MyBB.support, le portail francophone de MyBB - Gros problème de sécurité MyBB

Bonsoir,

Je viens poster un gros gros coup de tête ce soir Sad

Voila, Hacker-Modi commence et recommence indéfiniment a deface mon forum. Sans aucun provocation de ma part j'ai droit a une deface de mon index et des messages ridicules.

Il y a vraiment un gros problème de sécurité MYBB, je tiens a attirer votre attention la dessus car cela ne viens de nulle part ailleurs. J'ai tout réinstaller de 0, changer le mot de passe FTP, désactiver tous les plugin, bloquer les pieces jointes, et rien a faire, il arrive parfois a se mettre admin, d'autre fois a modifier simplement l'index du forum et cela devient vraiment rageant, j'ai vraiment la haine.

Tout simplement car je perd mon temps, mon référencement, je me met a jout avec vos "versions pour la securite" si on peux appeller sa ainsi (excusez moi mais c'est vrai) pour rien. Depuis le temps qu'il afi, (et je ne suis pas le seul a le dire) vous n'avez pas fais assez de mises à jour, ou il a une longueur d'avance sur vous je ne sais pas, il faut voir la vérité en face ( cliquez ici ) sa ne date pas d'hier et j'en ai vraiment ras le bol.

Pour tout vous dire j'en suis meme venus a changer d'hebergeur et tout reprendre de 0 sans mettre aucun plugin et rien configurer, et il arrive a me deface le site, donc c'est vraiment insupportable vous devriez faire quelque chose au plus vite c'est inadmissible. Que l'on ne vienne pas me parler de "la loi" ou de je ne sais pas quoi comme cela a été deja fais pour d'autres membres, vous perdez votre temps, la aussi il a une longueur d'avance sur vous car un dépot de plainte ne serais que perte de temps si vous prenez la peine de tracer son IP vous verriez qu'il utilise des VPN étrangers donc bon courrage. Non Non je pense que vous devriez simplement prendre les plainte de vos utilisateurs aux sérieux quant a ce "hacker" sans aucun scrupule, prendre les mesures necessaires et BLOQUER LES FAILLES QU'IL UTILISE depuis toutes ces années, vous en êtes au meme point c'est rageant.

Ah oui, j'oubliais (des fois qu'on vienne me parler de "securite supplementaire") j'ai aussi suivi beaucoup de tuto comme changer le dossier admin de nom, mettre un mot de passe dans le dossier admin, autoriser seulement mon IP, bloquer le fichier config.php, etc etc... ... j'en ai fais un paquet des choses comme sa, mais la toujours, et oui, il a une longueur d'avance et arrive a deface votre """systeme 1.6.8"""

Il serait peut-être tout simplement temps de prendre les mesures nécessaires. Pourquoi je dis peut-être ? Des fois qu'on vienne me dire que c'est de la faute de plugin, de mot de passe, de sécurité supplémentaire, de shell, de virus sur le serveur, ce ne sera pas la bonne excuse car j'ai tout fais comme je vous l'ai dis.

Bonjour nicos75.

(09-09-2012, 2:11)nicos75 a écrit : [ -> ]Que l'on ne vienne pas me parler de "la loi" ou de je ne sais pas quoi comme cela a été deja fais pour d'autres membres, vous perdez votre temps, la aussi il a une longueur d'avance sur vous car un dépot de plainte ne serais que perte de temps si vous prenez la peine de tracer son IP vous verriez qu'il utilise des VPN étrangers donc bon courrage.

Utiliser des RPV étrangers ne vous permet pas de pirater des systèmes informatiques en toute impunité. En utilisant un RPV, votre routeur y établit forcément une connexion. Il est donc possible pour le fournisseur d'accès de savoir quel ordinateur s'est connecté à quel RPV.

Dans le cas où vous porteriez plainte, le fournisseur d'accès du pirate devra divulguer ces informations à la justice (si le pirate opère depuis un pays où c'est illégal, évidemment).

Le mieux reste donc de déposer une plainte.

Par ailleurs, bien que moins probable qu'une faille de sécurité dans MyBB, il est possible que votre ordinateur soit infecté par un logiciel malveillant qui pourrait permettre au pirate de récupérer les informations de votre compte d'hébergement. Vérifiez donc l'intégrité de votre ordinateur en utilisant un logiciel antivirus à jour.

Quelle que soit la sécurité mise en place, à l'heure actuelle, il y aura toujours des personnes suffisamment expérimentée pour la mettre à mal. Aucun système informatique n'est parfaitement sécurisé, malheureusement.

Enfin, il peut être bon de rappeler que la version 1.8 de MyBB est en cours de développement, et qu'elle apportera probablement son lot de mises à jour de sécurité.
Pour rapporter une vulnérabilité de sécurité, vous pouvez utiliser le formulaire de contact à votre disposition à l'adresse ci-dessous pour rédiger votre message (en Anglais).
http://www.mybb.com/contact?subject=security

Vous souhaitant une excellente journée.

Franchement j'essaie de garder mon calme mais j'ai vraiment tout fais, même reformater mon PC, installer kapersky, mais je pense que cela n'a rien a voir avec un virus, c'est simplement une faille qu'il dois y avoir et j'aimerais que vous m'aidiez à la combler car c'est très pesant chaque jour d'avoir a remettre son forum et que les membres se plaignent je vous assure. Donc déjà ce n'est pas un problème de plugins (puisque j'ai désactivé tous les plugins) ni de virus sur mon PC. Tout ce que je peux vous dire , c'est que le pirate n'arrive qu'à changer l'index de mon forum, il ne fais rien de plus. Merci par avance

Voila notre forum fais deface sur deface donc cela fais maintenant plusieurs jours qu'il n'est plus en ligne et c'est vraiment vraiment pesant. Nous avons tous fais, tout tenté, en vain. Le hacker n'a pas acces a notre FTP puisque nous avons l'historique des IP, il n'a pas non plus acces a mon PC qui a été reformaté et n'a rien télécharger, j'ai mis kapersky. De plus, cela n'a rien avoir avec les plugin car ils sont tous désactivés. Merci de me venir en aide, pour le moment j'ai :

- Bloquer le dossier /inc avec un "deny from all"
- Changer le répertoire admin
- Mis un mot de passe et autoriser juste mon IP sur le repertoire ADMIN
- Installer un fake dossier Admin avec un fake formulaire
- Bannis tous les membres louches

J'ai juste besoin de conseils, ou si il y a des manipulations évidentes a faire pour sécuriser son forum, en plus de ce que j'ai fais. Apparament et d'après l'historique, il n'a plus non plus acces au panel admin, il reussi simplement a changer le code source de la page index.php, c'est tout ce qu'il arrive a faire en ce moment. Si tu pouvais me donner L'astuce pour régler sa je te serais vraiment reconnaissant Sad

Il y a bien d'autres façon de "defacer" un site sans utiliser le FTP, il suffit d'avoir un accès SHELL ou encore un accès au panneau de contrôle de l'hébergement en passant par le gestionnaire de fichier.

Les templates du thème sont-ils infectés par du code "hacké" ou le thème original fût réinstallé?

Et encore, rien ne dit s'il n'a pas accès au serveur lui-même comme utilisateur ROOT!

Alors avant d'arriver à la conclusion d'une faille de MYBB, ce qui est techniquement possible, il faudra explorer toutes les autres sources de prise de contrôle des fichiers.

Idéalement c'est en étudiant le fichier log complet du serveur ou du site, qu'il sera possible d'identifier comment l'intru à remplacer le contenu du fichier index.php!

P.S. Si le hackeur utilise toujours la même adresse IP il serait donc facile de lui bloquer l'accès HTTP à tout le site avec le fichier ".htaccess". Pour les autres types d'accès il faudra un pare-feu pour le bloquer, ce qui n'est disponible que sur un serveur privé ou avec la collaboration de l'hébergeur.

Je suis presque sur que c'est sa, dailleurs cela ne peut être que sa j'ai fais toutes les hypothèses. Il a reussi une fois a changer le code source de showthread.php , et de l'index.php mais cela m'étonnerai très fortement qu'il ai acces au FTP lui même tout entier, j'ai dailleurs changé régulièrement le mot de passe et pour tout vous dire, je lui ai même parlé par Skype (car lors de la deface il mettai son pseudo skype) et il ne peux ni se mettre admin, ni supprimer des fichiers du FTP donc c'est bel et bien une faille Mybb cela ne peut être rien d'autre voyons les choses en face. Cet hacker opère depuis plusieurs mois (années ?) comme l'indique son historique google et son mode opératoire est toujours le meme. Essayer de m'aider svp, si je peux vous donner le moindre fichier qui peux vous aider, (mon forum est actuellement en locale depuis 48h mais j'ai tous les fichiers) comme les log, donnez moi la marche a suivre et je joindrais sa ici

Je viens juste d'éditer mon message original avec un P.S. qui pourrait être utile.

Si cela etais si simple que sa exdiogene, mais malheuresement il est bien plus malin que sa. J'ai bloquer mainte et mainte fois son IP (grâce aux comptes membres qu'il créais, et qui postais dres messages désagréables c'est pour sa que je savais que c'etais lui) j'ai du bloquer au moins 20 ou 30 IP mais a chaque fois il change, c'est un malin cela est inutile. Dites moi la marche a suivree afin que je vous joigne tel ou tel fichier qui pourrais vous être utile à localiser le probleme afin de le combler

Le préfixe de son IP est-il toujours le même, comme 90.29.*.*? Si c'est le cas il sera encore facile de le bloquer, s'il utilise des proxys se sera encore aussi facile. Il est possible de déterminé si l'adresse IP vient d'un proxy en vérifiant au préalable avec Google, si c'est le cas il y a plusieurs plugins qui bloquent les proxys. Une liste pourrait aussi être fournie dans le fichier ".htaccess".

Mais idéalement ce serait de faire usage d'un pare-feu pour bloquer plus efficacement.

Pourquoi ne pas mettre les fichiers en lecture seulement pour un certain temps... Wink

Mettre les fichiers du FTP en Lecture seule peut être intéressant, mais ma question est :
Quel conséquence cela aura t-il sur mon forum si je le remet en ligne ?
Qu'est-ce que cela provoquera ?
Les utilisateurs pourront toujours faire des post ?
Les utilisateurs pourront toujours éditer leur post ?