Un beau jour, je me suis rendu compte que le blog que vous lisez actuellement a été piraté par un hacker, N2N. Voici une capture de son œuvre :

hacked_n2n

Première chose à vérifier : les sous domaines. Ouf ! ils n'ont pas été touchés. Je pense logiquement à une faille dans dotclear qui aurait pu permettre au pirate de remplacer la page d'index du blog par la sienne. Après quelques recherches, il s'avère que la faille était beaucoup plus stupide que ça... En fait, j'avais placé sur mon site un espace de "partage" qui me permettait d'uploader n'importe quel fichier sur le serveur, pour pouvoir être partagé ensuite. Enfin n'importe lequel, non, il y avait quand même un filtrage basé sur l'extension de fichier. Enfin n'importe quel malin, dont N2N, peut contourner cette vérification en modifiant l'extension du fichier uploadé.

Resultat : une backdoor placée sur le serveur, qui permet entre autre de tout faire ! Accès aux BDD, parcours de tous les fichiers du serveur, etc... J'ai donc tout bonnement fait du gros ménage, à base de sauvegardes, copies et recherche de trucs bizzares. J'y ai trouvé plusieurs backdoors, dont une portait un nom très ironique : help.php...

Enfin, ce pirate n'est pas si méchant puisqu'à première vue, aucun fichier n'a été supprimé ou altéré sur le serveur. Les données hébergées n'avaient pas une importance capitale. Il s'agissait donc d'un simple avertissement : "protect your site man.." comme le dit si bien sa page d'accueil. La prochaine fois, je saurai que même un blog quasiment pas lu est susceptible d'être piraté.

N2N n'en était pas à son coup d'essai, à en juger par une simple recherche dans google

Si vous êtes vous aussi victime d'un de ces pirates, cherchez bien dans le serveur des données louches (grep sous linux est très utile pour cela).

Merci qui ?!