Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Ubuntu-fr.org piraté

Edit : Bon, ça date d’il y a un mois. J’avais vu le 24 sur le site, sans faire attention au mois, donc je pensais que c’était hier. Et comme un gentil lecteur m’a prévenu hier aussi, et que je n’étais pas au courant, bah voilà, j’ai merdé dans les dates. Ça arrive quand on est un humain. Comme je suis un robot du futur, ça n’aurait pas du m’arriver et je m’en excuse 😉

Une petite news rapide qui n’intéressera que ceux qui ont un compte sur le forum d’Ubuntu-fr.org. Le forum a été piraté il y a 1 mois. Apparemment, les données auraient été dérobées (email…etc), ce qui veut dire que même si les mots de passe sont hashés et salés, vous feriez mieux par précaution, d’aller changer votre mot de passe immédiatement.

L’attaque a immobilisé le forum durant 2 heures et les admins ont tout corrigé. La faille se situerait au niveau d’une erreur de config du serveur web. Comme ils sont sympa chez Ubuntu-fr, ils vont contacter plusieurs admins de serveurs qu’ils aiment bien, pour les prévenir et ensuite, seulement, ils donneront plus de détails sur cette faille. Voici ce qu’on sait :

L’attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web. Après avoir créé un compte sur le forum, il a uploadé un avatar contenant du code php en plus de l’image (oui on check déja les extensions, oui le mime-type était bon, oui l’image était bien une vrai image, mais elle contenait du code PHP à la fin). Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d’une erreur de configuration permettant de passer au backend PHP tout fichier avec un « .php » dans l’url. Ainsi, un simple /img/monavatar.png/.php a permis d’exécuter le code.
À partir de ce point, divers scripts ont été uploadés, permettant à l’attaquant d’essayer un certain nombre d’attaques, dont la plupart ont échouées (gain de privilège, création d’un socket ou connexion à un ssh distant). Cependant, il a eu accès aux paramètres de la base de données qui lui ont probablement permis le dump d’une partie de la base (dont la table des utilisateurs). D’après les logs, aucune requêtes n’a cependant atteint le poids total de la table utilisateurs (même compressée). Les mots de passes sont chiffrés et salés.

Le pirate qui a fait le coup est SaMo_DZ qui apparement est en très grande forme en ce moment.

Pas de message politique, pas d’idéologie… C’est juste comme ça (ou pour la thune). Pas cool sachant que Ubuntu-fr.org c’est quand même le site de mecs sympas qui veulent juste s’entraider.

Tous les détails relatifs à cette attaque sont ici.

Merci Fab


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +