Sécurité - Injection SQL

[AbsoluteGrief]

Détails techniques

Version du forum : phpBB2
Poste occupé : Fondateur
Navigateur(s) concerné(s) : Mozilla Firefox
Personnes concernées par le problème : Tous les utilisateurs
Problème apparu depuis : 23/11/2014
Lien du forum : http://www.absolute-grief.net/

Description du problème

Bonjour,

Un utilisateur malintentionné, localisé en Belgique, a le souhait de hacker mon forum. Il vient de saturer le forum en lançant de nombreuses requêtes, jusqu'à battre mon record du nombre d'utilisateurs en ligne.

Le record du nombre d'utilisateurs en ligne est de 187 le Dim 23 Nov 2014 - 14:02

Cet utilisateur a une bonne connaissance de son sujet. Il fait d'ailleurs du hacking et du booting sur le jeu qui concerne mon forum, et ennuie de nombreux joueurs. Il vient de prétendre de lui même par message avoir fait une Injection SQL et qu'il prendra rapidement possession du compte de deux joueurs et du mien.

Dear YoPlixBoy, This is TryToGrief. You are not gonna go further with this WEBSITE,
Youre website is gonna get SQL INJECTION. btw, change ur databse please i got all ur md5 hashes first im gonna get infinite gamer then onebonehunter then You.
Goodluck,
Greetz TryToGrief

http://www.absolute-grief.net/t519-overflowing-forum#9922

Après une recherche sur Wikipedia, si j'ai bien compris, cela signifie que cet utilisateur serait capable de se connecter sur le compte d'un utilisateur qui aura tapé son mdp pour se connecter? Le mien est enregistré dans mes cookies pour le moment, je n'ai pas besoin de le taper, mais ce n'est certainement pas le cas pour d'autres utilisateurs :
http://fr.wikipedia.org/wiki/Injection_SQL

Par précaution et par sécurité, quelle mesures puis-je prendre dès maintenant? Comment fait une sauvegarde complète du forum à restaurer si besoin. J'ai déjà lu vos 5 sujets principaux concernant la sécurité du forum.

Par mesure de dissuasion, je lui ai indiqué avoir déjà un panel d'informations le concernant lié à son adresse IP. Il ne semble pas avoir utilisé de proxy pour poster son message.
https://ipgetinfo.com/index.php?mode=ip&ip=145.129.29.13

Merci d'avance.

[Neptunia]

Bonjour ^^


Si on pouvait hacker un forum Forumactif, ça se saurait depuis longtemps.

Quand quelqu'un se fait pirater son compte c'est dû dans 99.99% des cas à une négligence de sa part :
- Mot de passe trop facile à deviner.
- Mot de passe utilisé à d'autres endroits.
- Mot de passe donné à quelqu'un "prétendu" de confiance
- Et ici dans le cas de jeux vidéo, installation et utilisation de logiciels non officiels effectuant généralement des actions non désirées par le développeur du logiciel (gestion automatique de personnages, activation permanente de fonctionnalités en principe limitées - mana ou vie infinie, brouillard de guerre dévoilé, affichage de la carte sans avoir exploré). Ce type de logiciels est souvent développé à fins de piratage et peut contenir un keylogger. Ce qui est saisi au clavier est enregistré et transmis au développeur du logiciel.

[AbsoluteGrief]

Merci, pour les infos

Je n'ai pas à m'inquiéter donc, mon mdp étant complexe, unique et connu par moi seul.

Cependant, dois-je craindre quelque chose comme il prétend, d'une Injection SQL, ou d'une autre saturation du forum en multipliant les requêtes?

[Neptunia]

Cependant, dois-je craindre quelque chose comme il prétend, d'une Injection SQL, ou d'une autre saturation du forum en multipliant les requêtes?

Bah la personne qui va s'y essayer pourrait avoir des envies de suicide en voyant le côté vain de ses tentatives.
Donc à votre place, ma seule crainte serait d'avoir le décès d'un clown sur la conscience.

[FANCH 56]

:lol!:

[AbsoluteGrief]

Merci, pour le complément.

Concernant cet utilisateur justement, peut-on avoir des informations fiables le concernant si besoin? Il continue de faire son malin et prétend se cacher derrière un VPN et un proxy. Je m'attend à ce qu'il fasse une mauvaise action sur le forum cette nuit (floode ou autres). Que peut-on tenter de légal et d'efficace pour le calmer?

Les informations informatiques suivantes ne sont donc pas fiables ?
https://ipgetinfo.com/index.php?mode=ip&ip=145.129.29.13

[Neptunia]

Il passe par la même IP depuis tout à l'heure.

Bannissez son IP et voyez s'il est capable de revenir mdr.
Sinon, excepté activer diverses mesures de sécurité (PA > Général > Forum > Sécurité) il n'y a rien de particulier à faire.

Concernant la fiabilité des infos obtenues sur une adresse IP, les forces de l'ordre sont en mesure de remonter jusqu'à l'ordinateur utilisé. Quant aux informations disponibles sur les outils en ligne, la fiabilité va de irréprochable à plus que douteuse.

[AbsoluteGrief]

Très bien, je vais le bannir et je vous retiens au courant s'il revient sous un autre IP/compte.

[FANCH 56]

Bonsoir

Tu le banni.............., et tu active l'activation par un Admi




oops neptune tu nages vite....................

Pas d'entraide par mp - Merci

[AbsoluteGrief]

D'accord, mais cela est assez contraignant car tous les nouveaux utilisateurs devront attendre ma validation pour accéder au forum à cause de lui? C'est juste temporaire histoire qu'il oublie et passe à autre chose? Et sur quels critères se baser ensuite pour valider ou non les nouveaux utilisateurs?

[stefou]

Bonjour,
Le plus simple est encore l’ignorance...
Plus vous réagissez, plus il prendra du plaisir, au moins vous réagissez, au plus vite il ce lassera...
contentez vous de nettoyer ses floods ou autre, et de le bannir chaque fois que vous le repérez sans faire de commentaire sur votre forum.
il finira par allez voir ailleurs...
Voilà mon conseil

[FANCH 56]

+1

[Chapo]

@AbsoluteGrief: je ne vais pas vous mentir en disant que personne au grand jamais n'arrivera à pirater votre forum car tout système (et surtout les systèmes informatiques) a ses failles. Même les agences gouvernementales US sont victimes de tentatives ou d'actes de piratage.
Là où je peux vous rassurer c'est que notre système subit sans arrêt des tentatives d'intrusion qui pour le moment sont restées vaines. Depuis le nombre d'années que nous mettons le service à disposition cela est plutôt une bonne nouvelle que personne n'ait trouvé de faille.

Pour vous donner un peu plus d'explication sur les Hash MD5, il s'agit d'un système qui permet de convertir n'importe quel information en chaîne de 32 caractères héxadécimaux (on ne compte plus de 0 à 10 mais de 0 à 16 et les chiffres de 10 à 16 sont notés A à F). Comme vous devez vous en douter toute les données du monde ne peuvent pas tenir dans une chaîne de 32 caractères ainsi vous pouvez trouver plusieurs mots différents ou plusieurs suites de mots qui ont le même hash MD5.

Par exemple (ce n'est pas un cas réel mais c'est pour pouvoir être mieux compris) imaginons que le mot "hamburger" et le mot "télévision" aient le même Hash MD5, disons "1234567890ABCDEF1234567890ABCDEF"; lorsque vous tombez sur ce Hash vous ne pouvez pas savoir auquel des 2 mots il correspond (voire peut-être même qu'il s'agit d'un 3ème ayant le même Hash).

C'est aussi là l'intérêt qu'il y a à avoir des mots de passe les plus complexes possibles car ainsi vous évitez de figurer dans ce qui s'appelle des "rainbow tables" qui sont en fait des tables de traduction (des dictionnaires) qui permettent d'associer des mots ou des combinaisons de lettres fréquentes avec un Hash MD5.

J'espère que ces quelques explications techniques auront été assez claires pour que vous puissiez bien comprendre le fonctionnement du système et que vous soyez rassuré par rapport à tous les "mots qui font peur" qui ont pu être dits par votre utilisateur.

[AbsoluteGrief]

Salut Chapo,

Merci pour ce complément d'information bien détaillé. En effet, cela rassure car cet l'utilisateur ne lâche pas l'affaire et continue de m'harceler en m'envoyant des messages directement sur le jeu cette fois. Il semble sûr de lui "Your website will be down soon", etc... Je ne lui répond pas.

Il a rebattu hier après-midi mon nombre d'utilisateurs en ligne (496), mais je n'ai pas ressenti de ralentissement particulier au niveau de la navigation. A quoi cela lui sert donc de saturer le forum comme ça? Cherche t-il à atteindre un nombre particulier?

Aussi, sans faire trop de HS, à partir du moment où un utilisateur était banni (compte + adresse IP) et que celui reboot son IP, il peut avoir de nouveau accès au forum. Mais comment savoir s'il y a un lien avec ou entre l'ancien utilisateur banni et un nouveau? FANCH 56 a proposé sur ce même sujet de contrôler la création des comptes, mais à quoi bon si je ne sais pas si c'est l'utilisateur ou pas qui a refait un compte?

Merci d'avance.

[stefou]

Petite astuce aussi pour le décourager est de vérifier que ton forum soit configuré afin que les nouveaux membres doivent entrer une adresse mail valide à l'inscription avec confirmation par retour mail. cela veut dire qu'il doit recréer pour chaque inscription une nouvelle adresse.
Un jour ou l'autre à force de ne pas voir de réaction il se fatiguera...
Ensuite il te faut patienter

[AbsoluteGrief]

Bonsoir,

Quelques infos sur la situation actuelle...

Malgré le fait de ne pas avoir réagi, l'utilisateur ne lâche pas l'affaire et continue ses attaques par saturation chaque jour en fin d'après-midi, avec des serveurs majoritairement situés en Asie.

Il y actuellement plus de 300 utilisateurs en ligne sur mon forum (non inscris), et je n'arrive plus à accéder à ma page d'accueil , et quand j'y arrive, ça rame énormément. Déjà hier, j'ai eu du mal, mais là, cela devient insupportable. Mon forum doit être disponible à ce moment de la journée...

Essayez d'accéder au forum pour voir :
http://www.absolute-grief.net/

Merci d'avance.

[kiwi14637]

Bonjour,

Juste une remarque ! Vos codes javascripts contiennent directement du HTML, ce qui n'est pas très bon !

Bonne soirée !

[AbsoluteGrief]

Salut kiwi14637,

Cela fait plus d'un mois que je n'ai pas touché aux codes Javascript, donc pourquoi cela bloquerai ma page soudainement? Vous parlez de quels codes exactement ? Le seul en page d'accueil est lié au compte à rebours il me semble.

En fait, seul mes pages d'accueil de forum et de portail sont inaccessibles.
http://www.absolute-grief.net/
http://www.absolute-grief.net/forum

Les forums restent accessibles étrangement.
http://www.absolute-grief.net/f68-

[AbsoluteGrief]

Je viens de remette la valeur par défaut de mon template lié à ma page d'accueil (index_body), mais cela ne résout pas le problème...

http://www.absolute-grief.net/forum?tt=1
http://www.absolute-grief.net/

[Neptunia]

Bonjour ^^

Pour ma part aucun problème d'accès, que ce soit l'accueil (portail) ou l'index du forum.
Si vous éprouvez des difficultés ça vient donc soit de votre navigateur, soit de votre connexion mais certainement pas du forum.

[Tech]

Bonsoir,

Sachez également que si vous rencontrez parfois des ralentissements sur votre forum, il s'agit d'un problème général que nos techniciens essayent de résoudre le plus rapidement possible.
Cela ne vient pas de ce membre et de ses 300 connexions

Par exemple ce forum d'entraide est presque tout le temps proche des 300 connexions (254 à l'heure actuelle) et le record du nombre d'utilisateurs en ligne est de 1877, ce qui n'influence en rien le fonctionnement du forum.

Pour les problèmes de ralentissements, je vous invite à vous rendre sur ce sujet : Le forum rame

Cordialement.

[kiwi14637]

Salut kiwi14637,

Cela fait plus d'un mois que je n'ai pas touché aux codes Javascript, donc pourquoi cela bloquerai ma page soudainement? Vous parlez de quels codes exactement ? Le seul en page d'accueil est lié au compte à rebours il me semble.

En fait, seul mes pages d'accueil de forum et de portail sont inaccessibles.
http://www.absolute-grief.net/
http://www.absolute-grief.net/forum

Les forums restent accessibles étrangement.
http://www.absolute-grief.net/f68-

Bonsoir,

C'était juste une remarque.

Dans Panneau d'administration --> Modules --> Gestion des codes javascript, supprimez le code

Code:

<div style="text-align: center;"><a href="http://www.cybermarcheur.com/"class="postlink"target="_blank"rel="nofollow"><img src="http://i62.servimg.com/u/f62/16/12/34/31/65300610.png"border="0"alt=""/></a><a href="http://translate.google.fr/translate?hl=fr&sl=fr&tl=de&u=http%3A%2F%2Fwww.cybermarcheur.com%2F"class="postlink"target="_blank"rel="nofollow"><img src="http://i62.servimg.com/u/f62/16/12/34/31/72660510.png"border="0"alt=""/></a><a href="http://translate.google.fr/translate?hl=fr&sl=fr&tl=en&u=http%3A%2F%2Fwww.cybermarcheur.com%2F"class="postlink"target="_blank"rel="nofollow"><img src="http://i62.servimg.com/u/f62/16/12/34/31/52178010.png"border="0"alt=""/></a><a href="http://translate.google.fr/translate?hl=fr&sl=fr&tl=es&u=http%3A%2F%2Fwww.cybermarcheur.com%2F"class="postlink"target="_blank"rel="nofollow"><img src="http://i34.servimg.com/u/f34/13/54/40/88/th/drapea12.png"border="0"alt=""/></a><a href="http://translate.google.fr/translate?hl=fr&sl=fr&tl=ru&u=http%3A%2F%2Fcybermarcheur.com%2F"class="postlink"target="_blank"rel="nofollow"><img src="http://i34.servimg.com/u/f34/13/54/40/88/th/drapea17.jpg"border="0"alt=""/></a></div>

qui ne marche pas.
Vous avez également deux images mortes : https://2img.net/i/fa/punbb//prosilver_grey/vote_lcap.png et https://2img.net/i/fa/invision//invision/bar_right.gif

Enfin, à quoi servent tous les scripts javascript (très longs) ?

Bonne soirée !

[AbsoluteGrief]

Salut kiwi,

Ce code très long qui ne marche pas, je l'avais récupéré sur un site qui le proposait, dans l'optique d'offrir une interface de traduction pour les utilisateurs, qui sont de nationalités très variées sur mon forum. Mais effectivement, cela ne marche pas pour le moment, et je m'y pencherai ultérieurement sur un autre sujet.

Pour les scripts javascript très long, desquels parlez-vous? Celui qui est assez long correspond à mon compte à rebours de début de tournoi, visible ne page d'accueil. Pour les autres, ils en a aussi pour des sorttables et des JSliderNews.

Concernant l'utilisateur malintentionné, il s'est calmé pour le moment, pas de saturation, pas de messages. Mais je reste sur lms gardes jusqu'à la fin de l'année au moins.

[kiwi14637]

Salut kiwi,

Ce code très long qui ne marche pas, je l'avais récupéré sur un site qui le proposait, dans l'optique d'offrir une interface de traduction pour les utilisateurs, qui sont de nationalités très variées sur mon forum. Mais effectivement, cela ne marche pas pour le moment, et je m'y pencherai ultérieurement sur un autre sujet.

Pour les scripts javascript très long, desquels parlez-vous? Celui qui est assez long correspond à mon compte à rebours de début de tournoi, visible ne page d'accueil. Pour les autres, ils en a aussi pour des sorttables et des JSliderNews.

Concernant l'utilisateur malintentionné, il s'est calmé pour le moment, pas de saturation, pas de messages. Mais je reste sur lms gardes jusqu'à la fin de l'année au moins.

Bonjour,

Je vois que vous avez retiré les codes javascript très longs. Il reste cependant le code HTML que j'ai donné plus haut et qui fait bugguer le javascript (pas bon ça) ...

Vous n'avez pas non plus supprimé les deux images obsolètes.

Sujet "résolu" en tout cas ?

Bonne fin d'après-midi !

[Chacha]

..	Bonjour, Attention, cela fait 6 jours que nous n'avons pas de nouvelles concernant votre demande, si vous ne voulez pas voir délester votre sujet, merci de poster dans les 24h qui suivent ce message. Si votre sujet est résolu, dans ce cas, votre premier message et cochez l'icône A bientôt sur ForumActif

[AbsoluteGrief]

Bonjour quelques news à propos de l'utilisateur.

Il vient de prendre connaissance de notre conversation ici :
http://www.absolute-grief.net/t510p195-tourney-4v4-free-maps-2014-october-by-priceless_legacy-final-bracket#10106

[kiwi14637]

Bonjour quelques news à propos de l'utilisateur.

Il vient de prendre connaissance de notre conversation ici :
http://www.absolute-grief.net/t510p195-tourney-4v4-free-maps-2014-october-by-priceless_legacy-final-bracket#10106

Attaque par déni de service ? D'après ce que j'ai compris, il en a déjà lancé quelques unes ? Sur votre forum (hébergé par Forumactif) ou sur votre site ?

Bonne soirée !

[AbsoluteGrief]

Bonsoir kiwi14637,

Oui, il utilise CStress, un service payant, pour booter des joueurs via leur IP quand ils jouent, et pour TENTER de descendre le forum Absolute-Grief.net avec des launch attacks. Cela se traduit par une tentative de saturation du forum, en multipliant les utilisateurs en ligne. J'ai pas ressenti de ralentissement particulier pour ma part, mais j'étais pas connecté lors de sas dernière attaque du du 24 novembre (le record du nombre d'utilisateurs en ligne est de 496), et des utilisateurs m'ont indiqué qu'ils ont eu du mal à naviguer sur le forum à ce moment. Ils sont deux visiblement maintenant.

Il vient de poster ces captures d'écran :



Cet utilisateur commence sérieusement à nous souler tous, que ce soit sur le jeu ou sur mon forum. On l'a ignoré mais il continue de revenir. Il est caché derrière un VPN suèdois et s'amuse en plus à créer des comptes en usurpant les pseudos d'autres joueurs. Je n'ai pas de moyens de savoir si c'est effectivement c'est lui ou les véritable joueurs lors de la création d'un nouveau compte, c'est problématique. Que faire pour le calmer et lui rendre la monnaie de sa pièce? ça commence à suffire....

[kiwi14637]

Bonsoir,

Il vaudrait mieux que ça soit le staff qui réponde à ma place ...

Bonne soirée !

[Chapo]

@AbsoluteGrief: je ne comprends pas bien quand vous dites "que ce soit sur le jeu ou sur mon forum".

Pour ce qui est du forum, déjà il semble avoir lâché l'affaire sur l'injection SQL. Pour ce qui est des attaques, si vous observez des ralentissements ce n'est sûrement pas à cause de lui; s'il arrivait à faire une assez grosse attaque pour saturer nos "tuyaux" ce seraient tous les forums qui seraient impactés; pour le moment il passe complètement inaperçu dans le trafic global donc si vraiment il est en train de faire des attaques il est bien loin de celles que nous subissons tous les jours.

Pour ce qui est de votre jeu je ne suis pas sûr qu'il y ait un lien avec forumactif ?!

Je ne peux rien vous dire d'autre qui puisse vous rassurer car je comprends bien que vous vous inquiétez et prenez le moindre signe pour une réussite de la part de ce pseudo-hacker mais essayez de ne pas non plus tomber dans l'irrationnel.

Vous avez votre forum sur forumactif et il y a 2 clefs pour assurer une bonne sécurité de votre forum:

• La 1ère se trouve chez nous, une fois de plus nous ne sommes pas impossible à pirater car absolument aucune personne ou organisation ne l'est mais nous prenons notre rôle très au sérieux et sommes tous très impliqués dans le fait de garantir notre sécurité et celle de nos utilisateurs. Jusqu'à présent et malgré les nombreuses tentatives quotidiennes, nous n'avons jamais eu à faire les frais d'un acte malveillant.
  
• La 2ème se trouve chez vous, vous devez choisir les personnes de confiance qui peuvent modifier des paramètres de sécurité de votre forum et chacun doit avoir les mots de passe les plus robustes possible et surtout ne jamais les communiquer (idéalement une suite de minimum 8 caractères incluant des chiffres, des lettres et des caractères spéciaux tels que le tilde, le dièse, etc. ... est un minimum). Une autre astuce est également sécuritaire est aussi d'avoir une adresse de fondation différente de votre adresse d'Administrateur. Dans l'idéal si c'est possible essayez également d'avoir un compte simple (ou modérateur) sur votre forum qui vous sert dans votre utilisation quotidienne et ne gardez votre compte Administrateur que pour les actions d'Administration.
  

Si vous êtes d'accord, je propose que nous fermions ce topic. Nous restons bien entendu à votre disposition en cas de problème et essayez de ne pas trop vous faire de bile pour votre forum (du moment que vous respectez nos quelques conseils de sécurité de base)