![\"\"](\"http:\/\/jerome.harckmans.be\/wp-content\/uploads\/2010\/04\/apache_logs1.png\" "\\"apache_logs1\\"")
<\/a><\/p>\nOn voit que le hacker (provenant apparemment du Br\u00e9sil<\/a>) a utilis\u00e9 une faille joomla<\/a> permettant de remettre \u00e0 z\u00e9ro le mote de passe de l’administrateur et gagner ainsi l’acc\u00e8s \u00e0 l’interface d’administration.<\/p>\n Il a ensuite profit\u00e9 de cet acc\u00e8s pour uploader un ou plusieurs fichiers:<\/p>\n Finalement, on voit plusieurs centaines d’acc\u00e8s aux fichiers upload\u00e9s:<\/p>\n On voit \u00e0 la fin qu’il est revenu vers 10:50 pour continuer son attaque mais \u00e0 ce moment le site \u00e9tait bloqu\u00e9, d’o\u00f9 l’erreur 403.<\/p>\n Au moins 4 fichiers ont \u00e9t\u00e9 upload\u00e9s:<\/p>\n On peut voir qu’il a \u00e9t\u00e9 d\u00e9velopp\u00e9 \u00e0 l’origine par la “communaut\u00e9 FeeLCoMz”<\/a> et qu’il se connecte au serveur irc irc.maisbrasil.org<\/em>, sur le chan #RUAN<\/em> et qu’il permet aux utilisateurs D4RK<\/em> et FaTaLisTiCz_Fx<\/em> de le contr\u00f4ler. Il permet entre autres de lancer des scans pour trouver d’autres sites vuln\u00e9rables (Joomla ou autres) et plein d’autres choses pas tr\u00e8s l\u00e9gales… C’\u00e9tait lui le resonsable de la connexion sur le port 6667.<\/p>\n Les fichiers qui ont pu \u00eatre r\u00e9cup\u00e9r\u00e9s ont \u00e9t\u00e9 transf\u00e9r\u00e9s sur une machine virtuelle afin de les tester. Un serveur IRC tourne \u00e9galement sur cette machine et le bot sera configur\u00e9 pour s’y connecter.<\/p>\n Voici \u00e0 quoi ressemble le script c99.php<\/em> une fois upload\u00e9:<\/p>\n Quand je vous disais que c’\u00e9tait potentiellement d\u00e9vastateur \ud83d\ude42 On peut donc l’utiliser pour lancer le bot irc:<\/p>\n Et voici le r\u00e9sultat dans le chan sp\u00e9cifi\u00e9: une fois le bot connect\u00e9, on peut lui envoyer des commandes.<\/p>\n En vrac:<\/p>\n http:\/\/en.wikipedia.org\/wiki\/Remote_File_Inclusion<\/a> C’est toujours d\u00e9sagr\u00e9able de d\u00e9couvrir le matin que sa mailbox contient plus de 4000 mails “Undelivered Mail Return to Sender”… Le premier r\u00e9flexe est de se dire qu’on a \u00e9t\u00e9<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[3,6],"tags":[154,155,156,153,73],"_links":{"self":[{"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/posts\/513"}],"collection":[{"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=513"}],"version-history":[{"count":21,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/posts\/513\/revisions"}],"predecessor-version":[{"id":516,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=\/wp\/v2\/posts\/513\/revisions\/516"}],"wp:attachment":[{"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jerome.harckmans.be\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}<\/a><\/p>\n<\/a><\/p>\nFichiers upload\u00e9s<\/h3>\n
\n
<\/a> <\/a><\/p>\nUtilisation sur VM<\/h3>\n
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\nConclusion<\/h3>\n
\n
Plus d’infos<\/h3>\n
\nhttp:\/\/www.zataz.com\/forum\/index.php?autocom=blog&blogid=1&showentry=24<\/a>
\nhttp:\/\/www.martinsecurity.net\/tag\/rfi\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"