Bonjour à tous,

comme vous pouvez le constater, vous n’avez plus accès à votre site préféré depuis quelques jours, en effet notre serveur est attaqué par des hackers (pirates informatique).

Ces gens mal intentionnés utilisent notre serveur à des fins frauduleuses. La technique qu’ils utilisent est appelée PHISHING.

Il s’agit pour les hackers de transmettre massivement des emails (spams) qui invitent des clients de banques à revenir sur le site Internet de celle-ci.
Le piège est que la page en question n’est pas propriété de la banque mais bien des hackers qui subtilisent ainsi de nombreux identifiants. Identifiants qui leurs permettrons très rapidement de collecter quelques euros !
Et pour ne pas se faire repérer les fausses pages de banques sont malheureusement installées sur notre serveur !

Nous ne souhaitons plus jouer au chat et à la souris avec les hackers qui reviennent régulièrement sur notre serveur. Nous recevons de plus de nombreuses plaintes des véritables banques.

Afin d'éradiquer le problème qui prend Boulistenaute.com en otage et protéger les personnes piégées par ce phishing, nous avons choisi d'arrêter le serveur ! Nous déménageons donc une nouvelle fois.

Bien évidemment l’association qui gère boulistenaute.com va porter plainte contre x afin de nous protéger et qui sait arrêter les coupables.

Avec plus de 300 000 connexions par mois, c’est encore une fois la rançon du succès, mais ce coup ci le mauvais côté.
Boulistenaute.com est en perpétuelle évolution et doit sans cesse s’adapter, c’est peut être la partie la moins visible mais elle est essentielle pour que vous profitiez pleinement du site.
Sachez que l’équipe fait le maximum pour réduire cette interruption à quelques jours et que nous profiterons de ce nouveau changement pour modifier notre graphisme.

Sportivement

Equipe Boulistenaute.com

Nous avons téléchargé les "logs" (vous pouvez les supprimer du site). Ils couvrent la période "[30/Aug/2006:04:08:05 +0200]" à "[02/Sep/2006:00:41:28 +0200]", ce qui est assez court (pas beaucoup de données dans le passé). Nous allons voir si nous pouvons y trouver néanmoins des informations intéressantes pour notre investigation.

Avez vous identifié comment le pirate avait installé cette page ?
Avez vous identifié d'autres pages suspectes qui auraient été déposée sur votre site ?
Apparemment, il la mettait à jour régulièrement pour changer le site vers lequel la page pointait. Il doit donc avoir un moyen de "se connecter" sur le site :
- soit une faille dans l'application PHP que vous utilisez sur le site
- soit une page PHP ajoutée (qui permet au pirate d'uploader des fichiers)
- soit un mot de passe "admin" volé

En tout cas, je vous conseille de :
- surveiller le site (cas où le pirate installerait d'autres pages)
- vérifier que vous avez installé la dernière version des logiciels PHP que vous utilisez
- changer les mots de passe "admin"

Merci de votre collaboration. Nous vous tiendrons au courant si nous trouvons quelque chose d'intéressant.

Sincères salutations,

www.cert-ist.com

bind 9.2.5-3
coldfusion Le composant n'est pas installé
coldfusion-support 8.0.1-fc3.build80060613.20
courier-imap 3.0.8-fc3.build80060613.20
drweb 4.33
drweb-qmail 4.33-fc3.build80060613.20
frontpage 5.0.2.2634
httpd 2.0.53-3.3
mailman 2.1.5-32.fc3
mod_perl 1.99_16-3
mod_python 3.1.3-5.2
mysql 4.1.12-2.FC3.1
perl-Apache-ASP 2.57-fc3.build80060613.20
php 4.3.11-2.8
postgresql-server 7.4.11-1.FC3.1
psa 8.0.1-fc3.build80060613.20
psa-api-rpc 8.0.1-fc3.build80060728.17
psa-autoinstaller 3.0.2-build060704.16
psa-backup-manager 8.0.1-fc3.build80060728.17
psa-horde 3.1.2-fc3.build80060713.16
psa-imp 4.1.1-fc3.build80060613.20
psa-logrotate 3.7-fc3.build80060613.20
psa-manual-custom-skin-guide 8.0.1-fc3.build80060613.20
psa-migration-manager 8.0.1-fc3.build80060728.17
psa-proftpd 1.3.0-fc3.build80060613.20

Comme convenu au téléphone, voici les quelques informations qui m'ont été raportés par notre expert :

Il est possible que la création, par des hackers, de page de redirection sur votre site ait pû être possible à cause de vulnérabilités liée à la version PHP que vous utilisée et qui permettraient à ces mêmes hackers d'obtenir des privilèges permettant de modifier le code ou les pages de votre site.

Nous vous recommandons donc de prendre contact avec votre communauté PHP pour savoir si la version que vous utilisez a des vulnérabilités de ce type connues. (Cela semble être le cas: https://www.frxoops.org/modules/newbb/ ... t_id=92341#forumpost92341).

Cette vulnérabilité a pû être exploitées également pour installer un rootkit (http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/index.html) sur la machine hébergeant votre site.

Pour éviter que cela se reproduise, il serait intéressant de pouvoir identifier le procédé exact de ces hackers afin d'identifier précisément la faille qui a été exploitée et de définir si ou quels éléments du site web (incluant OS et Base de données) ont pû être affectés/modifiés. Dans certains cas il peut être nécessaire de reconstruire totalement le serveur (avec les patches de sécurité les plus récents) afin de garantir que le rootkit n'est plus présent.

Je vous conseille donc de prendre contact avec votre communauté PHP, votre hébergeur, et le cas échéant un expert sécurité web.
Il peut être intéressant de contacter le CERT-IST France qui a été au courant de l'incident et qui pourrait avoir d'autres détails. Cependant je ne sais pas dans quelle mesure ils peuvent collaborer.

Je vous souhaite de pouvoir y remédier au plus vite !
Cordialement,
---------------------------------------------------
Hubert DELIN
Deutsche Bank AG Paris