Le 20.01.2009
Les (mé)faits
1) Le samedi
10.01.2009 : crash du perso128 chez Free
Le disque du serveur hébergeant slaxlfi.free.fr rend
l'âme. Le service pagespersos de Free ne réalise pas de
sauvegarde, pas de problème, j'en ai une et la BDD n'est pas
touchée. Je me résouds donc à transférer en
catastrophe le site chez 1and1 où j'avais pris soin de
réserver le domaine slaxlfi.fr l'an dernier.
Je ne sais pas pourquoi, mais j'ai comme un pressentiment: je
décide d'enlever presque toute l'interactivité du site
(espace
membre et forum, reste le formulaire de contact).
2) Le vendredi 16.01.2009 : piratage du site chez 1and1 (phishing)
1and1 me prévient par mail que le site www.slaxlfi.fr
héberge une page de phishing. Joomla 1.0.10 est en cause, tout
ça est un peu ma faute, voilà longtemps que je n'avais
pas patché le site...mais bon, 3 ans de tranquilité,
ça endort.
Je patche donc le tout (en 1.0.15) après avoir nettoyé
les pages incriminées. Bien que ce ne soit pas la toute
dernière version de Joomla, la faille qui a occasioné le
phishing aurait été corrigée par la 1.0.13, c'est
à mon avis suffisant.
Lundi 19.01, je décide d'analyser les logs apache.
En voici un extrait, concernant les requêtes POST (souvenez-vous,
j'ai désactivé tous les formulaires...) :
logs apache - attaque du 16.01
On y voit clairement des adresses de Suisse, Indonésie, Tunisie,
Nigeria, Australie utilisant le forum pour uploader des scripts
hostiles dont le c99 semble être une rolls du genre.
Visiblement, la page de phishing était une page paypal.
Je désinstalle complètement le module de forum.
Par contre, je n'y fais pas attention, mais les attaques ont
commencé avant et continué après le 16 (mon
extraction était un truc
du style cat log | grep 16/Jan/2009 | grep POST)
Grossière erreur...
3) Le lundi
20.01.2009 : repiratage, toujours phishing
1and1 me prévient à nouveau d'un problème de
phishing.
Voici les logs de l'activité (toujours en POST) ce jour
là :
logs apache - attaque du
20.01
Le quece(con)fait?
Eh bien, plus rien.
Pendant quelques jours, j'ai été bien malgré moi responsable de faits pouvant donner lieu à des suites judiciaires.
Pourtant, le projet Slax-LFI n'aspirait qu'à être un
liveCD sympa plutôt orienté dépannage/clonage
"facile".
Il avait trouvé son public, semblait tourner à 800
téléchargements par mois, avec peu de retours
négatifs, preuve qu'il avait certainement sa place dans le
paysage des RescueCD.
Je n'ai malheureusement plus, actuellement, l'énergie pour faire
évoluer tout cela, surtout pour les à-cotés
(maintenance et animation du site, réponses aux mails).
De plus, je ne souhaite pas assumer la responsabilité d'autres
faits que ceux évoqués plus haut.
Je ne suis pas sûr que le wiki, qui constitue maintenant la doc
officielle, reste en place, toujours pour des raisons de
sécurité (quelle faille avec DokuWiki?).
Sauf nouvelle énergie pour rebatir, le site ainsi que le CD sont
donc appelés à mourrir d'eux-mêmes.
Merci à tous ceux qui ont donné un signe d'encouragement
sur le parcours.
Cédric (slaxlfi_chez_free_point_fr)