Sécurité contre récidive de Hacking du forum

[Longshot]

Détails techniques

Version du forum : phpBB2
Poste occupé : Fondateur
Navigateur(s) concerné(s) : non défini
Personnes concernées par le problème : Plusieurs utilisateurs
Problème apparu depuis : 13 mai 2018
Lien du forum : http://teamfrancebb.positifforum.com/

Description du problème

Bonjour,

Notre forum a été hacké dimanche 13 mai via l'utilisation d'un compte utilisateur (ayant quelques droit d'admin du forum).
Le Forum a ensuite été détruit puis un autre compte a été piraté (et les admin du forum se sont tous vu retiré du groupe d'admin du forum).

Le problème a été signalé et grâce à Chacha nous avons pu relancer une sauvegarde, prévenir les utilisateurs et modifier les mots de passe sensibles (à la bonne volonté de chacun).

Cependant, nous ne savons toujours pas comment le hacker a pu pirater un compte utilisateur puis un second ! Ce qui nous laisse sous la menace d'une récidive...

Des membres de notre communauté m'ont remonté la possibilité d'intrusion à la base de donnée par une attaque de type injection SQL persistante.

Comment vérifier et réparer cela?


Bonus:De plus, le hacker a laissé sa trace IP dans les logs de sécurité.
Celle-ci peut intéressée l'hébergeur des forums impactés pour porter plainte et remonter la piste auprès de son fournisseur d'accès, non ?
Je la tient à disposition de qui la souhaiterais.

[The Godfather]

Bonjour @Longshot

Les logs de sécurité de votre forum montrent que le problème vient d’un compte administrateur compromis qui a été utilisé pour modifier la configuration de votre forum ! Aucune injection en base de données ou autre phénomène du genre n’a été détecté...

Tous ce qui touche à la sécurité des bases de données et du moteur du forum en général est du ressort de Forumactif et nous garantissons sa sécurité. De votre côté, il ne vous reste plus qu’à veiller sur vos données de connexion, seul moyen pour un "hacker" de faire ce genre d'exploits...

[Chacha]

Bienvenue sur le forum de support de Forumactif Puisque vous êtes nouveau, voici quelques sujets susceptibles de vous intéresser : L'importance de garder secret l'email de fondation, Sécurité : ce qu'il ne faut pas faire, Liste des questions et réponses fréquentes, Liste des trucs et astuces, La fonction rechercher N'hésitez pas à ouvrir un nouveau sujet si vous ne trouvez pas votre réponse.

Bonjour @Longshot,

Comme annoncé par MP, de nouvelles dates de back-up sont désormais disponibles



Cordialement.

[w00tw00t]

Bonjour Longshot,

Pour apporter une précision au passage, ce qui m'intrigue dans le code source de votre forumactif c'est ceci :



On peut constater que ce script généré dynamiquement est chargé sur toutes les pages de votre forum, donc y compris sur la page de connexion, ou vous et vos membres entrez vos identifiants de connexion.

Je suppose que le site qui héberge ce script vous appartient, puisque vous avez une redirection dessus vers votre forumactif. En procédant de la sorte, vous devez néanmoins garder à l'idée que vous rendez votre forumactif aussi vulnérable que votre site.

En termes d'ingénierie logicielle, je vous propose plutôt une approche différente pour l'avenir, qui consisterait à ce qu'un JavaScript hébergé sur votre forum aille récupérer via AJAX les données JSON présentes sur votre site tiers (avec entêtes CORS adéquates, et en insérant les données de manière échappée dans le DOM coté client), plutôt que d'exécuter directement du code en provenance de votre site tiers, qui potentiellement comporte son propre lot de vulnérabilités.

Je ne prétend pas qu'il s'agit du vecteur d'attaque, mais qu'il s'agit d'un des vecteurs les plus probables. A vous d'investiguer sur les personnes qui ont accès à votre hébergement ou à une hypothétique console d'administration ( / droits privilégiés ) de votre site. A voir également si l'hébergeur mutualisé sur lequel vous êtes est fiable..

Je reste à votre disposition pour plus de détails,

Cordialement,
w00tw00t

[Invité]

bonsoir,
vous voulez dire que si on lie notre forum à un blog ou un compte Facebook ou un site, on rend notre forum vulnérable ?

[w00tw00t]

Barbalala62,

Le cas étudié ici est très spécifique. Il est question d'inclusion de codes JavaScript provenant de tiers, et non de simples liens.

Aucune inquiétude donc, vous pouvez lier des sites autant que vous le souhaitez

Cordialement,
w00tw00t

[Neptunia]

Bonjour ^^

vous voulez dire que si on lie notre forum à un blog ou un compte Facebook ou un site, on rend notre forum vulnérable ?

Dès que vous exécutez un script externe, vous rendez votre forum plus vulnérable parce que :

- Vous n'avez aucun contrôle sur ce que fait le script appelé, qui peut dès lors avoir une action non désirée. La plus inoffensive est d'ajouter de la pub sur votre forum. Mais si un script peut ajouter des liens et des images sur un autre site, il peut aussi ajouter à peu près n'importe quoi.

- Vous augmentez le nombre de portes d'entrées à votre forum. Un forum où toutes les ressources sont internes et où le mot de passe du fondateur n'est connu que d'une personne (le fondateur) sera bien plus sûr que le même forum où 5 administrateurs ont connaissance du mot de passe fondateur. Il y a plus de risques de fuite avec 5 personnes pouvant potentiellement fuiter, qu'avec une seule.
Par ailleurs, en hiver vous avez plus de chances de vous enrhumer en ouvrant vos 10 fenêtres qu'en n'en ouvrant qu'une seule à la fois pour aérer vos pièces. Un forum c'est pareil. Plus vous multipliez les prises de risque, plus vous multipliez la survenance des problèmes. Concrètement si vous utilisez le même mot de passe pour vous connecter à 10 endroits différents, il devient bien plus facile de vous faire pirater, sans compter que les conséquences peuvent elles aussi se multiplier si le pirate a connaissance de ces autres sites utilisant le même mot de passe.

[Invité]

Merci pour toutes ces informations.

[Chacha]

Bonjour, Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 7 jours. Nous considérons donc ce problème comme résolu ou abandonné. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou pensez à faire un UP régulièrement ! Ce sujet est archivé afin de ne pas perdre les réponses apportées.