Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Ubuntu-fr.org piraté

Edit : Bon, ça date d’il y a un mois. J’avais vu le 24 sur le site, sans faire attention au mois, donc je pensais que c’était hier. Et comme un gentil lecteur m’a prévenu hier aussi, et que je n’étais pas au courant, bah voilà, j’ai merdé dans les dates. Ça arrive quand on est un humain. Comme je suis un robot du futur, ça n’aurait pas du m’arriver et je m’en excuse 😉

Une petite news rapide qui n’intéressera que ceux qui ont un compte sur le forum d’Ubuntu-fr.org. Le forum a été piraté il y a 1 mois. Apparemment, les données auraient été dérobées (email…etc), ce qui veut dire que même si les mots de passe sont hashés et salés, vous feriez mieux par précaution, d’aller changer votre mot de passe immédiatement.

L’attaque a immobilisé le forum durant 2 heures et les admins ont tout corrigé. La faille se situerait au niveau d’une erreur de config du serveur web. Comme ils sont sympa chez Ubuntu-fr, ils vont contacter plusieurs admins de serveurs qu’ils aiment bien, pour les prévenir et ensuite, seulement, ils donneront plus de détails sur cette faille. Voici ce qu’on sait :

L’attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web. Après avoir créé un compte sur le forum, il a uploadé un avatar contenant du code php en plus de l’image (oui on check déja les extensions, oui le mime-type était bon, oui l’image était bien une vrai image, mais elle contenait du code PHP à la fin). Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d’une erreur de configuration permettant de passer au backend PHP tout fichier avec un « .php » dans l’url. Ainsi, un simple /img/monavatar.png/.php a permis d’exécuter le code.
À partir de ce point, divers scripts ont été uploadés, permettant à l’attaquant d’essayer un certain nombre d’attaques, dont la plupart ont échouées (gain de privilège, création d’un socket ou connexion à un ssh distant). Cependant, il a eu accès aux paramètres de la base de données qui lui ont probablement permis le dump d’une partie de la base (dont la table des utilisateurs). D’après les logs, aucune requêtes n’a cependant atteint le poids total de la table utilisateurs (même compressée). Les mots de passes sont chiffrés et salés.

Le pirate qui a fait le coup est SaMo_DZ qui apparement est en très grande forme en ce moment.

Pas de message politique, pas d’idéologie… C’est juste comme ça (ou pour la thune). Pas cool sachant que Ubuntu-fr.org c’est quand même le site de mecs sympas qui veulent juste s’entraider.

Tous les détails relatifs à cette attaque sont ici.

Merci Fab


Les articles du moment