Utilisateur de galleries Flash : PRUDENCE !

Discussion dans 'Web, design' créé par kaRma, 27 Avril 2007.

Statut de la discussion:
Fermée.
  1. Offline
    kaRma Drink Fast Corp.
    Je vais vous compter la mésaventure qu’il est arrivé hier à mon site MXV.be.
    Tout commence par une page blanche indiquant :
    Forbidden
    You don't have permission to access / on this server.

    Je contacte mon hébergeur (infomaniaks.ch) qui m’indique :

    “Hier soir, nous avons du suspendre le site mxv.be suite à une plainte fondée au sujet de phishing.
    Il s'est avéré que les fichiers suivants sur votre hébergements sont des scripts utilisés afin de faire du phishing […]
    Nous aimerions donc savoir comment vous avez mis ces fichiers en ligne, ou qui est-ce qui les a mis en ligne. Votre site ne sera pas débloqué tant que nous aurons pas clarifié ce problème.”

    Il s’agissait de fichier provenant de la plateforme FIG, Flash Image Gallery ainsi que ImageVueX.
    En effet, un petit malin s’est amusé à uploader un fichier servant à faire du phishing.

    Wikipédia nous dit que “L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.”

    Vous comprennez donc que j’étais dans la merde (comme on dit…)

    Bref à tout ceux qui utilisent FIG ou ImageVueX, faites attention, il y a une faille dans les fichiers upload.php qui permet à un hacker d’uploader ses scripts malveillants sur votre FTP à votre insu et de les utiliser.

    Confirmation par les dires du support technique d’Infomaniaks.ch :
    “Le script /imgvue/admin/upload.php est notamment responsable de l'upload de fichiers
    sur le site.”

    N’oubliez pas que :

    “Il ne faut jamais laisser un script non utilisé sur un serveur, il suffit qu'il ait une faille et voila ce qui arrive.
    Je vous rappelle que vous êtes responsable des scripts que vous mettez sur le serveur donc il est indispensable de controler que les script que vous mettez en ligne sont sûrs.
    Si cela venait à se reproduire nous serions dans l'obligation de résilier votre hébergement, ce que nous ne désirons évidement pas.”


    Soyez prudent et sortez couvert !
    kaRma, 27 Avril 2007
    #1
  2. Offline
    Loki Insane God
    Ben pas de bol sur ce coup là :-(

    Tu devrais quand même pas avoir trop de problème si la faille est prouvée non?
    Loki, 27 Avril 2007
    #2
  3. Offline
    kaRma Drink Fast Corp.
    Ué non mon site est de retour et j'ai expliqué que je n'étais pas en mesure de prouver la fiabilité d'un script (et je pense que la majorité d'entre nous en est incapable également)...
    Je n'ai jamais pensé un quart d'instant que ce genre de script etaient susceptibles de me nuire ... (limite qu'un équivalent à la sabam viennent gueuler parce que j'ai mis des mp3 sur un ftp accessible a tous : d'accord, mais la je n'ai pas pu le voir venir ...)

    En plus ici , c etait des versions test qui ont été "hackée", le mot de passe etait celui par défaut et tout... Mais bon vu que c etait qu'un test sur un sous compte de l hebergeur, on a jamais pensé que ca pouvait nuire a ce point :-(

    bref c'est rentré dans l'ordre mais c est quand meme chaud du boudin :-(
    Imagine j ai une deuxieme fois la blague, chuis caisse ...

    Enfin heureusement ils sont sympa chez infomaniaks (puis bon chuis un "bon" client)

    Jpense jt'avais passé imagevuex Loki, fait donc gaffe aussi (si y a des clampins qui arrivent sur mon blog, ils peuvent arriver partout ...)
    kaRma, 27 Avril 2007
    #3
  4. Offline
    spinerz Touriste
    merci du conseil :-9 ;)
    ps : au passage, tres beau/bon blog ;)
    spinerz, 27 Avril 2007
    #4
  5. Offline
    Loki Insane God

    Content de voir que c'est rentré dans l'ordre!

    Yep sur tes conseils j'avais testé la chose.. très beau module flash mais payant donc au final je me suis crée une petite gallerie perso. Moins de fonctions mais ca me suffit.
    Loki, 27 Avril 2007
    #5
  6. Offline
    PiaFlalCoOl NiuAge
    Merci pr l'avertissement, c'est un bug connu ?

    Et sinon, c'est galerie, pas gallerie ;)
    PiaFlalCoOl, 27 Avril 2007
    #6
  7. Offline
    kevz BF3 ?
    Merci

    chez nous (be-dance) on utilise sa
    kevz, 3 Mai 2007
    #7
  8. Offline
    II phl II Touriste
    Étant le principal responsable de cette mésaventure, je m'excuse encore Max :oops:

    Pour info, je n'avais pas laissé le pass par défaut dans FIG, je suppose qu'il y avait bien une faille pour passer outre la vérification login/password :pfiou:

    Content que tout soit rentré dans l'ordre :proud:
    II phl II, 5 Mai 2007
    #8
Statut de la discussion:
Fermée.