[spip-dev] faille à spam !!!

Loiseau2nuit · Août 21, 2010, 8:03

Hello,

Je relaye ici parce que je pense qu’il y a quelque chose à faire très très vite :

Voila ce qu’on semble pouvoir faire avec un spip lorsque l’on a quelque compétences en hacking et/ou référencement “borderline”

http://www.droit.univ-paris5.fr/cddm/garde.php?rubrique133=502

Apparement le spip incriminé est un 2.0 en révision 13982

J’ai trouvé ça sur un blog de SEO “Black Hat” mais je ne sais pas du tout comment ce truc a été rendu possible (et bien évidement le lascard n’a pas forcément envie d’expliquer sa méthode)

Le pire, c’est que je ne suis même pas sûr que le webmaster du site soit au courant qu’un spammeur a hébergé sa boutique chez lui !!!

Je ne suis pas expert en sécurité mais je pense qu’une battue s’impose là :-/

fil · Août 21, 2010, 8:22

http://www.droit.univ-paris5.fr/cddm/garde.php?rubrique133=502

si tu regardes les entetes cette page n'est pas servie par SPIP :

Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.7l DAV/2
PHP/5.2.10 mod_jk/1.2.23
WWW-Authenticate: Basic realm="racine_web"
X-Powered-By: PHP/5.2.10
MS-Author-Via: DAV
Keep-Alive: timeout=15, max=499
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8

contrairement à la page d'accueil par exemple. De plus, si tu vas sur
la page (SPIP) http://www.droit.univ-paris5.fr/spip.php?article241, tu
vois que le menu spip n'a pas été pourri de viagra.

En revanche si tu vas sur http://www.droit.univ-paris5.fr/cddm/ tu
vois un phpnuke, qui a la même signature que cette page.

A mon sens c'est plutôt le phpnuke qui a été hacké, mais avec une
reprise d'une page au design spip.

-- Fil

Loiseau2nuit · Août 21, 2010, 8:29

2010/8/21 Fil <fil@rezo.net>

http://www.droit.univ-paris5.fr/cddm/garde.php?rubrique133=502

si tu regardes les entetes cette page n’est pas servie par SPIP :

Date: Sat, 21 Aug 2010 08:15:03 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.7l DAV/2
PHP/5.2.10 mod_jk/1.2.23
WWW-Authenticate: Basic realm=« racine_web »
X-Powered-By: PHP/5.2.10
MS-Author-Via: DAV
Keep-Alive: timeout=15, max=499
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8

contrairement à la page d’accueil par exemple. De plus, si tu vas sur
la page (SPIP) http://www.droit.univ-paris5.fr/spip.php?article241, tu
vois que le menu spip n’a pas été pourri de viagra.

En revanche si tu vas sur http://www.droit.univ-paris5.fr/cddm/ tu
vois un phpnuke, qui a la même signature que cette page.

A mon sens c’est plutôt le phpnuke qui a été hacké, mais avec une
reprise d’une page au design spip.

– Fil

Bon ben désolé mais je vais devoir répondre ici, je me suis fait rejeter par spip-team …

L’article qui m’a permis de trouver ça : http://www.deliciouscadaver.com/viagra-cialis-utiliser-la-puissance-des-spammeurs-chimiques.html

Le ton de cet article, et la réponse un peu « spé » de l’auteur du billet me laisse à penser que c’est tout de même à la base une faille de SPIP qui a permis d’installer le PhpNuke (et entre nous, quel intérêt pour une université de fire cohabiter un SPIP et un PhpNuke, d’autant que sauf erreur de ma part, PhpNuke est devenu payant)

Je ne connais pas assez le logiciel dont il est question, XRummer, pour savoir s’il est capable de ça mais vu ce que j’en ai lu (et pu voir lors de certains concours SEO borderline) ca ne m’étonnerait pas du tout…

J’essaie de me renseigner en paralèlle. Affaire à suivre…

fil · Août 21, 2010, 8:35

Bon ben désolé mais je vais devoir répondre ici, je me suis fait rejeter par
spip-team ...

tu n'as pas besoin d'être membre pour y poster un message

L'article qui m'a permis de trouver ça :
http://www.deliciouscadaver.com/viagra-cialis-utiliser-la-puissance-des-spammeurs-chimiques.html

Le ton de cet article, et la réponse un peu "spé" de l'auteur du billet me
laisse à penser que c'est tout de même à la base une faille de SPIP qui a
permis d'installer le PhpNuke

Ah ça c'est autre chose en effet. Enquête à poursuivre !

-- Fil

Bertrand_Marne · Août 21, 2010, 8:37

Le phpnuke a l'air ancien, c'est sans doute l'ancienne plateforme
d'édition remplacé par Spip et qui contient des archives et des trous
de sécurité béants. Non ?

Gregoire · Août 21, 2010, 9:06

Bonjour,

on peut changer le dernier numéro dans l'url, tant qu'il reste
supérieur à 99, on tombe sur une nouvelle page.

http://www.dr[...]/garde.php?rubrique133=100

C'est quoi garde.php ???

A bientôt
Grégoire

epilibre · Août 21, 2010, 9:43

Bon, avec un peut d’analyse, ce n’est pas du tout une faille SPIP :

le fichier garde.php est simplement un fichier pseudo-statique qui ne fait qu’insérer dynamiquement du contenu dans le menu et le corps de la page, en reprenant le code HTML de la page d’accueil.

Le hackeur a fait un petit effort pour garder une indentation dans le code inséré (ligne 130), sauf que :

il n’a pas utilisé les tabulations contrairement aux
avant et après
les lignes blanches entre deux
ont toutes 12 tabulations, alors que celle avant son code est vide
les différents éléments du menu qui sont insérés sont à la suite (sans retour à la ligne)

Le script n’est pas généré par phpNuke, qui est installé dans le sous-répertoire, vu que c’est trop une page statique sans aucun template dynamique.

Bref le fichier a été uploadé à la racine de l’installation de phpNuke certainement par ce dernier ou un formulaire d’upload qui soit mal sécurisé.

Bref rien à voir avec SPIP.

.Gilles