Logicielsmoto.com

Nous sommes le 28 Mar 2024, 23:31

Heures au format UTC + 1 heure




Poster un nouveau sujet Répondre au sujet  [ 5 messages ] 
Auteur Message
 Sujet du message: Le forum de Silicium hacke
MessagePosté: 10 Jan 2003, 08:26 
Hors ligne

Inscription: 06 Juin 2004, 08:23
Messages: 492
Peut etre vous ne l'avez pas remarque mais le forum de www.silicium.org a ete hacke hier matin.

Comme vous le savez peut etre pas, notre communaute Thomson a ete touchee aussi par des hackers il y a quelques temps. Serveur 87 en a ete la cible 2 fois a ma connaissance (tentative sur AOL, et destruction du site sur Multimania), et mon ancien site Thomson aussi (Tripod).

2 choses a debattre :

1- PHP est-il sur ? l'utilisation d'outils generiques tel que PHP Bulletin Board (moteur de forum utilise par Silicium) est-il une bonne solution ?

2- Est-il plus securise d'avoir un hebergement classique (Multimania, Wanadoo, AOL ... etc ...) ou son propre hebergement.

Des discussions que j'ai eu avec quelques uns d'entre vous a propos, voici mes reponses et commentaires.

<HR>

1- PHP semble etre vulnerable a des attaques d'apres Augustin. Mais quel produit internet ne l'est pas ? Meme Microsoft et ses millions de dollars de budget de programmation ne peut securise a 100% - qui peut l'etre alors ?

L'utilisation de scripts generiques et surtout populaires peut etre un reel probleme. PHP Bulletin Board (PHPBB pour les intimes) est tres populaire dans les differentes solutions de forums gratuits qui existent de nos jours. Ca le rend d'autant plus vulnerable qu'il est populaire car ces hackers vont chercher toutes les failles possibles. Un fois la faille trouvee, ils peuvent hacker en un clin d'oeil n'importe quel site utilisant ce type de forum. Utiliser un forum "fait-maison" (comme celui ci) presente moins de danger car moins populaire (pour ne pas dire unique ;)) donc, est moins expose dans ce sens, meme si il n'est pas probablement infaillible.

Jusqu'a maintenant, rien n'a ete tente dessus, fort heureusement. })

Des commentaires ?

<HR>

2- Est-il plus securise d'avoir son hebergement de site chez un fournisseur d'acces ou chez soi ?

Premierement, avec son propre hebergement impose beaucoup de contraintes. Il faut du materiel solide (tout depend bien evidement la charge d'activite imposee sur le serveur), une connection internet permanente et suffisament rapide, des competences techniques et surtout du temps. Ce serveur fonctionnant sous Linux avec un serveur Apache est surement vulnerable (evidement me dira Edouard [-( ). Ce serveur est cependant mis a jour toutes les semaines afin de reduire la probabilite de risque, mais comme dit precedement, le risque 0 n'existe pas. Comme tout le monde, ce serveur se fait attaquer plusieurs centaines de fois par des scripts automatiques, implantes dans les virus qui se trouvent parfois dans vos machines. Generalement, ces attaques ne concerne que les serveurs Microsoft de type IIS, donc n'ont aucun effet sur un serveur Linux tel que celui ci, si ce n'est de prendre quelques ressources et de remplir les logs :D Jusqu'ici, aucune tentative avec succes n'a ete enregistre depuis que le serveur est en route (presque 11 mois maintenant). Cependant, comme conseille par Edouard, ce serveur migrera vers une solution OpenBSD, concideree comme la plus sur du monde, et qui me prendra moins de temps a administrer. Pour prevoir une attaque ou une panne materielle, le site, la base de donnee et les centaines de logiciels et documents sont sauve tous les jours a 4 heures du matin heure francaise (pour ne pas vous gener). Un CD-ROM est grave a partir de la sauvegarde toutes les semaines afin de garantir au maximum une securite des donnees. :)

Lorsqu'on passe par un hebergeur tel que Multimania, AOL, Wanadoo, Free ... etc ... il faut savoir qu'ils sont la cible d'attaques permanentes, surtout AOL puisque tres mal vu dans la communaute pirate internationale. Cependant, cet etat de fait entraine que ces hebergeur depensent des sommes conciderables afin de se proteger. Des equipes (autant d'anciens hackeurs reconverti que d'administrateurs reseau performants) tournent 24/24 afin d'eviter les problemes.

Ca n'a pas empecher Hotmail de se faire hacker l'annee derniere, par un petit programme Javascript qui a agit comme un vers en envoyant les mails a tout le carnet d'adresse, et en extractant le mot de passe de chacun par la meme occasion. Hotmail desactive tout javascript dans ses emails depuis cette date. 0-)

A part ce genre de technique d'implenter un code dans un support dynamique qui accepte les entres (forum, mail ... etc ...), la faille chez de tels hebergeur tels que Multimania, AOL ... etc ... est souvent humaine comme le faisait remarquer Edouard. La psychologie est une arme de hackeur afin de retrouver un mot de passe, tout simplement en appelant la hotline et en se montrant assez convainquant. 0:-)

Voila, vos commentaires sont les bienvenus 0-)


Haut
 Profil  
Répondre en citant le message  
 Sujet du message: je pense que le webmaster
MessagePosté: 13 Jan 2003, 09:09 
Hors ligne

Inscription: 06 Juin 2004, 08:23
Messages: 492
ne pouvait pas modifier (pour une raison que j'igonore).

Il semble cependant que PHPBB ait ete re-installe, car le logo PHPBB a pris la place de l'ancien logo Silicium.

J'espere qu'ils n'ont pas tout supprime, car il n'y avait pas de quoi. Si le mot de passe du root etait perdu, il suffisait a la limite de monter le disque dur dans un autre linux/unix et virer le nouveau mot de passe.


Haut
 Profil  
Répondre en citant le message  
 Sujet du message: Forum Thomsonistes aussi
MessagePosté: 15 Jan 2003, 20:23 
Hors ligne

Inscription: 06 Juin 2004, 08:23
Messages: 70
Le forum Thomsonistes complément à la mailing vien de voir le jour.
http://thomsonistes.free.fr/forumbb/index.php


Haut
 Profil  
Répondre en citant le message  
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 5 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
cron
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com