut pas s'étonner qu'on se fasse pirater les fesses facilement.

Ne cherchez pas midi à 14h00.

 

C'est pour ce qu'il faut diversifier, Joomla par ci, Drupal par là, WordPress par là bas, SPIP, Site Dev. en local. etc ... pour que plusieurs modèles cohabitent ensemble.

 

J'ai remarqué aussi que la plupart aiment utiliser les CMS parcequ'ils n'ont besoin que d'un espace disque + une base de données MySQL.

 

Mais je n'ai vu aucun site algérien utiliser Joomla par exemple avec LDAP sur un serveur d'hébergement mutualisé !

 

Il n'y a pas que MySQL dans la vie ;) ... j'entends déjà dans gens qui me disent : Ah bon ? LDAP ? ... je vous laisse réfléchir :)

 

La conception et l"hébergement doivent être 2 tâches complémentaires.

L'administrateur du serveur dit : Voilà, ça c'est l'espace d'hébergement. La politique de sécurité est XYZ, vous n'avez pas le droit de mettre machin truc sur le serveur.

 

Havoc, +1 pour le chroot, php.ini (magic_quotes etc) l'upload, version PHP, SSH RootPermitLogin off, port 3306 en local, vhost Apache -Indexes jouer avec les allow deny, ACL, stopper le bavardage (fermer les ports et autoriser que les ports dont en a besoin), signature sur serveur ... bref le sujet pourrait être vraiment très long...

 

Il n'y a pas de recette miracle du genre : Hey les gars, suivez ces étapes et c'est bon votre serveur est supertop sécurisé :)

 

Je pourrai tout de même utiliser joomla avec un composant ayant une vulnérabilité sans que je me fasse hacker les fesses du serveur entier.

 

Je pense que les stratégies ne sont pas définies depuis le départ et l'a dit Havoc, même si tu veux faire zaama le geste et tu contact l'admin du site pour lui signaler qu'il y a une faille, on te répond même pas et tu te sentira comme une merde, même pas un mail gratuit pour dire "merci" et puis c'est ça le métier les gars :) être administrateur réseau c'est un métier, vous êtes là payés pour gérer, faire la veille et tout :) machi juste pour tchatcher et draguer sur MSN ou je ne sais quoi.

 

Merci encore pour vos interventions et vos éclaircissement les gars ;) J'aime bien cet esprit de "to be awake" enfin ! On se rend compte de ce qui se passe !

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

Comme on l'apprend en cours :

- Un bon administrateur système-réseau c'est celui qu'on appelle pour lui demander d'ouvrir un port ou d'activer une option.

- Un mauvais administrateur système-réseau c'est celui qu'on appelle pour signaler une faille.

 

En gros, la bonne politique de sécurité est de tout bloquer et d'ouvrir au compte goûte selon les besoins exprimés par les utilisateurs.

Lien vers le commentaire
Partager sur d’autres sites
ButterflyOfFire Newbie

ButterflyOfFire

Posté(e)
  • Auteur
Posté(e)
Comme on l'apprend en cours :

- Un bon administrateur système-réseau c'est celui qu'on appelle pour lui demander d'ouvrir un port ou d'activer une option.

- Un mauvais administrateur système-réseau c'est celui qu'on appelle pour signaler une faille.

 

En gros, la bonne politique de sécurité est de tout bloquer et d'ouvrir au compte goûte selon les besoins exprimés par les utilisateurs.

Ya3tik essaha, je n'ai rien à rajouter :)

Lien vers le commentaire
Partager sur d’autres sites
Lemrid Newbie

Lemrid

Posté(e)
Posté(e)

lu,

 

 

no comment

 

 

Administrations publiques

Reconfiguration des sites

 

 

Le e-gouvernement ne se limite pas à la simple mise en ligne d’informations sur les sites web des administrations publiques ; il implique une profonde refonte de la structure et du fonctionnement des administrations et une architecture compréhensive et évolutive permettant d’intégrer et de gérer des sources d’informations autonomes, hétérogènes et réparties. Tel est le message délivré par un expert de ZTE, fournisseur mondial majeur d’équipements de télécommunications et de solutions réseaux, lors d’une journée d’étude organisée hier au ministère de la Poste et des Technologies de l’information et de la communication. L’e-gouvernement provoque « une transformation profonde » des modalités de l’action publique, qui met à profit la puissance des outils et réseaux informatiques pour se déployer selon de nouvelles configurations. Les étapes à franchir sont « l’information, l’interaction, la transaction et la transformation ». L’utilisation des TIC dans l’administration permet d’améliorer l’efficacité et l’efficience dans le travail.

 

http://www.elwatan.com/Reconfiguration-des-sites

 

et en //

 

Adoption du projet de loi sur la cybercriminalité

Inquiétude sur les libertés

 

Les membres de l’Assemblée populaire nationale (APN) ont approuvé hier, à l’unanimité, le projet de loi portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication.

 

http://www.elwatan.com/Inquietude-sur-les-libertes

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets
×
×
  • Créer...