Exclusif : Depuis mardi, un exploit visant les PhpMyAdmin non patchés est rentré en action. Des bots parcours le web pour s´introduire dans les serveurs. Déjà de nombreuses et importantes victimes.
Le 24 mars dernier, PhpMyAdmin sortait une rustine pour son outil d'administration de site Internet. Une faille avait été découverte permettant de prendre la main sur un serveur.
Depuis, plus aucun bruit, pas d'exploit, aucune utilisation officielle. La rumeur parlait bien d'un 0Day, mais sans possibilité de vérification.
Depuis mardi 9 juin, voilà qui n'est plus une rumeur. La rédaction de ZATAZ.COM peut même vous révéler que des dizaines de bots sont en train d'agir pour trouver des PhpMyAdmin non patchés, et ils sont nombreux, très nombreux, trés, trés, trés nombreux.
Nous avons pu découvrir que des dizaines de sites avaient déjà été infiltrés. Parmi les plus importants, l'éditeur TrendMicro qui se retrouve avec un bot de chez Evil Jinx "B0tchZ na veia ehehe". Nous ne donnerons pas l'adresse tant que l'entreprise n'aura pas pris les mesures de correction adequate.
Bref, cette attaque risque de faire très mal si les utilisateurs de PhpMyAdmin ne prennent pas les devant pour patcher leur serveur. Une négligence qui risque de voir fleurir les ShellBOT.

Quels sont les risques ? Prise en main de votre serveur ; De votre site Internet ; Diffusion de spams, de virus sous votre identité ; Mise en place d'attaques diverses et variées (DDoS, ...) ; Installation d'une pharmacie en ligne et/ou de boutiques de contrefaçons sur votre serveur ... Comme le montre notre capture écran ci-dessous, déjà des "commerçants" proposent des espaces de vente de cachoux qui font rougir madame et sourire monsieur... ou le contraire ! Des pages cachées à partir de l'exploitation de cette faille.

Bref, un ratelier de nuisance à votre nom. Comment savoir si vous avez été infiltrés ? Dans les nombreux cas que la rédaction de ZATAZ.COM a pu découvrir, l'intrusion se matérialise par l'apparition d'un fichier php ayant comme nom une lettre de l'alphabet.
Mise à jour : 10/06 - Plus de 3.500 sites Français ot été detectés comme vulnérable ou déjà plombés. Dam, lecteur, nous a fait savoir qu'il y avait des possibilités de protection plus poussées à mettre en place. Liste non exhaustive des fonctions dangereuses à désactiver en php.ini: disable_functions = show_source, phpinfo, shell_exec,exec, proc_open, popen, passthru, system. Ces fonctions permettent de se créer un shell sur la machine.
Liste exhaustive et beaucoup plus restrictive :
disable_functions = tmpfile, chgrp, chmod, chown, chroot, closelog, define_syslog_variables, disk_free_space, diskfreespace, dl,error_log, escapeshellarg, escapeshellcmd, exec,fsockopen, get_current_user, getmypid, getmyuid,getrusage, highlight_file,highlight_string, ini_alter,ini_restore, ini_set,leak, link,linkinfo, listen, mb_send_mail, mysql_list_dbs, openlog, passthru, pclose, pfsockopen, php_uname, popen, proc_close, proc_open, putenv, readlink, shell_exec, socket_accept.
30-01-2010 à 18:08 - 3 commentaire(s)
Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.
30-01-2010 à 14:30 - 0 commentaire(s)
Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.
28-01-2010 à 11:54 - 0 commentaire(s)
La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.
28-01-2010 à 09:02 - 0 commentaire(s)
Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).
28-01-2010 à 08:21 - 0 commentaire(s)
Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.
27-01-2010 à 15:37 - 0 commentaire(s)
GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.
26-01-2010 à 16:09 - 0 commentaire(s)
Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.
26-01-2010 à 15:44 - 0 commentaire(s)
Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.
Prudence, des annonces eBay vous proposent d´acquérir des ordinateurs portables pour 52 euros... Arnaque comprise!
Quand les pirates informatiques créent de fausses offres d’emploi : vigilance!
Pendant que Google râle sur de pseudos pirates Chinois qui ne semblent être que des employés malintentionnés, l´éditeur de jeux en réseau AION, City of heroes, Lineage, ... s´attaque aux vilains fermiers numériques made in china.
Microsoft confirme la présence d´une faille dans Windows vieille de 17 ans.
Exclusif : Un groupe Facebook cache une escroquerie qui promet de téléphoner gratuitement. Prudence, une fausse page de connexion au portail communautaire y est proposée.
Exclusif : J´ai perdu 16 Kg en moins de 2 mois avec deux produits gratuits. Une publicité trouble exploite des sites, Tv connus ainsi que le logo du Ministère de la santé et des sports.
Exclusif : Pour les vœux 2010, la mairie de Roanne s´invite sur le web. Mauvaise idée, le courrier contenait plusieurs centaines de données privées. A Baisieux, c'est le site web qui bave !
Exclusif : Prudence, un lien appartenant à la boutique en ligne GrosBill pourrait être exploité par un pirate informatique ou autre hameçonneur.
Ecrit par katarn le 11.06.2009 à 14h27 | |||
|
|||
La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.
Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).
Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.
Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.