http://ipcop.org - Hacké

[effixe]

Bonjour à tous, <BR>je viens de faire un tour sur le site <!-- BBCode auto-link start --><a href="http://ipcop.org/" target="_blank">http://ipcop.org/</a><!-- BBCode auto-link end --> et j'ai eu une dôle de surprise... <BR>Est-ce quelqu'un aurait des informations?

[remi]

Ca ne ressemble pas a un hacking, ca doit etre une grosse mise a jour ou un serveur qui a planté... <BR> <BR>A suivre ! <BR> <BR>PS: Si c un hacking, j'espere que le site n'etais pas protégé par un IPCOP ! <IMG SRC="images/smiles/icon_cry.gif">

[mad_dog]

En général, ce sont les coordonniers, les plus mal chaussés ..... <BR> <BR> <BR> <BR>Ce serait con quand meme ....NAN <IMG SRC="images/smiles/icon_find.gif">

[effixe]

Le message est comme même bizarre... <BR>Mais tu dois avoir raison remi.

[ONC]

Je confirme, c'est un plantage serveur et non un hack. <BR>C'est déjà arrivé par le passé (à l'époque de la v0.1.1)... <BR>Les administrateurs avaient alors été obligés de restaurer une sauvegarde si je me souviens bien... <BR> <BR>Y a pu qu'a patienter... <BR> <BR>De toute facon, IPCop ne protege pas les serveurs web, il protege les reseaux... à partir du moment ou on ouvre le port 80 on peut se faire hacker qu'il y ait IPCop ou pas... <BR>(enfin IPCop va quand même largement limiter la casse en rendant inaccessible les autres ports) <BR> <BR> <BR> <BR>

[tomtom]

Oui, un probleme avec Twiki ! A mon avis ils ont du upgrader la version de twiki et ils ont raté l'install, ou il y a des problèmes de paramètres... Ca ne ressemble pas du tout à une page piratée... Mais ça ne fait pas très serieux ! <BR> <BR>Tom

[bisol]

Bah IPCOP ou pas cela ne change rien.. ils sont bien obligés de laisser passé le port 80 <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>

[dbomber]

de toute maniére, si un vrai hackeur veut hacker quelque chose, ce n'est juste qu'une histoire de temps. IPCOP à la rigueur ne fera que le ralentir un petit peu. La protection à 100% (tout comme le risque 0) n'est pas de ce monde. <BR>D'autant plus que si un serveur web tourne, IPCOP laissera passer le flux sur le port 80. <BR>De toute maniére, un firewall n'est pas une mesure de protection en soi, mais fait parti d'une politique de sécurité (IDS, analyse des logs, mise en place de mdp fort...)

[DgSe95]

il aurais pu au moins rendre leur apache un peu moins bavard.... ou même faire une page 404 perso... <BR> <BR>car quand je vois ça : <BR> <BR>Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. <BR> <BR> <BR>-------------------------------------------------------------------------------- <BR> <BR>Apache/1.3.26 Server at ipcop.org Port 80 <BR> <BR>je me pose des questions... car lorsque l'on sait que pour commencer une attaque il faut connaitre ce qui est utiliser sur la machine cible.... des messages dans ce genre là facilite le travail.... <BR> <BR>_________________ <BR>DgSe95 vous salut<BR><BR><font size=-2></font>

[seb57]

oui je suis d'accord avec toi dgse mais en même temps tu te doutes bien que le site est pas hebergé sous win 3.11 !!! <BR>lol <IMG SRC="images/smiles/icon_eek.gif">

[braouazou]

D'autant que ce n'est pas avec des messages d'erreurs personnalisés qu'on peut tout cacher: <BR><!-- BBCode auto-link start --><a href="http://uptime.netcraft.com/up/graph/?host=ipcop.org" target="_blank">http://uptime.netcraft.com/up/graph/?host=ipcop.org</a><!-- BBCode auto-link end --> <BR> <BR>C vrai qu'il existe pas mal d'astuces pour ne pas tout révéler de son serveur Apache, mais bon, ce n'est pas ça qui arretera un hacking du site, puisqu'en général , les attaques sont dues à des failles dans le moteur du site (je pense notamment à tous ces CMS tels que PHPNuke)! <BR> <BR>Un petit exemple sur mon serveur perso: <BR>un simple telnet sur le port 80 me donne les informations suivantes: <BR> <BR>HTTP/1.1 200 OK <BR>Date: Thu, 08 May 2003 07:24:34 GMT <BR>Server: Apache/2.0.40 (Red Hat Linux) <BR>Accept-Ranges: bytes <BR>X-Powered-By: PHP/4.3.1 <BR>Connection: close <BR>Content-Type: text/html; charset=ISO-8859-1 <BR> <BR>En ajoutant la ligne <BR>ServerTokens Prod <BR>dans mon fichier de conf d'apache, voila ce que ça donne: <BR> <BR>HTTP/1.1 200 OK <BR>Date: Thu, 08 May 2003 07:26:08 GMT <BR>Server: Apache <BR>Accept-Ranges: bytes <BR>X-Powered-By: PHP/4.3.1 <BR>Connection: close <BR>Content-Type: text/html; charset=ISO-8859-1 <BR><BR><BR><font size=-2></font>

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-08 09:11, seb57 a écrit: <BR>oui je suis d'accord avec toi dgse mais en même temps tu te doutes bien que le site est pas hebergé sous win 3.11 !!! <BR>lol <IMG SRC="images/smiles/icon_eek.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>c'est clair, il ne faut pas être Einstein pour le deviner ! <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

[DgSe95]

entièrement d'accord avec toi braouazou, il est clair que ce n'est pas ça qui empechera le hacking d'un site... mais pour un site traitant de sécurité, la moindre des choses serait de tout faire pour l'on puisse obtenir le moins de renseignements possible... <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>oui il existe pas mal d'astuces pour rendre moins bavard apache, du genre comme tu l'as fait avec "ServerTokens Prod", mais si par exemple le site d'ipcop aurais changer le parametre suivant "Server signature ON en OFF" la version du server ne serais pas apparu dans la page d'erreur...

[leso]

ca aurait été dommage que ce soit hacké un si bon logiciel/site

[DgSe95]

mais bon en tout cas le site fonctionne de nouveau