Deleted Posté 12 Septembre 2006 Posté 12 Septembre 2006 Bonjour à tous, J'ai vu que que personne n'en a parlé alors je me lance. Un nouveau virus (si on peu appeler ca comme ca) s'attaque aux forums IPB et phpbb et post un message du type: Hi! Is here present my macho lover Bradd?..... I hope you're here... from Katties with love Avec des variantes dans le post et pour speudo MissKatties. L'email semble russe et l'ip semble Bulgare. J'ai eu un post sur mon forum (supprimé) : forum-seo.com (forum IPB) Un post sur le forum: -http://galaxie-net.com/forum/topic91.html (forum phpBB) Et on m'a aussi signalé un post sur le forum: -http://www.emule-conseil.com/forum/upload/index.php?showtopic=2930 (forum IPB) Y'en a t'il d'autre dans ce cas ? Et comment peuvent t'ils s'inscrire alors qu'il y a un cryptogramme visuel ? Car la se n'est pas seulement un type de forum, mais deux. Et sa se propage http://fr.search.yahoo.com/search?fr=fp-ta...&meta=vc%3D ++ Deleter23
Dan Posté 12 Septembre 2006 Posté 12 Septembre 2006 C'est toujours le même email et la même IP ? A part poster cela, elle fait quoi ? Dan
Deleted Posté 12 Septembre 2006 Auteur Posté 12 Septembre 2006 Pour le mail et l'ip c'est les meme sur mes deux forums. Pour l'ipb j'ai tout bloqué, nom de membre, ip et le membre. Apparement ca ne fait que poster ce message et puis s'en va Mais comme on le vois dans le lien yahoo il y a de plus en plus de forums touchés. Sachant qu'hier la recherche ne donnée aucun resultat. Le hub n'a pas etait touché ? ++ Deleter23
Helpeur Posté 12 Septembre 2006 Posté 12 Septembre 2006 Salut. On pourrait avoir quelques infos supplémentaires ? IP, adresse mail... Merci
Deleted Posté 12 Septembre 2006 Auteur Posté 12 Septembre 2006 (modifié) IP: 217.10.38.30 Mail: misskatties_AT_mail.ru Fait toi plaisir ;-) Maintenant present sur google avec plus de 900 resultats: http://www.google.fr/search?hl=fr&q=Mi...tties&meta= Modifié 12 Septembre 2006 par Deleter23
Anonymus Posté 12 Septembre 2006 Posté 12 Septembre 2006 Je vois 9000 résultats :/ Pour le cryptogramme visuel, il est utilisé uniquement si la personne utilise le formulaire classique, pour s'inscrire. S'il s'inscrit en allant directement dans la base de données, il n'en a pas besoin.
Keroin Posté 12 Septembre 2006 Posté 12 Septembre 2006 Lol merci de l'info, "elle" s'est enregistré sur mon forum (phpbb) mais je pense qu'elle n'a pas aimé mon captcha car l'inscription n'est pas finalisée et elle n'a pas eu le temps de poster...après ces infos je la vire
petit-ourson Posté 12 Septembre 2006 Posté 12 Septembre 2006 Elle est passée sur un de mes forums punbb qui ne demande pas d'inscription et pas de système de cryptogramme visuel :s
Jocelyn Posté 14 Septembre 2006 Posté 14 Septembre 2006 IP: 217.10.38.30Mail: misskatties_AT_mail.ru Fait toi plaisir ;-) Maintenant present sur google avec plus de 900 resultats: http://www.google.fr/search?hl=fr&q=Mi...tties&meta= Egalement inscrite sur mon forum (maintenant dans le groupe des bannis) L'IP et l'adresse e-mail utilisées sont identiques à ceux ci-dessus ! 50200 résultats sur Google actuellement... Je vois 9000 résultats :/Pour le cryptogramme visuel, il est utilisé uniquement si la personne utilise le formulaire classique, pour s'inscrire. S'il s'inscrit en allant directement dans la base de données, il n'en a pas besoin. Que veux-tu dire ? Seuls les admins du site/forum ont accès à la base de données et peuvent éventuellement s'y inscrire directement. Donc "MissKatties" ne peut pas s'inscrire directement sans passer par le cryptogramme visuel. Ou alors j'ai mal compris quelque chose...
captain_torche Posté 14 Septembre 2006 Posté 14 Septembre 2006 J'imagine qu'"elle" profite d'une faille de sécurité.
Deleted Posté 14 Septembre 2006 Auteur Posté 14 Septembre 2006 c'est pas possible qu'il y ai la meme sur plusieure scripts different
Théo B. Posté 14 Septembre 2006 Posté 14 Septembre 2006 Ou tout simplement peut-être arrive-t-elle à décoder le captcha, c'est très probable.
guymauve Posté 14 Septembre 2006 Posté 14 Septembre 2006 Perso j'ai bannis il y a qq temps tous les .ru ... Je doute avoir des visiteurs russes sur mon site.
rba01672 Posté 14 Septembre 2006 Posté 14 Septembre 2006 Je viens de consulter ma base de données. Il s'est inscrit ce 10 septembre, n'a rien posté. Je viens de bannir son adresse, et aussi Ip
Jeromnimo Posté 15 Septembre 2006 Posté 15 Septembre 2006 Il y en a pas un de vous qui a accès à ses logs apache sur un dédié ? Il suffit de tracer son IP pour voir les requetes qu"'elle" a executé pour s'inscrire ? ça permettra eventuellement de trouver la faille (et de la corriger...)
suede Posté 15 Septembre 2006 Posté 15 Septembre 2006 Il y en a pas un de vous qui a accès à ses logs apache sur un dédié ? Il suffit de tracer son IP pour voir les requetes qu"'elle" a executé pour s'inscrire ? ça permettra eventuellement de trouver la faille (et de la corriger...) Pourquoi une faille ? Il suffit de s'inscrire par la voie normale. Les Capchat sont loin d'etre efficace.
Jeromnimo Posté 15 Septembre 2006 Posté 15 Septembre 2006 Tout a fait d'accord avec toi, mais en verifiant les logs, cela permettrait d'etre sûr que cette "MissKatties" s'inscrit par la voie normale, et non via une faille ;-)
Jocelyn Posté 15 Septembre 2006 Posté 15 Septembre 2006 Il y en a pas un de vous qui a accès à ses logs apache sur un dédié ? Il suffit de tracer son IP pour voir les requetes qu"'elle" a executé pour s'inscrire ? ça permettra eventuellement de trouver la faille (et de la corriger...) J'ai accès aux logs Apache sur mon serveur, je posterai les logs ce WE. A mon avis c'est un script qui est capable de décoder le CAPTCHA (l'image antispam). Il faut bien admettre que le CAPTCHA d'IPB est vraiment peu évolué : - contient uniquement les chiffres 0 à 9 - ils sont écrits toujours dans la même police, bien droit Il y a certes 2 couleurs de fond aléatoires et quelques parasitages de l'image pour rendre un peu plus compliqué le décodage de l'image, mais je suis persuadé qu'il existe des programmes capables de décoder ces images assez simples.
patric35 Posté 15 Septembre 2006 Posté 15 Septembre 2006 Je pense aussi que certains robots sont capables de déchiffrer les captcha simples (et celui de phpbb ne me semble pas vraiment compliqué...) Un outil de squelettisation de l'image me semble suffisant!! Il n'y a que des lettre noires sur fond gris inscrites en bien gros (caractères gras) et bien droites. Bon ceci dit ce n'est pas non plus l'affluence (1 à 2 inscriptions type spam par jour) Pour moi misskaties n'est qu'un robot de plus parmi les autres (il n'est pas encore passé sur mes forums, de toute façon je veille...).
Dash Posté 15 Septembre 2006 Posté 15 Septembre 2006 A part poster cela, elle fait quoi ? Meme question que Dan... Des inscriptions sans interet il y en a des dizaines par jour. Que ce soit via des robots ou des personnes qui s'inscrivent "juste pour voir". Quels sont les degats causes par MissKatties ? Un unique post ? C'est tout ? Un alteration de la base de donnees ? Une corruption des fichiers sources ? Pourquoi s'alarmer particulierement pour cette demoiselle russe ?
Anonymus Posté 16 Septembre 2006 Posté 16 Septembre 2006 D'ailleurs, ca n'est peut être pas un virus, mais bien une personne réelle
ZepX3 Posté 16 Septembre 2006 Posté 16 Septembre 2006 Qui, a ce moment même, est en train de rire de nous!
Jeromnimo Posté 17 Septembre 2006 Posté 17 Septembre 2006 D'où la consultation des logs, si cela passe par les pages "normales" d'inscription, on sera fixés ;-) Par contre s on voit une belle url contenant un injection, ca sent la faille de sécurité ;-) (Et honnetement, 52000 inscriptions (nombre de reponses google) en deux jours, c'est une sacré "geekette" :-P)
Keroin Posté 24 Septembre 2006 Posté 24 Septembre 2006 J'en ai eu un autre qui apparement tourne bien aussi sur les plateformes IPB et PHPBB, c'est teddy1290 => http://www.google.com/search?hl=fr&lr=...amp;q=teddy1290 Il n'a pas réussi à passer les protections pour devenir actif mais son inscription est quand même passée (comme pour Misskatie)
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant