Piratage du forum

[Fredo_L]

Je viens de découvrir que le forum avait hacké.
La personne a réussi à avoir tous les droits sur le forum.
Cela signifie notamment qu'il a pu faire une sauvegarde de la base de données du forum qui contient les messages privés en clair. Il a également pu avoir accès à la page des mots de passe qui sont heureusement hashés. Cependant, si votre mot de passe est simple (du genre 1234), votre mot de passe peut être retrouvé. Vos emails ont pu être volés.

Je vais donner les informations en ma possession sur ce hack.

Nom du membre : Tipiak (http://forum.abandonware.org/memberlist ... ile&u=4317)
Je pense que cela fait référence à la pub, avec Tipiak = pirate.

Avatar :
Cela montre qu'il a réussi à dominer (un autre mot pourrait être utilisé mais je préfère rester poli) l'administrateur que je suis.

Date d'inscription : 17-07-2014 16:57

Email : ph.moulin@outlook.fr

Signature : Je suis qui vous savez que je suis. Mais ... Chuuuuuuuuut !

Il a écrit 4 messages (que j'ai supprimés). Les adresses IP étaient : 188.138.9.49 et 37.148.163.38
Lors de son inscription, son adresse IP était : 176.31.143.102

Il a écrit un forum pour de l'abandonwarez.
Voir la capture d'écran.
Ce forum ainsi que les messages qu'il contenait ont été supprimés !
Ce qui est intéressant à voir, c'est qu'il est tout de même resté dans la thématique du site.

Exemple de message
Titre : Duke Nukem 3D Megaton Edition pour EDuke32
Contenu : "Tout est dans le titre ! Il s'agit de Duke Nukem Megaton Edition mais pour fonctionner avec EDuke32 et pouvoir y ajouter tout les super pack de textures et autres trucs que vous voudrez."

Au niveau de l'administration, il s'était créé un groupe spécifique pour lui du nom de Tipiak. Il a aussi créé un groupe "invité".
Ces groupe lui donnant tous les droits.
J'ai supprimé ces groupes.

Au niveau des permission, il s'était tout mis sur oui, et j'ai corrigé en supprimant tous ses droits.

Dans le journal d'administration, il apparaît la ligne :
Tipiak , 79.134.235.5 , 17-07-2014 22:37 , Journal d’administration effacé
Autrement dit, il a effacé la liste des actions effectuées sur le forum pour que j'ignore ce qu'il avait fait.

Dans le journal utilisateur, il y a 2 lignes qui m'intriguent :
Fredo_L » BTeam 62.210.206.25 15-07-2014 13:56 Modification d’un nom d’utilisateur » de « Djvaurien » à « BTeam »
Fredo_L » BTeam 62.210.206.25 15-07-2014 13:56 Modification du mot de passe de l’utilisateur » Djvaurien
Cela m'intrigue car je n'ai jamais fait ça. Je me demande donc si le hacker n'aurait pas effectué cette opération en utilisant mon compte.

J'ignore ce qu'il voulait.
Il n'a apparemment rien cassé sur le forum (il aurait très bien pu tout effacé).
Il n'a rien essayé de vendre (pas de viagra par exemple).
Il a quand même dû passer du temps pour faire ça.

S'il y a des personnes qui ont des idées de comment mettre la main sur ce hacker, j'avoue que je serais assez intéressé.
De la même façon, si vous avez des suggestions sur ce qu'il faudrait contrôler sur le forum pour voir ce qu'il aurait pu modifier, je suis preneur.

Quelques infos sur les IP utilisés :
188.138.9.49 (atlantic480.us.unmetered.com - intergenia AG) : Se trouve en Allemagne
37.148.163.38 (hosted-by.snel.com - i3d B.V.) : proxy
79.134.235.5 (masterchief1.tor.leo-unglaub.net - Backbone ehf) : Se trouve en Islande
176.31.143.102 (OVH Systems) : se trouve en France
62.210.206.25 (arachnidefr94.torproxy-readme-arachnide-fr-35.fr - Free SAS) : Adresse Free se trouvant en France. Cela semble être une vraie adresse
Les 2 dernières IP pourraient donc me donner des indices pour retrouver le hacker.

[Kantaro]

Bonjour,

j'avais vu la création de cette catégorie par ce "Tipiak", mais dans le contexte des messages posté par ce pseudo (dans les messages proprement dits, dans sa signature, dans le texte des catégories et des sous-catégories), j'avais cru que c'était réellement toi qui avait décidé de créer une sous-catégorie cachée pour des vieux jeux non abandonware (Lucas Arts, etc.).
Faut dire que c'était quand même assez ingénieux le coup du "je fais une catégorie cachée pour les vieux jeux non abandonware, mais je n'en parlerai pas en dehors, et si vous en parlez, vous êtes bannis"...
Et en dehors de l'avatar qui m'avait un peu surpris (mais, le prends pas mal, mais sachant que parfois tu aimes ce genre d'humour, je n'ai pas particulièrement tiqué ^^), il a plus ou moins imité ta manière d'écrire, ou en tout cas, il ne s'en est pas trop démarqué.

J'imagine que tu avais un mot de passe court et/ou facile à deviner, ou le même que sur tous les autres sites où tu as un compte.
Ne t'inquiète pas, on a tous fait cette erreur au moins une fois, d'ailleurs il y a quelques mois, j'ai moi-même eu un paiement non autorisé depuis mon compte Paypal (heureusement, c'était un montant relativement peu important, et j'ai été remboursé depuis) ; moralité, à défaut d'utiliser un mot de passe différent pour chaque site (ce qui est difficilement applicable à moins d'avoir une excellente mémoire ou de tout noter sur papier si on fait confiance à ses conjoints/enfants), ne pas utiliser le même mot de passe sur les sites d'achats en ligne, bancaires (bref, le "sérieux" et le "légal") et sur les forums de discussion ou sur les trackers/forum de warez et autres (bref, le "pas sérieux" et l'"illégal").

Autre question, pour éviter un nombre abusif d'essais de connexion à ton serveur (plein d'essais de mots de passe courts et/ou une attaque par force brute), as-tu installé fail2ban dessus ? voir par exemple cette page (je ne sais pas sur quel OS est ton serveur, mais du moment que c'est un serveur de la famille GNU/Linux, cette notice devrait rester valable).

http://doc.ubuntu-fr.org/fail2ban

Une dernière suggestion, si tu ne l'as pas fait, modifie les ports de connexion par défaut pour les protocoles FTP/SSH (les ports 21 et 22 peuvent être remplacés par des nombres à 3 ou 4 ou 5 chiffres).

Pour ce qu'il voulait, peut-être est-ce quelqu'un qui voudrait te nuire en "démontrant", avec des fausses preuves, que tu rajoutes du warez sur ton forum d'abandonware.
Tu peux si tu le souhaites faire le tour des gros forums d'abandonware francophones pour voir si des rumeurs circuleraient.

[Fredo_L]

Je ne sais pas comment il a fait pour hacker le forum.
Peut être est-ce en trouvant mon mot de passe. Il s'agissait d'un mot de passe de 6 lettres.
Mes mots de passe sont uniques et donc, il n'y a pas de risque de piratage ailleurs.
Dans le doute, j'avais changé tout à l'heure mon mot de passe par quelque chose de plus long et compliqué.

Pour le fail2ban, je dois l'avoir sur mon serveur (distribution Linux) mais je ne sais pas si c'est actif. Ce serait intéressant que je l'active si ce n'est pas le cas.
Merci du conseil.

Pour ce qui est du port FTP, je ne pense pas que ça présente de risque pour la sécurité.
J'ai tout de même changé le mot de passe du FTP car le type a dû s'en emparer.

Pour ce qui est du SSH, il est sécurisé. En principe, tu ne dois pas pouvoir te connecter dessus.

J'aimerais vraiment connaître les motivations du type.
Pour faire ce qu'il a fait, je pense qu'il devait effectivement me connaître. J'aurais trouvé ça sympa qu'il m'envoie un PM pour me prévenir et m'expliquer sa démarche.
Il aurait pu tout casser sur le forum, mais il ne l'a pas fait. Il a apparemment juste fait 4 messages, qu'il devait savoir que je supprimerai dès que je les verrais.

[charlock]

très bizarre en effet, j'avoue m'être bien fait berné aussi :/

EDIT : c'est normal que je sois dans un groupe à droits spéciaux ?

[Fredo_L]

EDIT : c'est normal que je sois dans un groupe à droits spéciaux ?

Je ne sais pas. Je suis en train de vérifier.

[XavierSnp]

J'aimerais vraiment connaître les motivations du type.
Pour faire ce qu'il a fait, je pense qu'il devait effectivement me connaître. J'aurais trouvé ça sympa qu'il m'envoie un PM pour me prévenir et m'expliquer sa démarche.
Il aurait pu tout casser sur le forum, mais il ne l'a pas fait. Il a apparemment juste fait 4 messages, qu'il devait savoir que je supprimerai dès que je les verrais.

"Pardon, mais je trouve ça mignon !"
C'est pas bien d'être méchant comme ça... mais...

Bon, pour les "Sac à main" et les "Chaussures", là je ne dis pas...
Mais, un peu de sang frais avec une ou deux branches "délires" sur ce forum serai pas de trop!
Une branche "rétro-piratage" et "rétro-copies" aurai été une autre vision de l'Abandonware.
Des heures à changer de l'assembleur au pife, pour avoir des 255 vies dans Grysor sur Amstrad !
Les copies de K7 à K7 .... qui marchaient une fois sur deux...

Il a pris le temps de te faire un joli dessin... donc respects.
Pour le reste, ce site est ouvert, et toutes propositions sont les bienvenue.
Ce qui me gêne dans tout ça, c'est qu'il n'a rien posté sur "Hebdogiciel, les listings..."
C'est vexant ...

[canelle]

"Pardon, mais je trouve ça mignon !"
C'est pas bien d'être méchant comme ça... mais...

Il a été mignon car non destructif. Il a glissé quelques pubs pour lui, changé quelques noms d'utilisateurs, etc.

Cependant, cette charmante personne est quand même passé par la fenêtre pour s'amuser et donc, ça limite mon sens de l'humour. De même, nous ne savons rien de l'intégrité des liens postés et peut être que ceux qui ont cliqué sur ces liens vont avoir de mauvaises surprises d'ici quelques temps...
De même, mettre des liens vers de jeux Warez ou Abondowarez, c'est pas la plus grande preuve de franche camaraderie...

[Fredo_L]

Pour BTeam

La signature est :

[code:32l7fie4] .-. http://pastebin.com/swJiahU8
|o,o| /
,| _\=/_
||/_/_\_\
|_/|(_)|\\
\._./// .-.
|\_/|"` |_o_|
|_|_| /|='.|\
|-|-| ||"_'||
|_|_| /|-v-|\[/code:32l7fie4]

Ce qui s'affiche en

.-. http://pastebin.com/swJiahU8
|o,o| /
,| _\=/_
||/_/_\_\
|_/|(_)|\\
\._./// .-.
|\_/|"` |_o_|
|_|_| /|='.|\
|-|-| ||"_'||
|_|_| /|-v-|\

Je pense que c'est lui qui a modifié cet utilisateur.

La dernière page visité par le membre est : adm/index.php?i=groups&icat=12&mode=manage&action=edit&g=9

Sa page web était : http://pastebin.com/swJiahU8

Tout ça a été viré par moi.

[Fredo_L]

Apparemment, tout semble normal sur le forum.
J'ai donc uniquement fait des modifs sur les comptes BTeam et Tipiak.
Demain, j'irai déposer une plainte au commissariat en espérant que l'enquête permette de déterminer l'identité du hacker.
S'il se confirme qu'il n'a rien fait de mal sur le forum (pas de grosses modifications ou de suppression), je me désisterai, ce qui fera que sa peine sera faible.

[charlock]

au fait, le fameux forum qu'il avait créé, il était bien caché comme indiqué ou accessible à tout le monde ?

[Kantaro]

@charlock : en tout cas, je ne pouvais le voir qu'en me connectant sur le forum. Je ne sais pas si un nouvel inscrit pouvait également le voir d'emblée (mais je suppose que oui).

@Fredo_L : heu... tu fais ce que tu veux, mais déposer une plainte ou une main courante pour ça, ça me semble une mauvaise idée, surtout si on tient compte de la thématique (abandonware : toléré, et on retire les contenus pour lesquels les ayants droits s'opposent à leur diffusion, mais néanmoins généralement illégal) du forum et des sites. En plus, un procès, ça coûte assez cher, il me semble.

[Groovykid]

Ca pourrait grandement t'intéresser Fredo_L :

http://www.abandonware-forums.org/showt ... ht=megaton

par Bteam.

Je parle dans le sujet de version "tipiak", et un membre m'a demandé récemment ce que cela voulait dire.L J'ai quand même un doute que Bteam utiliserait ce même pseudo.

[Fredo_L]

@Fredo_L : heu... tu fais ce que tu veux, mais déposer une plainte ou une main courante pour ça, ça me semble une mauvaise idée, surtout si on tient compte de la thématique (abandonware : toléré, et on retire les contenus pour lesquels les ayants droits s'opposent à leur diffusion, mais néanmoins généralement illégal) du forum et des sites. En plus, un procès, ça coûte assez cher, il me semble.

Porter plainte au commissariat est totalement gratuit. Ce qui est payant et cher, c'est quand on porte plainte avec constitution de partie civile, ce que je n'ai pas l'intention de faire. Je n'ai pas l'intention de faire un procès au type.

Pour le moment, je ne porte pas plainte car mon objectif n'est pas la condamnation du type, mais plutôt son identification pour savoir pourquoi il a fait ça, et s'il a piqué des choses sur le serveur (par exemple la base de données du forum). Avec les infos de Groovikid, je pense pouvoir identifier le type. A ce propos, merci beaucoup à toi Groovykid !

[charlock]

sans doute aucun lien avec le piratage, mais dans le doute :
je note que mon statut ainsi je crois que celui d'autres membres sur cette page est récemment passé de "Dieu" à "Legendary".

[Groovykid]

et le forum n'a pas l'air d'être a l'heure !

[Fredo_L]

Pour ce qui est de la disparition du rang Dieu, c'est moi qui l'ai supprimé.
Pour ce qui est du forum qui n'est pas à l'heure, c'est exact mais j'ignore si ce n'était pas déjà le cas avant.

Edit : J'ai corrigé l'heure du forum

[XavierSnp]

Salut,
On ne va pas commencer à mettre les plaisantins en prison...
Mais, je me suis aperçu que le piratage du forum coïncidait avec la diffusion d'un DVD de programmes et utilitaires genre "Kit du piratage facile"...

D'un autre côté, le piratage n'est pas un acte anodin, mais que l'on ne se trompe pas de coupable.
Ceux qui ont organisé tous ces trous sécuritaires, ces back-doors, ces routines inactivés ou ces mises à jours corrompues... ou le curieux qui joue avec.

Il y a ceux qui jouent avec les flingues... et ceux qui travaillent avec.
A méditer.

[XavierSnp]

J'aimerai rappeler que la justice ne prend pas en compte les "simulations" ou les "plaisanteries" en compte au pénal.
Malgré tout, elle peut minimiser la peine avec des circonstances atténuantes.
Porter plainte occasionnera une recherche des délits informatiques, prévus au code pénal.

Même si le plaignant se rétracte ou minimise la chose, cela n'aura AUCUN incident sur le jugement rendu.

Donc, s'il y a plainte de portée, les preuves recueillis seront à charge pour le "Pirate"... et un exemple tout trouvé pour l'exhiber comme un "truand informatique" de la pire espèce.

Pour ce type de problèmes, il existe des solutions alternatives, constitués de membres intègres, qui peuvent "expliquer" à notre ami quelles sont les limites à ne pas dépasser.
Mais, faire intervenir les autorités de la brigade de la cybercriminalité me parait peu didactique et destructeur pour la personne concernée.

Aux vues des traces et des liens abandonnés sur plusieurs jours, ici même, sur ce forum peu fréquenté... son intention n'était pas de se cacher.

* Upload et type de logiciel de l'image pouvant être tracés.
* fréquentation des liens non sécurisés et non cryptés.
* Traçage des mails envoyés de la même machine.
* IP second niveau identique.
* Cookies TrueSecure traçable et localisée par SecurKiller ....

Son signalement est possible, mais le plomber pour avoir créer un forum et utilisé de adresses mail sans le consentement des utilisateurs....
Je vous conseil donc d'utiliser une méthode moins agressive et plus résonnée.
Des "associations" peuvent vous aider à faire la part des choses.

[huggyone76]

"On ne va pas commencer à mettre les plaisantins en prison"... Tout dépend où s'arrête la plaisanterie ! Pour le moment vous savez plus ou moins ce qui a été fait sur abandonware... Rien ne dit que le reste ne sera pas utilisé à d'autres fins ! Et rien ne dit non plus que ce "coup d'essai" ne sera pas réitéré ici ou ailleurs avec de moins "bonnes" intentions. Mais c'est vous qui voyez.

[Fredo_L]

Mon problème, c'est surtout que je ne sais pas si c'est un plaisantin.
C'est un peu comme si tu rentres de vacances et que tu vois un dessin d'enfant sur le mur de ton salon. Ta seule certitude, c'est que quelqu'un a pénétré chez toi. Était-ce juste par jeu, et s'est-il contenté de faire le dessin, puis est-il reparti ? Ou bien, a-t-il volé quelque chose ? A-t-il fouillé dans tes affaires pour faire un double de tes papiers importants (papiers d'identité, bancaires, etc.) ? A-t-il fouillé le contenu de ton ordinateur pour prendre des photos ou documents personnels ? Et si oui, que va-t-il en faire ? Le problème se situe au niveau de cette incertitude.

Ici, s'il s'agit d'un plaisantin qui n'a rien fait de mal, je n'ai évidemment pas envie de l'envoyer en prison.
En revanche, si ce n'est pas un plaisantin, je suis pour qu'il soit condamné aussi durement que possible. Dans les choses qui me déplairaient, c'est qu'il ait récupéré la table des messages privés et qu'il consulte vos messages privés. Je ne sais pas ce que contiennent ces messages, mais peut être que certains ici ont donné leur adresse postale. S'il a pris la table des utilisateurs, cela fait qu'il a les emails de tout le monde, et il pourrait bien s'en servir pour la revendre à des services de spamming. Il a aussi les mots de passe hashés, ce qui peut grandement aider à retrouver le vrai mot de passe des membres dans le cas ou le mot de passe est faible (peu de caractères ou mot du dictionnaire). Je m'arrête là, mais j'espère que tout le monde comprendra qu'un piratage peut ne pas être anodin.
Je précise que dans le cas de vols de données, le pirate a tout intérêt à se faire discret afin que le vol ne se voit pas, alors que dans le cas présent, le hacker a voulu qu'on voit son piratage, ce qui pourrait faire penser que ce qu'il visait, c'était l'exploit et non pas le vol. Ce midi, je ferai un autre message plus long pour expliquer précisément ce que je prévois de faire.