Hack du site

NEWS : A-U_Flash News

Modérateurs: Modérateurs, Newseurs

Hack du site

Messagepar AU_bot » 24 Août 2012, 00:39

Bonsoir,
Encore une fois une mauvaise nouvelle. Le site s'est fait hacker via une injection SQL, le hacker a modifié les news puis m'a envoyer un mail avec la faille indiqué. Il n'a pas précisé ces intentions, il a eu par conséquent la possibilité de récupérer les informations utilisateurs présente sur le site.

Les mots de passés était cryptés, mais si ces derniers n'était pas suffisamment sécurisés (majuscule, minuscule et chiffre), un risque existe qu'il ai pu être volé. Il est donc très conseillé de changez le mot de passe sur le site et de le modifier partout ailleurs.
Avatar de l’utilisateur
AU_bot
'Spèce de Gros Bot
 
Message(s) : 10532
Enregistré le: 30 Mars 2008, 22:30

Re: Hack du site

Messagepar mjeff » 24 Août 2012, 00:45

Voui que dire ^^ on est les premiers concernés par les lois acta et compagnie, donc je vois pas trop pourquoi cette image a été insérée. Bref voilà les séries sont à nouveau disponibles, bon matage :)
Bienvenue sur Anime-Ultime!
Image
Welcome! If you have any questions regarding the site, please send me a pm!
Avatar de l’utilisateur
mjeff
Terreur Ultime
 
Message(s) : 8333
Enregistré le: 14 Déc 2005, 23:21
Localisation : Au bord de l'eau

Re: Hack du site

Messagepar vectorraptor » 24 Août 2012, 01:08

Il sont rien d'autre a faire que hacker des site mais au moin il a été gentil =O je penses pas que le prochain sois aussi clément =S

PS:metter des système de défense 3.0 "Tourelle, puits de lave, garde du corps ,etc ^^" j'ai pas envie de perdre se site avec une si belle communauté =D

PSS:Continuer comme sa vous faite du bon bouleau =3
Club:
Spoiler: Voir
Image
Avatar de l’utilisateur
vectorraptor
Habitué(e)
 
Message(s) : 70
Enregistré le: 18 Août 2012, 13:43
Localisation : Canada - Montréal

Re: Hack du site

Messagepar nalla2512 » 24 Août 2012, 01:12

et ben je suis étonner j' aurai pas cru que AU avait des ennemi faut deja être con pour hacker AU enfin j'esper que tous ira bien pour vous qui faite un merveilleux travail
Avatar de l’utilisateur
nalla2512
Petit leech
 
Message(s) : 10
Enregistré le: 19 Avr 2012, 07:43

Re: Hack du site

Messagepar l'accro » 24 Août 2012, 01:13

C'est clair que niveaux secu le site n'est pas aux top :/
Mais de la à faire l'injection pour te prévenir uniquement par la suite c'est un coup de *****, surtout que ce n'est pas un site qui fait venir des "rageurs" voulant à tous prix nuire aux utilisateurs du site/forum ....

Personnellement je comprends pas du tous cette acte est totalement inutile ....

PS : les pass c'est du MD5 normalement il ne devrais pas avoir de souci mais bon (edit je me suis trompé)
si il a eux accès à la Bdd .... c'est mauvais quand même, fraudais voir pour sécurisé un peux tous ça, quitte à engager une personne compétente'
Modifié en dernier par l'accro le 24 Août 2012, 01:35, modifié 1 fois.
Avatar de l’utilisateur
l'accro
Résident(e)
 
Message(s) : 191
Enregistré le: 02 Mars 2012, 04:28

Re: Hack du site

Messagepar ryoku » 24 Août 2012, 01:25

Un jour viendra une nouvelle version, mais pour le moment il faut faire avec celle-ci
Pour les pass, c'est du sha1, mais avec des dictionnaires on peut en retrouver.

Donc mot de passe et addresse mail, sinon pour le reste il n'y a rien de sensible.

EDIT ; Ah ben tiens notre hacker viens de lire ce sujet.
Image
Avatar de l’utilisateur
ryoku
Divinité Ultime
 
Message(s) : 1690
Enregistré le: 13 Déc 2005, 22:51

Re: Hack du site

Messagepar proleon » 24 Août 2012, 01:27

Peut être qu'il voulait vous aider en vous indiquant où renforcer les fails, je viens de passer 1h sur wiki à comprendre tout ce charabia est c'est ENORME ce que j'ai appris lol.
Donc pour plus que ça ce reproduise faut Utiliser des procédures stockées, à la place du SQL dynamique. Les données entrées par l'utilisateur sont alors transmises comme paramètres, sans risque d'injection.
proleon
 

Re: Hack du site

Messagepar l'accro » 24 Août 2012, 01:33

@ryoku, ha autant pour moi je pensais à du md5 (le plus courant)
ps: il est assé inconscient pour se connecté avec ça vrais IP ?

@proleon, dans ce cas pas besoin de modifier les news .... il aurais juste pu send le mail
Avatar de l’utilisateur
l'accro
Résident(e)
 
Message(s) : 191
Enregistré le: 02 Mars 2012, 04:28

Re: Hack du site

Messagepar ryoku » 24 Août 2012, 01:41

J'ai eu une réponse de sa part concernant ces motivations :
En réponse à votre article, je peux vous assuré que mes intentions ne sont pas mauvaises, j’apprécie votre site donc mes actions sur celui-ci sont terminées.

Mon but n'était pas de nuire au site mais plutôt de renforcer sa sécurité et le rendre moins vulnérable aux possibles attaquants malveillants.
Je vous conseil donc d'utilisé html_entities et mysql_escape_string sur toutes les variables GET/POST de votre site.


Donc je ne pense pas qu'il soit malintentionné au final, et il est vrai qu'il a déjà regarder des épisodes sur le site.
Effectivement il a utilisé sa véritable addresse IP, du coup j'ai pu recouper et retrouver toutes les informations sur cette personne (même son identité)

Pour la faille en question, une stupidité de ma part. j'escape tout normalement, mais j'ai mal écrit la ligne qui servait à protéger les données. (un if is_numeric avec une inversion de condition...).
ça me rappelle que j'avais codé cette radio à la hâte (2 semaines quand j'étais encore lycéen à bosser jour/nuit), 5 ans après on voit le résultat xD

Pour la coupure, suite au hack, j'ai tout couper le temps de bien tout vérifier et voir les informations possiblement volés.
Image
Avatar de l’utilisateur
ryoku
Divinité Ultime
 
Message(s) : 1690
Enregistré le: 13 Déc 2005, 22:51

Re: Hack du site

Messagepar l'accro » 24 Août 2012, 01:49

Ha ok, temps mieux d'un coté il n'est pas "malfaisant" c'est le principal ^^

Pour la radio une des erreurs de jeunesse on va dire xD

Pour la coupure oui je m'en doutais un peux, en final pas eux trop de casse c'est l’essentiel, sur ce bonne continuation et niveaux secu ouai pour la prochaine version ^^
Avatar de l’utilisateur
l'accro
Résident(e)
 
Message(s) : 191
Enregistré le: 02 Mars 2012, 04:28

Re: Hack du site

Messagepar vectorraptor » 24 Août 2012, 02:13

Tant mieux j'aime bien les personne comme sa il en faudrer plus ^^
Club:
Spoiler: Voir
Image
Avatar de l’utilisateur
vectorraptor
Habitué(e)
 
Message(s) : 70
Enregistré le: 18 Août 2012, 13:43
Localisation : Canada - Montréal

Re: Hack du site

Messagepar proleon » 24 Août 2012, 02:54

Lol je connais pas grand chose sur le sujet mais sinon vous ne pouvez pas changer votre systeme antiboot pour poster un message car il est vraiment long à taper.
proleon
 

Re: Hack du site

Messagepar Processus42 » 24 Août 2012, 03:20

Je suis désolé, mais je vais m'en prendre à toi l'accro...

l'accro a écrit:Mais de la à faire l'injection pour te prévenir uniquement par la suite c'est un coup de *****, surtout que ce n'est pas un site qui fait venir des "rageurs" voulant à tous prix nuire aux utilisateurs du site/forum ....
Personnellement je comprends pas du tous cette acte est totalement inutile ....

Tu sais ce qu'est un White Hat ?

l'accro a écrit:PS : les pass c'est du MD5 normalement il ne devrais pas avoir de souci mais bon

Désolé de te dire que le MD5 n'est plus d'actualité depuis longtemps

l'accro a écrit:C'est clair que niveaux secu le site n'est pas aux top :/

D'après ce que je viens de lire, je doutes que tu puisses réellement constater ça.

l'accro a écrit:fraudais voir pour sécurisé un peux tous ça, quitte à engager une personne compétente'

Je penses que Ryocu est suffisamment compétent.


Sinon, c'est bizarre qu'il propose un html_entities et un mysql_escape_string. Je comprendrai bien pour le mysql_escape_string, parce que vu l'ancienneté du site, je doute qu'il tourne en PDO (Même si mysql_real_escape_string est meilleure car elle permet d'utiliser le charset de la BDD), mais je ne comprend pas trop le html_entities. htmlspecialchars est moins gourmande (Par rapport au trafic) et suffisante (Par rapport à la sécurité) non ?
Avatar de l’utilisateur
Processus42
Administrateur IRC
 
Message(s) : 147
Enregistré le: 15 Avr 2012, 22:21

Re: Hack du site

Messagepar l'accro » 24 Août 2012, 10:39

coco271 a écrit:Tu sais ce qu'est un White Hat ?

Oui je sais ce qu'est un white hat, et je connais leurs buts principal, j'ai juste dis qu'il n’était pas obliger de changer la news du forum ..
coco271 a écrit:Désolé de te dire que le MD5 n'est plus d'actualité depuis longtemps

Le MD5 plus d’actualité ? :rire: il est encore énormément utilisé, si pas plus que le sha1 on peux en débattre longtemps encore sur le sujet.

coco271 a écrit:D'après ce que je viens de lire, je doutes que tu puisses réellement constater ça.

Ta lu quelques phrases de moi et tu pense me connaitre ?

coco271 a écrit:Je penses que Ryocu est suffisamment compétent.

Il y a toujours meilleurs que soit, et je n'ai jamais dis qu'il était incompétent, juste d'engager une personne avec de réel connaissances avancé dans le domaine de la sécurité web.
Ps: si t'a quelque chose à me dire les MP's son là pour ça pas là peine de continuer à discuter sur un sujet de l'équipe.
Avatar de l’utilisateur
l'accro
Résident(e)
 
Message(s) : 191
Enregistré le: 02 Mars 2012, 04:28

Re: Hack du site

Messagepar nightwear » 24 Août 2012, 13:47

Moi je dit que heureusement que se soit une bonne personne qui est trouvais cette faille qui a était négligé par le passé maintenant on peut se sentir un peut plus en sécurité moi je dit que la personne ayant hacké le site nous a aidé dans un sens bien que le résultat visible ai été une coupure générale :rire:
Image
"Voir l'éternité par dessus l'épaule du shinigami ."
Spoiler: Voir
Image
ImageImage

Merci a tous le monde pour les roses ^^
"Long Time My Friend" "Save You From Anything"
Avatar de l’utilisateur
nightwear
Célébrité
 
Message(s) : 1442
Enregistré le: 30 Avr 2012, 13:09
Localisation : La ou mon Destin me conduit !!

Re: Hack du site

Messagepar Megumie » 24 Août 2012, 17:23

J'ai tout changer et j'ai mis un mot de passe de malade ^^
Merci du renseignement surtout que j'ai pas trop envie de me faire hacker alors que je viens d'arriver -_-
Maiiiiis bon y a des imbéciles partout on y peux rien x)
Image Image
Spoiler: Voir
Image
Avatar de l’utilisateur
Megumie
Habitué(e)
 
Message(s) : 58
Enregistré le: 21 Août 2012, 06:58
Localisation : Pandaemonium

Re: Hack du site

Messagepar Jaw » 24 Août 2012, 20:07

Voila au final... plus de peur que de mal... ce hacker n'est rien d'autre qu'un Otaku comme nous tous et à mon humble avis si je connaisais son identité je lui adresserais personnellement un merci pour "veiller" en quelque sorte sur la sécurité du site AU... :vi:
Image
Mort au bout du chemin...
Spoiler: Voir
rose je-te-l'offre-contre-ta-volonté par Yanashi
rose kawaii/ rose club d'entraide par willystorm77
rose de l'envol par Milla Maxwell
rose de la destiné/ rose tu a fail/ rose de l'espoir par nightwear
rose hum...zzzzZZZZzzzz par Andalex
rose du sacrifice par Harmonie

Spoiler: Voir
ImageImage
Avatar de l’utilisateur
Jaw
Habitué(e)
 
Message(s) : 53
Enregistré le: 28 Juil 2012, 20:06
Localisation : En Sologne je suppose...

Re: Hack du site

Messagepar iNobody » 24 Août 2012, 20:38

Mouais, il a très bien pu sortir cette excuse pour pas avoir d'ennuis si vous voulez mon avis..
Enfin, notre site est saint et sauf, c'est l'essentiel.
Image
« L'avantage quand on est intelligent c'est qu'on peut toujours faire l'imbécile, alors que l'inverse est totalement impossible. »
Woody Allen

Spoiler: Voir
Bouquet V2
Une Rose Rébellion by Harmonie
Une Rose Apprenti Musicien by Hibarisan
Une Rose Du Téméraire by Darkgueg
Une Rose EADMRDC by Djenaoh
Une Rose SAO by Andalex
Clubs
ImageImage
Avatar de l’utilisateur
iNobody
Célébrité
 
Message(s) : 1176
Enregistré le: 25 Avr 2012, 13:37
Localisation : Omniprésent

Re: Hack du site

Messagepar Anas » 24 Août 2012, 20:39

Y'a pas mal de fautes dans la news (ce qui est assez inhabituel).
J''me fais taper si je le dis ? :)

Pour le reste je viens sur AU depuis un certain temps et j'ai vu le site prendre une ampleur assez impressionnante depuis la fermeture de MU.
Les risques grandissent avec la popularité.
Au final il a permis de renforcer le site et peut-être d'éviter une plus grosse coupure donc tant mieux.

Merci au staff pour le travail fourni au passage <3
Anas
 

Re: Hack du site

Messagepar mangakam » 24 Août 2012, 20:51

Y'a pas mal de fautes dans la news (ce qui est assez inhabituel).
J''me fais taper si je le dis ? :)


La news a etait écrit a 1 h30 du mat donc voila
Avatar de l’utilisateur
mangakam
Ecchi master
 
Message(s) : 6080
Enregistré le: 30 Mars 2011, 21:04
Localisation : Charente Maritime

Suivant

Retour vers Nouvelles

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité