OVH Community, votre nouvel espace communautaire.

Piratage ?


Dormeur74
28/01/2012, 06h40
Merci fritz2cat, tu m'as sauvé en me parlant d'une application "Guestbook" hébergée sur un 60gp. Sur les 14 sites que je gère chez OVH, un seul avait un livre d'or sur un 60gp non protégé par une session. En fait, il s'agissait d'une boîte à échos qui se trouvait dans la partie privée d'un site associatif. Les autres sont sur des .perso, des .start, etc.

Bel exemple d'injection. J'aimerais bien savoir quel est l'enf.... qui s'est amusé à ce petit jeu.
fritz2cat
27/01/2012, 21h00
Bonjour,

Désolé pour la réponse un peu tardive.

Ce message semble effectivement provenir d'une application "Guestbook" hébergée sur un 60gp.

Si tu possèdes un tel hébergement avec une application de livre d'or, considère celle-ci comme vulnérable. Il faut la mettre à jour ou l'effacer.

Si tu n'as pas de tel hébergement, la ligne
bounce-id=d024=u2013.60gp.ovh.net=1327435069347117741@50. mail-out.ovh.net
permet à OVH d'identifier le client et l'hébergement qui se fait abuser.

Enfin un bout d'explication sur la ligne
From: , mia@inbox.com
Je parie à 99,9% que le pirate qui a injecté un mail dans le formulaire a indiqué "From: Tina Mia@inbox.com" ... mais ce blanc dans une adresse e-mail a provoqué un comportement irrationnel (mais qui respecte le protocole).

Frédéric
Dormeur74
25/01/2012, 10h43
Je n'ai rien compris à pastbin.com, sauf que c'est Uniblue qui se trouve derrière et que je suis moyennement satisfait de la façon de "réparer" les bases de registre déclarées "corrompues".

J'ai collé sur pastbin.com l'en-tête du dernier message reçu. La soumission m'a donnée une copie conforme de ce que j'avais collé, à savoir :
From Tina@60gp.ovh.net Sun Jan 22 06:05:54 2012
X-Apparently-To: bla...bla@yahoo.fr via 212.82.110.232; Wed, 25 Jan 2012 00:44:15 +0000
Return-Path:
Received-SPF: none (domain of 50.mail-out.ovh.net does not designate permitted sender hosts)
dXAgdGhlIGdvb2Qgd29yay4BMAEBAQE-
X-YMailISG: 0txZ_c4WLDv902_F7OOfz_GAHobFXZDBHZ_Zo.oIQGTvqsGw
OBAqPAhgoTUeXEWJjHnYQEpGqBvjIs0BtJnBzTrWNtimUm473Q _Sg02KcemG
4c7D_ASSPHS3YLioDumZAs4uxu5.o24R1KLpXpsalRoxWbG_gN B1R3ItMgcQ
NNbAxcvZYQy1g1dYIBmGMrkRskjRHcFNiPSz0mbWU4T0oHLb_D SMKKURziyh
P5xbp6XgsK4w4K.iEyONVtKoCAGHups1S.QcWvFIhEsTwInxde kvZ0lsEGKx
THI0ajdyK3CWmXfx5NU_O9_k2wnkPe32TBrGRPaN8UMuKLHV5v .Qfoh8v6Ah
ngPO2kJQBH2.cXP03WPF6pPOOq63fJD2MtxNCwNXt2pXURO.bx qMtSIcDdVk
GRo47Vp.hy.DuCglvC9MZnnhPrbZqtOXOjpTpqQJAJJ_1g0xVo dv2VR0Jc3E
qcpkc4fd0dGVnP_1YNh5qB_AdqJgEMIUP0uk25ilDqzApV700z DP.GfGKNzl
L54UfwqfcR5pBf4HbTLSH23.aFTgGSUKaF39MJlu24.h6Xp15n NFmvPUHMfF
dFqi6s00Jh4J8QG2vMrxTE.FsLQC_xafrnX627cVyQ8MkAzA5b kCRw3w46yp
sShI5.cYC0DfUm29opd.lOH72xjmttWM_LAeYYdNQcX.4v.E02 FFrEejQV.E
ofNyOsRSvLbQihINX4CydDJLPzH50Odn0gccc0Inp0X45LxxCU 6eeD06eZ9s
Kx8lYn75B4UvhxHJscd6DN_4TB6.V6dgv9WomCMoKPAPwawJup NeroLSwH16
GHOHqyYaNztoPFlAd5DRG1KNsgrITRoW0W29lHtjwxSb_Ua8VC JM2rOG5lrc
YreZVbNjygnI4IAqhVYAnmLDkn2hz0l0pXJcmsJT9pk27_Pige Fg7WUi9P8J
4V4UlRq070FMa7Kkvj.vQp470jFD00Wb.9HeO8vM7PvKzpWHBR xyX4nk2JaV
4_2EqYU-
X-Originating-IP: [188.165.45.9]
Authentication-Results: mta1026.mail.ird.yahoo.com from=; domainkeys=neutral (no sig); from=60gp.ovh.net; dkim=neutral (no sig)
Received: from 127.0.0.1 (HELO 50.mail-out.ovh.net) (188.165.45.9)
by mta1026.mail.ird.yahoo.com with SMTP; Wed, 25 Jan 2012 00:44:15 +0000
Received: (qmail 6134 invoked by uid 0); 24 Jan 2012 20:15:05 -0000
Received: from gw8.ovh.net (HELO 60gp.ovh.net) (213.251.189.208)
by 50.mail-out.ovh.net with SMTP; 24 Jan 2012 19:57:49 -0000
Received: from localhost.localdomain (localhost.localdomain [127.0.0.1])
by localhost.domain.tld (Postfix) with ESMTP id BE38F4B3E
for ; Sun, 22 Jan 2012 07:05:54 +0100 (CET)
Received: by 60gp.ovh.net (Postfix, from userid 2013)
id 9E0FE4B3D; Sun, 22 Jan 2012 07:05:54 +0100 (CET)
To: bla...bla@yahoo.fr
Subject: Nouveau message dans le registre
From: , mia@inbox.com
X-Mailer: Advanced Guestbook 2
Message-Id: <20120122060554.9E0FE4B3D@60gp.ovh.net>
Date: Sun, 22 Jan 2012 07:05:54 +0100 (CET)
X-Ovh-Tracer-Id: 952792796904560787
Content-Length: 58
fritz2cat
24/01/2012, 20h49
Publie-les par exemple sur pastebin.com, tu récupères l'URL et tu l'indiques ici.

Attention à ne pas gommer trop d'information utile.

Frédéric
Dormeur74
24/01/2012, 12h13
J'ai noté les en-têtes complets des trois derniers e-mails reçus. Que peut-on en tirer ?
Nowwhat
24/01/2012, 09h34
Salut.

Non - on n'a pas accès à ton compte mail pour analyser les détails des entêtes de ces mails.
Dormeur74
24/01/2012, 07h01
Bonjour,
Depuis dix jours, je reçois chaque jour le même e-mail :

Objet : Nouveau message dans le registre

Texte : Amazing Website, Thank You! Keep up the great work.

Chaque fois l'adresse de l'expéditeur est différente, mais le suffixe est toujours le même.
- Teddy(at)60gp.ovh.net
- Magda(at)60gp.ovh.net
- etc.

Savez-vous d'où cela peut venir ?