[INFO] Herko nous parle de l'attaque sur Xoops.org
Date 26/10/2005 | Sujet : XOOPS
| Mot d'information reçu de la part de Herko, concernant l'attaque sur Xoops.org.
" Comme la plupart d’entre vous le savent, le serveur web de XOOPS.org a été victime d’une attaque malicieuse et destructrice. Pour éviter de nouvelles attaques, et réparer les dégâts causés au site, nous l’avons fermé au public. Dans ce message, je vais tâcher de répondre aux questions les plus urgentes. "
Que s’est-il passé ?
Le hacker a accédé à notre serveur web grâce à un concours de circonstance, et de configuration dont il a abusé. Nous avions mis en place un sous-site sur l’un des sous-domaines de xoops.org, et laissé par inadvertance le répertoire d’installation sur le serveur. Cela a donné a donné la possibilité au hacker de réinstaller et accéder au site inutilisé. Il a employé ses privilèges de webmaster pour créer un bloc PHP personnalisé et chargé un script malicieux dans le répertoire cache du site, et ainsi accéder au serveur et à la base de données. C’est ainsi qu’il a accédé à la base de données du site principal, et entamé un travail de destruction. JMorris – modérateur principal, et Ackbarr – notre administrateur serveur ont réagis très rapidement, ont fermé le site au public, restauré la base de données et les fichiers des sauvegardes régulières. Nous avons donc été capable de réouvrir le site dans les 40 heures.
Mais le hacker n’avait pas fini son œuvre, et les jours suivants (GMT) il a piraté un compte en utilisant une attaque en force grâce à une copie de la base de données qu’il avait volée. De la sorte, il a commencé à changer des postes et des commentaires, et rempli la base de données avec toute sortes d’idioties. Nous avons dû refermer le site à nouveau, en changeant nos mots de passe, et décidé d’effectuer un audit de sécurité complet du serveur. JMorris and Ackbarr ont travaillé d’arrache pied pour rendre le serveur encore plus sûr, et fermer toute voie possible que le pirate pourrait utiliser.
Nos sites sont-ils sûr ?
Le pirate a utilisé le script d’installation pour pénétrer sur le serveur. Le système vous avertit après l'installation de votre site XOOPS de supprimer ce répertoire. Ce n’est pas un vain avertissement ! Si vous avez retiré votre répertoire d’installation du serveur, votre site est en sécurité. Nous avons vérifié les logs du serveur attentivement, et jusqu’à présent, nous n’avons trouvé aucun trou de sécurité dans le système XOOPS. Dans ce cas précis, il s’agit donc plus d’une erreur de politique de sécurité et de configuration de serveur qu’un cas de trou de sécurité.
Qu’allez-vous faire de ce pirate ?
Nous savons qui il est. Il a laissé des traces très claires et nombre d’indices sur Internet à propos de son identité réelle. Nous avons collecté de nombreuses preuves et avons alerté les autorités policières hollandaises (La fondation XOOPS, qui est propriétaire du serveur, est basée en Hollande), aussi bien qu’auprès des autorités du pays d’origine du pirate. Toutes les deux sont à la recherche de preuves et feront de leur possible pour attraper le pirate.
Le pirate a laissé toutes sortes de messages faisant référence à XOOPSCube. Sont-ils derrière tout ça ?
Non. XOOPSCube est le projet qu’Onokazu a démarré après s’être retiré du développement de XOOPS il y a quelques mois. Il a pris la décision d’amener XOOPS dans une direction légèrement différente. Le projet XOOPS Cube n’est en aucun cas impliqué dans ce piratage.
XOOPSCube a publié récemment des patches de sécurité pour fermer quelques trous de sécurité, ce qu’ils ont fait en bonne communication avec le projet XOOPS.org. C’est ce que Skalpa a annoncé le 16 dans la mailinglist. Nous avons vérifié que le hacker n’a pas utilisé ces trous pour hacker notre site. Dès que nous aurons rétablis le site, nous publierons le patch XOOPS 2.0.13.2.
Quand XOOPS.org sera-t-il rouvert ?
Dès que nous aurons testé les nouvelles configurations du serveur sur des conflits possibles avec le site web, et implémenté une nouvelle politique de sécurité sur le serveur et pour son administration, nous rouvrirons le site à nouveau. Quelques postes seront perdus (encore). Je vous ferais parvenir un message sur la mailinglist dès que le site sera réouvert. Entre temps, je vous suggère d’utiliser la page de projet sur sourceforge.net et la liste des sites de ressources disponible sur la page d’accueil de Xoops.org.
Les sites de support locaux ont tous fait un grand travail de support en aidant les utilisateurs pendant la fermeture du site principal, et je voudrai saisir l’opportunité pour les en remercier ! L’une des choses que cette petite crise m’a démontré, c’est que XOOPS est une communauté forte qui ne peut être brisée en défaçant ou en détruisant l’un de ses sites. Les personnes qui font la communauté XOOPS se sont mobilisées pour faire face à cet événement, en s’entraidant et s’en sortir encore plus fort qu’avant. Recevez pour cela toute ma gratitude et je me sens particulièrement fier de faire partie de cette famille !
Je voudrai tout particulièrement remercier JMorris pour sa réaction rapide lors de la fermeture du site lorsque le hacker a commencé son œuvre destructrice, et JMorris encore ainsi que Ackbarr pour avoir sécurisé le serveur et rétablis le site web.
--
Herko Coomans
XOOPS.org Project Manager
Président de la fondation XOOPS
|
|