NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
28 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 403 044
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Un particulier à recu ma Base de données et m'a renvoyé ma BD NPDS par mail ??? (Hack???)
[Résolu] - Un particulier à recu ma Base de données et m'a renvoyé ma BD NPDS par mail ??? (Hack???)#15292
8Contributeur(s)
3 Modérateur(s)
daumal
:-| Et oui...
Un particulier (bien intentionné, je presume: martouff [martouff.demalkchour@laposte.net]) ma renvoyé ma BD NPDS par mail.
En conclusion ma base de données à ete hacké et se promene sur le Web.
Comment cela est-il possible ? Peut on identifier la fraude avec certitude dans le fichier security.log ?
Mes 3 dernieres lignes de security.log sont: (sans mettre en cause quiconque pour l'instant)
01/03/2005 11:16:46 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>195.153.172.214 (Plus d'Infos)
01/19/2005 00:58:02 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 : redcode | IP=>62.205.67.211 (Plus d'Infos) 62.205.67.211 cable-62-205-67-211.upc.chello.be chello.be
01/19/2005 00:58:42 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 : redcode | IP=>62.205.67.211 (Plus d'Infos). 62.205.67.211 cable-62-205-67-211.upc.chello.be chello.be
Outre le fait de changer les password et login de la BD, Que faire pour sécuriser cela ?
En l'attente d'une solution, mes sentiments les meilleurs a toute l'équipe.
Outre cela quelle procedure suivre pour déclaration légal de ce hack (abuse,CNIL etc...)
Un particulier (bien intentionné, je presume: martouff [martouff.demalkchour@laposte.net]) ma renvoyé ma BD NPDS par mail.
En conclusion ma base de données à ete hacké et se promene sur le Web.
Comment cela est-il possible ? Peut on identifier la fraude avec certitude dans le fichier security.log ?
Mes 3 dernieres lignes de security.log sont: (sans mettre en cause quiconque pour l'instant)
01/03/2005 11:16:46 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>195.153.172.214 (Plus d'Infos)
01/19/2005 00:58:02 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 : redcode | IP=>62.205.67.211 (Plus d'Infos) 62.205.67.211 cable-62-205-67-211.upc.chello.be chello.be
01/19/2005 00:58:42 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 : redcode | IP=>62.205.67.211 (Plus d'Infos). 62.205.67.211 cable-62-205-67-211.upc.chello.be chello.be
Outre le fait de changer les password et login de la BD, Que faire pour sécuriser cela ?
En l'attente d'une solution, mes sentiments les meilleurs a toute l'équipe.
Outre cela quelle procedure suivre pour déclaration légal de ce hack (abuse,CNIL etc...)
Message édité par : daumal
developpeur
Alors là ???? - rien d'anormal dans le fichier security.log
Changement de login et de Pass indispensable + chmod pile-poile
Tu utilise la sauvegarde de ta base dans le répertoire log (SaveMysql) ?
Changement de login et de Pass indispensable + chmod pile-poile
Tu utilise la sauvegarde de ta base dans le répertoire log (SaveMysql) ?
daumal
Merci Dev et Urbain
Je vais changer les pass et log de la bd en urgence.
Par contre je sauve ma BD sur un disque externe indépandant, donc cela ne vient pas de là. Il est automatiquement deconnecté et pas sur le reseau.
J'ai envoyé un mail de remerciemment à martouff.demalkchour@laposte.net qui ma envoyé par mail ma base de données.J'attends sa reponse à ma demande, c'est a dire la copie du mail (si il l'a gardé). Comment a t il recu ma BD ? That is the question. J'attends sa réponse pour véracité et eventuellement controle du mail....
De plus j'ai un .htacess sur les fichiers et repertoires sensibles.
Outre la récuperation de la BD, rien d'anormal sur tout le reste, + Antivirus, AdWare, A2 etc... pour controle eventuel.
Par contre, DEV, je te fais l'envoi de mon security log complet par mail pour verification. OK ?
A bientot afin de resoudre ce fait des plus etranges. Depuis la mise en ligne le 12-07-03, c'est la premiere fois... et j'espere la derniere.
Concernant une BD de + de 1000 membres, dois je faire une declaration CNIL ou Abuse ?
A bientot.
Je vais changer les pass et log de la bd en urgence.
Par contre je sauve ma BD sur un disque externe indépandant, donc cela ne vient pas de là. Il est automatiquement deconnecté et pas sur le reseau.
J'ai envoyé un mail de remerciemment à martouff.demalkchour@laposte.net qui ma envoyé par mail ma base de données.J'attends sa reponse à ma demande, c'est a dire la copie du mail (si il l'a gardé). Comment a t il recu ma BD ? That is the question. J'attends sa réponse pour véracité et eventuellement controle du mail....
De plus j'ai un .htacess sur les fichiers et repertoires sensibles.
Outre la récuperation de la BD, rien d'anormal sur tout le reste, + Antivirus, AdWare, A2 etc... pour controle eventuel.
Par contre, DEV, je te fais l'envoi de mon security log complet par mail pour verification. OK ?
A bientot afin de resoudre ce fait des plus etranges. Depuis la mise en ligne le 12-07-03, c'est la premiere fois... et j'espere la derniere.
Concernant une BD de + de 1000 membres, dois je faire une declaration CNIL ou Abuse ?
A bientot.
daumal
DEV, voila le retour du mail recu par mon bienfaiteur qui a jui, recu ce mail
Monsieur ,
Ce message a été envoyé par une certaine (Return-Path:)
avec pour objet (Ok cunt) le tout sur une boite a lettre que je possede au luxembourg
de type webmail et qui me sert pour mes abonnements et aussi mes news.
voila tout ce que je peut dire.
bien a vous
Martouff
Monsieur ,
Ce message a été envoyé par une certaine (Return-Path:
avec pour objet (Ok cunt) le tout sur une boite a lettre que je possede au luxembourg
de type webmail et qui me sert pour mes abonnements et aussi mes news.
voila tout ce que je peut dire.
bien a vous
Martouff
developpeur
cela ressemble à du spam en fait ???
Je viens de te répondre. Tu héberge toi même ton site ?
Je viens de te répondre. Tu héberge toi même ton site ?
daumal
Oui DEV, hebergement perso.
J'ai bien recu ton mail.
Il s'agit bien de la base de données, et de la table USERS.
Je confirme, le site sous NPDS n'a pas été touché par quelconque modification et il s'agit bien d'un acces vers la table USER (phpMyAdmin)
Faisant mes sauvegardes BD + Scripts du site, et en faisant un comparatif cette nuit entre les sauvegardes et les fichiers du site, RAS, CRC identique. Le site par lui meme n'est pas touché, seule la BD dont la table USER.
En l'attente....
J'ai bien recu ton mail.
Il s'agit bien de la base de données, et de la table USERS.
Je confirme, le site sous NPDS n'a pas été touché par quelconque modification et il s'agit bien d'un acces vers la table USER (phpMyAdmin)
Faisant mes sauvegardes BD + Scripts du site, et en faisant un comparatif cette nuit entre les sauvegardes et les fichiers du site, RAS, CRC identique. Le site par lui meme n'est pas touché, seule la BD dont la table USER.
En l'attente....
Message édité par : daumal
GiamDoc
a froid comme ça, donc ta base est sur le même serveur que ton site.
La même IP ? ( IP fixe ou non)
Dans tes logs , tu vois si il y a eu un acces au fichiers conf.php où sont stockés tes param de connexion à ta base?
La même IP ? ( IP fixe ou non)
Dans tes logs , tu vois si il y a eu un acces au fichiers conf.php où sont stockés tes param de connexion à ta base?
daumal
Salut GiamDoc
Pour les logs, RAS de spécial (voir DEV). Il n'y a pas d'acces conf.php
Ma base, pour connexion, n'a pas la meme IP (en local uniquement avec .htaccess et .psswd unique)
Par contre, ma base est sur le serveur.
En l'attente.... de trouver la cause... Big enigme for me.
Pour les logs, RAS de spécial (voir DEV). Il n'y a pas d'acces conf.php
Ma base, pour connexion, n'a pas la meme IP (en local uniquement avec .htaccess et .psswd unique)
Par contre, ma base est sur le serveur.
En l'attente.... de trouver la cause... Big enigme for me.
daumal
Merci URBAIN
En ce qui concerne ce mystere, j'y tiens d'autant plus que cela peut faire avancer la sécurité pour tous tant pour les internautes que les webmasters avec une config identique a la mienne. Pour ma part, ce n'est pas NPDS en cause puisque depuis longtemps RAS pour le CMS.
Mais je cherche la faille.... et espere trouver.
Amicalement, daumal
En ce qui concerne ce mystere, j'y tiens d'autant plus que cela peut faire avancer la sécurité pour tous tant pour les internautes que les webmasters avec une config identique a la mienne. Pour ma part, ce n'est pas NPDS en cause puisque depuis longtemps RAS pour le CMS.
Mais je cherche la faille.... et espere trouver.
Amicalement, daumal
daumal
Par evidence, je le pense, mais tant que je n'ai pas la cause, je cherche afin de préciser au mieux une eventuelle faille Apche, PHP etc... a titre de prevention...
developpeur
On peut imaginer (à vérifier) :
- partage Web activé par erreur
- un troyen genre RAdmin ou vnc (voir la liste des services démarré) ou un service type TSE
=> peut être un petit coup de SpyBot pour voir si tous est normal.
A suivre
- partage Web activé par erreur
- un troyen genre RAdmin ou vnc (voir la liste des services démarré) ou un service type TSE
=> peut être un petit coup de SpyBot pour voir si tous est normal.
A suivre
Anonyme
salut,
Je vous dis juste,
qqun qui s'est amusé a scanner des ip's avec essential net tools
par exemple.....
et qui lui il est tombé sur ton ordi, qui lui partage connexion donc
par un acces directe au netbios, il est rentré sur ton ordi,
tu dois je suppose hberger ton site par easyphp?
donc le gag il est allé a c:\easyphp\www\tonsite
et ensuite il a pris ton fichier config.php et il a lu ta base mysql, ton login et ton pass ensuite il est allé sur la base il a rentré le login et le MDP et la il est allé directement sur les users.... et sur le user admin il a changé l'addresse electronique, il est allé sur ton site il a dit a ton petit site coucou j'ai perdu mon mot de passe tu me l'envoie?
il a reçu le lien pour activer l'admin et le nouveau MDP, et la c'est la fete....
bref.....
tout un baratin qui impose que npds ait son fichier config sur un dossier HTT
bref a faire quelque chose s'impose la chose
lol
bonne chance a tous.
:=!
Je vous dis juste,
qqun qui s'est amusé a scanner des ip's avec essential net tools
par exemple.....
et qui lui il est tombé sur ton ordi, qui lui partage connexion donc
par un acces directe au netbios, il est rentré sur ton ordi,
tu dois je suppose hberger ton site par easyphp?
donc le gag il est allé a c:\easyphp\www\tonsite
et ensuite il a pris ton fichier config.php et il a lu ta base mysql, ton login et ton pass ensuite il est allé sur la base il a rentré le login et le MDP et la il est allé directement sur les users.... et sur le user admin il a changé l'addresse electronique, il est allé sur ton site il a dit a ton petit site coucou j'ai perdu mon mot de passe tu me l'envoie?
il a reçu le lien pour activer l'admin et le nouveau MDP, et la c'est la fete....
bref.....
tout un baratin qui impose que npds ait son fichier config sur un dossier HTT
bref a faire quelque chose s'impose la chose
lol
bonne chance a tous.
:=!
zyegfryed
Mouais, c'est surtout que mettre un site en production avec EasyPHP n'a jamais été une onne idée. EasyPHP ets dédié au test, pas à la prod (les "inventeurs" sont les premiers à le dire à qui veut bien l'entendre). Maintenant je ne sais pas si notre ami utilisait EasyPHP, mais c'est toujours une piste, merci :-)
urbain
qui dit serveur dit routeur non ??
sinon je vois mal comment publier un server perso sur le web avec un partage traditionnel de connection ...
sinon je vois mal comment publier un server perso sur le web avec un partage traditionnel de connection ...
daumal
Bonjour a toute l'équipe.
En ce qui concerne ce problème de BD users qui traine sur le web, je pense avoir trouvé la faille.
Avant tout, si dès ce soir ou demain au plus tard je confirme le fait, cela ne met pas en cause NPDS ni Apache etc....
Je tiens le bout à 90% .
En l'attente, mes amitiés a tous.
En ce qui concerne ce problème de BD users qui traine sur le web, je pense avoir trouvé la faille.
Avant tout, si dès ce soir ou demain au plus tard je confirme le fait, cela ne met pas en cause NPDS ni Apache etc....
Je tiens le bout à 90% .
En l'attente, mes amitiés a tous.