Piratage du forum

[Fredo_L]

Je pense que Groovykid a donné une bonne piste pour retrouver l'auteur du hack.
Je m'apprête donc à poster le lien suivant sur le forum de LTF : http://www.abandonware-forums.org/showt ... on-Edition

Bonjour,

Cela fait plusieurs années que je n'ai pas posté sur ce forum, mais je pense que les plus anciens se souviendront de moi.

Si j'écris aujourd'hui, c'est que le 17 juillet après-midi, mon forum http://forum.abandonware.org a été hacké.
Voici une liste de quelques modifications opérées sur le forum :
1) Un compte utilisateur a été modifié. Le nom a été changé en BTeam, avec comme site web http://pastebin.com/swJiahU8
2) Un compte administrateur a été créé avec le nom Tipiak.
3) Un forum abandonwarez a été créé. Plusieurs sujets ont été postés dedans avec par exemple, un sujet consacré à EDuke32

J'ai fait un sujet sur mon forum pour alerter les utilisateurs de ce hack : http://forum.abandonware.org/viewtopic.php?f=13&t=4885
Groovykid m'a alors invité à venir voir ce sujet.
1) Je note que la correspondance entre le pseudo BTeam et le site web site web http://pastebin.com/swJiahU8
2) Je note que Groovykid a dit dans le sujet "je me suis essayé a Megaton en tipiak"
3) Je note que ta dernière activité sur le forum de LTF date du 18 juillet à 00:04, c'est à dire quelques minutes après la fin du hack de mon forum

Tout ça pour conclure que je pense que tu es lié au hack de mon forum. Je ne dis pas que c'est toi, mais je suspecte que le hacker soit au minimum quelqu'un de ton entourage. Je ne cherche pas la vengeance ou à punir hacker, mais j'ai besoin de connaître ses motivations et ce qu'il a fait exactement sur mon forum. S'il a juste fait ce petit délire de forum abandonwarez, je n'ai pas l'intention de le poursuivre. Dans le cas où je n'aurais aucune réponse, je prévois de déposer plainte au commissariat.
J'invite donc le hacker à m'écrire à frederic@letellier.org

Je préfère franchement que les choses s'arrangent à l'amiable par le simple envoi d'un mail explicatif.
Dans le cas contraire, cela va m'obliger à passer du temps à chercher toutes les traces laissées par le hacker, et à porter plainte. Pour ce qui est du hacker, il aura donc à s'inquiéter d'être visé par une enquête de police, ce qui n'est pas des plus agréable.

[XavierSnp]

... Surtout que la démarche est trop bruyante et naïve pour être honnête.
Après l'intrusion, dans les données privées, une série de mails teste (identiques) ont été expédiés au contributeurs du forum, au nombre de 5... puis posté en nouveaux tread sur le forum.
Peut-être un test pour utiliser le système de messagerie automatisé du forum.
Il est clair que l'esbroufe de notre ami cache une réalité plus lucrative.
Dans ce cas, il y a recèle de données personnelles (si la liste a été mise au enchères).
On tombe donc sous le coup de la loi, mais si personne ne bouge, aucune commission rogatoire ne pourra être délivrée pour l'utilisation d'outils forensique, dissimulés dans la majorité des logiciels de Hackers.
C'est au responsable du site de faire le premier pas...
Ou continuer à ignorer les incivilités des cyber-escrocs, même s'il s'amusent avec des outils qui ne leurs sont pas destinés.

[Fredo_L]

BTeam m'a répondu :

J'ai été contacté par mail et on m'a demandé de venir m'expliquer ici.
Le problème c'est que je ne sais pas trop comment me défendre car en lisant tout les éléments que vous donnez, j'en arrive à la même conclusion que vous.

Pourtant, je vous assure que je n'y suis pour rien !
Je ne connaissais même pas cet autre forum pour abandonware avant ce matin et la lecture de ces messages.
Par contre, comme je le disais dans ce même sujet, je suis parti en vacance il y a une semaine et en lisant aussi le message sur l'autre forum, je peux me dédouanner au moins pour la création du compte utilisant le même pseudo que moi. En effet à la date du 15/07, j'étais dans l'avion. Dès que je peux mettre la main sur un scanner, je vous fournirai le scan l'attestant.

Pour ce qui est de l'adresse IP, je ne sais pas si ça peut vous aider, mais je passe par le réseau Tor pour pouvoir surfer. Je suis actuellement en Indonésie, et beaucoup de site sont inaccessibles si je n'utilise pas le navigateur téléchargé sur le projet Tor.

Je ne sais pas quoi dire de plus. Surtout que je suis bien le propriétaire de la page Pastebin où sont listés mes liens Mega. Mais Mega ne rémunère pas les liens, c'est le même type de service que Dropbox, avec plus d'espace. Rien à voir avec Megaupload même si le responsable est le même.

Je suis désolé de pas pouvoir vous aider plus et je comprends que je reste suspecté.
Mais je suis incapable de vous expliquer pourquoi j'ai aussi mélé à cette histoire.

Sa réponse ne m'arrange pas trop car au final, je ne suis pas plus avancé...

[Fredo_L]

Pour le déroulement du hack, je pense pouvoir établir la chronologie des faits.

1) Je pense que le type a trouvé mon mot de passe.
2) Pour une raison que j'ignore, le 15/07/2014, il a fait des modifications sur un ancien compte, pour le renommer en BTeam et lui donner une signature pointant vers le site de BTeam. Cependant, il semblerait qu'il n'ait rien fait avec ce compte.
3) Le 17/07/2014, il a créé le membre Tipiak, en lui donnant des droits d'administration, et il a créé un forum abandonwarez, en mettant dedans des sujets recopiant les articles de BTeam (liens MEGA pointant vers divers vieux jeux)

[ob1]

BTeam m'a répondu ...)

Mouais enfin. Sa réponse serait la même s'il était effectivement responsable du hack. Reste le fameux scan du billet d'avion mais avec Photoshop aujourd'hui, je peux te retrouver une photo de XIII dansant le french cancan avec le Président des Etats-Unis. Après, est-ce que le compte de BTeam était facilement hackable (style, mot de passe "1234") ? Parce que si c'est pas le cas, l'excuse : quelqu'un a piraté mon compte pendant que j'étais aux Bahamas, j'y crois moyen.

Bon courage à toi Fredo.

La bise,
o

[Player one]

Mince, de base j'ai un mot de passe court et à chiffres, le problème est surtout pour mon adresse e-mail(les adresses "gmail" étant interdites, j'ai mis mon autre mail, personnel)....j'espère n'avoir rien subi...

[XavierSnp]

Bonjour,

>> j'espère n'avoir rien subi...

Au pire, votre boîte mail sera bourrée de Spams publicitaires...
Ce qui n'est pas plaisant, mais il y a tellement de trous sécuritaires et glanage d'adresses mail que l'origine supposée du vol d'adresse n'est pas forcement celle que l'on croit.

Premier exemple:
J'ai fait l'allusion d'un 'fishing' sur un site (perso ?) qui proposait un tirage au sort d'une machine de jeu.
Tout le monde semble Normal de donner son nom, son adresse mail à un site... qui offre un cadeau en dehors d'un cadre légal.
En France, ce genre de loterie est au minimum encadrée, même pour une initiative personnelle.
Date de clôture de la loterie, prix du lot, mansions sur la non divulgation des adresses mail...
L'utilisateur d'internet reste "naïf" et pense que tous ces possibilités de gagner des cadeaux imaginaires reste possible.
A la revente, les adresses personnalisée valent de l'or... et ces revenus indirectes pourront largement financer le cadeau imaginaire... ou pas.

Deuxième exemple:
Si le site indique "GRATUIT", il est fort à parier que ce site vous demande de composer un numéro surtaxé, soit il vous demande votre adresse mail pour la revendre à plusieurs Spammeurs...
Donc évitez les "GRATUIT", terme racoleur pour attirer les pigeons du net !

Troisième exemple:
Les sites pornos dit "GRATUIT" qui vérifient votre majorité grâce à votre numéro de carte bancaire, avec la promesse de débiter 0 euros lors de la connexion.
Ce qui n'est pas dit sur le site, c'est que le visionnage de certaines vidéos en "Avant-première" ou "Nouveautés" seront facturées au client... car une simple validation prouve l'acceptation de l'achat.

Il n'est pas question d'être parano, ni de se méfier de tout les sites, mais les arnaques sont bien rôdées et il est simple de se faire avoir.

Le cas le plus courant, est de proposer des logiciels tiers lors d'une installation.
L'installation est optionnelle, mais est généralement cachée délibérément dans un brouillard de publicités... l'utilisateur clique <SUIVANT> par réflexes, et se retrouve avec des outils, des barres et des extensions pour l'explorateur internet, qui n'ont que pour but de collationner toutes vos activités dans un but commerciale, non dissimulé.

Donc, soyez quand même prudent et attentif à l'utilisation de cet outil qu'est internet.
Sachez qu'il y règne une multitude de pièges et "attrape-couillons", qui dépassent les lois que vous connaissiez !

Ayez le réflexe de réfléchir et de ne pas valider "instinctivement", ce qui vous est présenté comme futile.
Si vous lisez les documents de licences de "Avast" et "ZoneAlarm", votre vie privée sera respectée dans la "mesure du possible" (lois américaines en exemple), ce qui veut bien dire, que même les logiciels "Professionnel" en protection peuvent aussi mercantiliser votre utilisation gratuite de leurs produits.

L'utilisation frauduleuse d'une adresse électronique est interdite... mais est, et restera "un moindre mal" pour l'utilisateur.
Cordialement,

[XavierSnp]

... Ce qui ne veut pas dire que l'acte est anodin!

[Player one]

Je voulais dire dans le sens où s'il a récupéré le mail, il pourrait également trouver le mot de passe de l'e-mail et donc spammer ou voire pire(virer des mails importants etc).

Mais bon j'ai consulté mes mails et il n'y avait rien d'anormal donc plus de peur que de mal comme on dit

[GamesfanULTRA64]

craint comme histoire

[ob1]

Bon bêinh ça a mis un petit mois, mais ça y est, ma boîte mail perso est spammée. En gros, 2 mails par jour, en anglais, pour vanter principalement des téléphones, des assurances, des formations ...
Heureusement, Thunderbird est pas trop bête, et assez vite, le filtre "indésirables" fonctionne bien.

[XavierSnp]

Salut,
ExaBot semble être à bannir, car à son apparition, un nouveau message spam est envoyé.
Il y a donc utilisation de robot pour mapper le site, puis l'envoie du spam est réalisé avec juste après.

cf:
http://spam.tinyweb.net/article.php/stu ... -exabot-ng

[Fredo_L]

Ce soir, je vais consacrer un peu de temps à améliorer la sécurité du serveur.

Salut,
ExaBot semble être à bannir, car à son apparition, un nouveau message spam est envoyé.
Il y a donc utilisation de robot pour mapper le site, puis l'envoie du spam est réalisé avec juste après.

Le forum phpBB créé automatiquement un groupe "Robots" et dedans, il y a "Exabot [Bot]".
Je n'ai pas bien compris ce que disait ton lien. J'ai fait des recherches sur le Net, et il était dit que c'était le bot du moteur de recherche français appartenant à Dassault System. Apparemment, il fait parti des 10 plus grands moteurs de recherche. Sur les pages que j'ai vues, ce robot n'était pas présenté comme étant dangereux.

[Fredo_L]

Ce soir, je vais consacrer un peu de temps à améliorer la sécurité du serveur.

Finalement, je n'ai pas réussi à activer fail2ban.
Je sais que pour beaucoup de geeks, je meilleur système d'exploitation au monde est Linux, mais en ce qui me concerne, j'ignore si c'est le meilleur mais en tout cas, je pense que c'est l'un des plus compliqués à utiliser.
Dans le cas présent, le problème vient du fait qu'il existe de nombreuses distributions Linux et que celles-ci sont toutes plus ou moins différentes.
Dans mon cas, j'ai la distribution OVH qui est différente de la distribution Ubuntu qui a servi pour le tutorial.
Pour donner un petit exemple, la commande à lancer pour démarrer/arrêter le service n'est pas exactement la même, mais bon, ça n'a pas été bien difficile pour moi de résoudre ce petit problème.
Le principe de fail2ban est de scruter les logs et de s'en servir pour bannir des gens qui essayeraient par force brute de trouver un mot de passe. La configuration contient les adresses par défaut de ces logs. Le problème, c'est que ces chemins ne correspondent absolument pas à ce que j'ai avec ma distribution OVH, et donc, ça ne marche pas. J'ai écrit sur le forum OVH pour savoir si quelqu'un pouvait me donner les adresses logs sur la distribution OVH, et donc, j'attends à présent de voir si quelqu'un va pouvoir me renseigner.

[jeanm]

he beh ça a donné du boulot - c'est toujours super relou de se faire hacker un site ... pour ma part, sur les miens, ça vient toujours de Turquie ou d'Ukraine ...
bref je ne sais pas si ça peut aider, mais ce compte, le mien en fait, n'existait plus - effacé dans l'été

bonne chasse

[Fredo_L]

Bonjour jeann,

Je ne suis pas sûr de comprendre ton message.
Est-ce que tu étais inscrit sur mon forum et tu as eu ton compte de supprimer ?
Si c'est le cas, peux-tu me dire si tu avais posté un message sur forum ?
Et peux-tu aussi me dire quand tu t'étais inscrit sur le forum ?

Sinon, je confirme que c'est effectivement pénible de se faire hacker un forum/site/serveur.
Ce qui m'énerve le plus étant de ne pas forcément savoir ce qu'a fait le hacker, et aussi, de savoir comment le hack s'est produit car il y a peut être une faille de sécurité quelque part.

[jeanm]

oui j'avais un compte,
pour ce qui est d'un message déjà posté, je ne peux pas être catégorique mais il me semble que c'est le cas, et, mais ça ne compte pas, quelques MP aussi ... je ne sais pas vraiment si ce profil est resté à zéro en tout cas- désolé, j'étais beaucoup plus "bavard" sur les forums il y a 15 ans de ça, mais bon ...

sinon, compte ouvert le Jeu 20 février 2014

phpBB est forcément une cible intéressante pour les hackers, mais dans ce cas de figure, l'intrusion est ciblée, et je suis prêt à parier mon Amstrad Magazine n°1 que ça n'a rien a voir avec une faille de sécurité exploitée par un bot - et vu les traces laissées, on doit avoir affaire à un n00b pas majeur et du territoire.

Sinon, un outils pour se protéger de certaines attaques, et dont je me sers régulièrement : http://www.crawltrack.fr/crawlprotect/
ça fait toujours ça de plus

[Kantaro]

Bonjour,

serait-il possible de savoir s'il y a du neuf sur cette "affaire", depuis cet été ?

Sauf s'il y a un besoin de rester discret, bien entendu.

[Fredo_L]

Non, je suis désolé mais rien de neuf pour le moment.
J'ai déposé une plainte mais je n'ai pas eu de retour pour le moment.