XOOPS.org de nouveau sur les rails!

Après une nouvelle tentative de destruction de sa communauté, XOOPS est de nouveau sur les rails. Le pirate n'a fait que peu de dégats, mais nous devions nous assurer que nous sachions comment il a pu pénétrer dans notre système, et faire en sorte que cela ne se reproduise plus.

Que s'est-il passé?

Le pirate a pris le contrôle par une série de paramétrages malencontreux, par un concours de circonstances et tira pleinement avantage de la voie qui lui était offerte. Basiquement, il a exploité le script d'installation par défaut (qui aurait dû être effacé) pour acquérir un accès de webmestre sur un site inactif où il employa des blocs PHP personnalisés pour charger un script malicieux dans le répertoire cache/.
A l'aide de ce script, il atteignit notre base de données. JMorris a agi rapidement et ferma le site pour éviter des dommages plus grands encore. Nous avons laissé le pirate s'amuser avec le message sur le site fermé pour recueillir de plus amples preuves. Ackbarr, l'administrateur de notre serveur, a réagi rapidement et a dorénavant comblé tous les trous et restauré une sauvegarde datant de la nuit du 18. Nous avons en tout perdu pour 15 heures de posts au grand maximum.

Etait-ce une faille dans XOOPS?

Pas vraiment. Si vous effacez le dossier install/ après l'installation de votre site web, comme la page d'administration vous le demande, vous êtes en sécurité relative. Nous allons ajouter quelques tests à l'installeur pour s'assurer qu'il ne peut pas être détourné de sa fonction s'il reste sur le serveur.
Donc, nous allons bientôt diffuser un guide de sécurité qui vous aidera à protéger vos dossiers nécessitant un accès en écriture contre les utilisateurs malicieux. XOOPS ne peut rien faire seul à ce propos.

N'y a t-il aucun risque pour mes sites?

Si vous vous assurez que vous avez effacé le répertoire install/ de votre serveur, alors oui. Une meilleure sécurité proviendra aussi de l'application des conseils donnés dans le guide de sécurité.

Que ferez vous à l'encontre du pirate?

Nous savons qui il est, il a laissé de nombreux indices et une trace importante. La plupart d'entre vous savent de qui je parle. Nous avons déposé une plainte aux Pays Bas (patrie de la Fondation XOOPS, qui possède les serveurs), et une autre auprès des autorités du pays du pirate. Nous ne le laisserons pas s'en tirer comme ça.

Le pirate a laissé toutes sortes de messages à propose de XOOPS Cube. Sont-ils derrière cette action?

Non, absolument pas. XOOPS Cube est le fork qu'Onokazu lança il y a quelques temps déjà, et est basé sur XOOPS 2.0.10. XOOPS Cube n'a pas condone cette action, et en réalité, elle pourrait lui donner mauvaise réputation. L'affirmation selon laquelle le piratage serait le résultat d'une vulnérabilité présente dans XOOPS mais pas dans XOOPS Cube est non fondée, ce qui est confirmé par Onokazu.

Bien. Retour aux affaires!

Exactement. Nous sommes une communauté soudée. Lets show the hacker that we don't bend under his kind of terrorism.