arnaque sur le bon coin

[philippehj61]

ben moi il vient de me repondre reponse toujours le soir vers 20h 20h30 ce coup ci direct poubelle
kenavo
philippe

[nico02]

Salut,
Ici aussi reçu le mail... celui où il demande des infos supplémentaires. poubelle aussitôt.

[philippehj61]

alors que peut on faire
qu'arrive t'il si ils arrivent a pirater une boite mail
kenavo
philippe

[luc]

Bonjour à tous
J'ai reçu le même courriel avant hier... + beaucoup d'autres tous aussi bizarres les uns que les autres qd "Tout passe était en vente"!
A suivre, mais il faudra sûrement sécuriser un peu plus le forum.
Luc

[Den]

salut à tous,

j'ai reçu le même il y a quelques temps.

C'est peut être pas sur le forum qu'ont été prise les adresses;
comme on n'en parle entre nous on peut avoir cette impression mais peut être que d'autres personnes (étrangère au forum) ont pu le recevoir.
On s'identifie peut être plus que les autres du fait que cela parle d'un camping car (et pas d'un camion 4x4 d’ailleurs).

Den

[toy38]

Ca prouve bien que les adresses mails des utilisateurs du site ont été récupérées pour ensuite être spamées à des fins d'arnaque.
Ca me plait moyen cette histoire.

yep tous
quand on sais que les hackeurs rentrent sur les serveurs de la CIA de la NASA des RG qui sont hyper securises comment Bastien peut rivaliser?
bonne journee
Bruno et Cie

[Pacha]

+1 idem, mis en courrier indésirable puis poubelle

[Le Camioneur]

C'est peut être pas sur le forum qu'ont été prise les adresses;

quand on sais que les hackeurs rentrent sur les serveurs de la CIA de la NASA

Faut arrêter le délire les gars. C'est clairement le site (et certainement d'autres...) qui a été pillé de ses adresses mail.

- parce que les listes d'adresse email valides est un business lucratif.
- parce qu'obtenir des adresses email en quantité d'utilisateur facile à cibler (camping-car) c'est augmenter ces chances qu'un couillon rép... pardon, marche dans la combine. Et comme dit Come, dans le lot y'en a toujours un pour donner son numéro de carte de crédit, pour voir

Je demande pas de sécuriser le site mieux que celui de la Nasa, (achète navette spatiale tout confort, tel à Jean Dupont 0022....),
je demande juste que les adresses email ne soient pas récupérables "en nombre" (parce que je vois mal le mec s'enregistrer et les récupérer une à une) ou alors de pouvoir retirer la mienne, merci.

[Denis Chassac]

Bonjour,

je pense avoir bloqué les fuites potentielles d'adresses mais je ne peux rien pour ce qui a déjà été récupéré par l'indélicat
Normalement, il n'y a plus la possibilité (facile) de récupérer nos adresses.

<EDIT>
Si quelqu'un a gardé une copie du fameux message, j'aimerais bien en avoir une copie par mail (mon adresse mail en MP sur simple demande ) afin de le disséquer (je l'ai moi aussi jeté à la poubelle).
</EDIT>
c'est bon, j'ai récupéré le message.

@+
Denis

[Olivier]

bonjour,
je vais demander à un pote "hacker" ce qu'on peut faire pour vous éviter ces désagréments
Oliv'

[Den]

C'est peut être pas sur le forum qu'ont été prise les adresses;

quand on sais que les hackeurs rentrent sur les serveurs de la CIA de la NASA

Faut arrêter le délire les gars. C'est clairement le site (et certainement d'autres...) qui a été pillé de ses adresses mail.

!!! je ne vois pas ou est le "délire" dans ce que j'ai dit !

Que les adresses ai été prise ici ou ailleurs n'est pas super important, c'est chiant certes, mais pas très grave.
Si Denis a pu modifier le forum pour qu'il ne recommence pas -de cette facon- c'est encore mieux, mais cela ce reproduira inévitablement par ce que, comme tu dis, beaucoup de gents gagne de l'argent avec cela.
Que les "Ils" prennent mon adresse, même en masse si ça leur chante. Si internet permet ce genre de chose, il nous permet aussi d'avoir des adresses poubelles et de les changer régulièrement (d'utiliser des pseudos, de ne pas mettre son tel en clair, etc ...).

Den

[Olivier]

réponse du pote qui m'a promis que c'était pas lui

-rien à faire pour les adresses déjà collectées, si ce n'est d'en changer ...
-bloquer cette personne en indésirable
-l'administrateur du forum doit revoir les modules de sécurité phpBB (voir forum d'entraide )
-retrouver les traces de l'"agresseur" via le serveur du forum et le bloquer mais c'est un peu comme chercher une aiguille dans une botte de foin

si ce n'est que, de toute façon, les FAI "aussi" vendent des listings d'adresses ciblées suivant nos recherches et consultations à notre insu, même si on ne coche pas la case "autoriser nos partenaires ..."

on est fliqués, traqués et espionnés en permanence mais ça on le savait ...

ah oui ! dernière chose ... est-ce quelqu'un aurait intégré du code php dans l'image de son avatar ? ça doit certainement venir de là ... même le forum Ubuntu (Linux) a été victime dernièrement d'un piratage

explication:

Bonjour,
Le samedi 24 septembre vers 11h15, le forum de ubuntu-fr.org a été victime d'un piratage.
La partie la plus visible ayant été un défaçage (détournement de la page d'accueil).
L'attaquant, un certain SaMo_Dz, est connu pour avoir récemment piraté plusieurs sites de préfectures françaises.

Conséquences :
Le forum a été indisponible pendant 2 heures, le temps de sécuriser et corriger les méfaits.
L'attaquant a tenté et partiellement réussi, contrairement à ce que nous pensions dans un premier temps, à voler le contenu de la base de données des utilisateurs du forum.
Cela concerne les adresses e-mail ainsi que les mots de passe (chiffrés). Les données volées pourraient être utilisées ou vendues pour envoyer des courriers indésirables. Une main courante a été déposée. Pleinement conscients de la gène occasionnée, nous recommandons à l'ensemble des utilisateurs du forum de changer leur mot de passe.
L'attaque a exploitée une erreur de configuration de notre serveur web. Cette erreur, qui ne concerne ni le noyau Linux, ni Ubuntu, ni FluxBB, ni PHP, ni aucun logiciel directement, est assez peu courante, mais pas nouvelle. De nombreux sites sont aujourd'hui vulnérables et les administrateurs d'ubuntu-fr ont entrepris d'en contacter un certain nombre individuellement avant de communiquer totalement.
Toute l'équipe d'Ubuntu-fr regrette profondément cet acte et ses éventuelles conséquences (diffusion d'e-mails indésirable, principalement).

Détails techniques :
L'attaquant a exploité une vulnérabilité dans les règles de configuration du serveur web. Après avoir créé un compte sur le forum, il a uploadé un avatar contenant du code php en plus de l'image (oui on check déjà les extensions, oui le mime-type était bon, oui l'image était bien une vrai image, mais elle contenait du code PHP à la fin). Il a ensuite fallu réussir à exécuter ce code ce qui a été possible à cause d'une erreur de configuration permettant de passer au backend PHP tout fichier avec un ".php" dans l'url. Ainsi, un simple /img/monavatar.png/.php a permis d'exécuter le code.
À partir de ce point, divers scripts ont été uploadés, permettant à l'attaquant d'essayer un certain nombre d'attaques, dont la plupart ont échouées (gain de privilège, création d'un socket ou connexion à un ssh distant). Cependant, il a eu accès aux paramètres de la base de données qui lui ont probablement permis le dump d'une partie de la base (dont la table des utilisateurs). D'après les logs, aucune requêtes n'a cependant atteint le poids total de la table utilisateurs (même compressée). Les mots de passes sont chiffrés et salés.

Corrections de la faille :
Nous avons commencé par désactiver tous les scripts de l'utilisateur et interdire l'exécution de scripts php dans le répertoire des images. Ensuite, une restriction encore plus forte est mise en place pour limiter au maximum une exécution imprévue. Nous avons également reconfiguré le proxy filtrant pour interdire certaines requêtes (ce proxy étant une autre machine, l'attaquant n'y a pas eu accès).
L'intégralité des fichiers du forum étant versionnée, il a été rapidement possible de vérifier qu'aucune modification n'y avait été apportée.
Par précaution, l'intégralité des comptes avec privilèges du forum ont vu leurs mots de passe changés, de même que les accès à la base de données (cette base de données est sur un autre système auquel l'attaquant n'a pas eu accès).
L'intégralité des avatars a été vérifiée de façon à assurer qu'il n'en existe plus avec du code malveillant.


Oliv'

[toy38]

Yep tous
On se calme SVP
Je suis inscrit sur le forum depuis belle lurette ,mon adresse mail a etait changée lors de mon changement de FAI et ca fait déjà 4an . Si les adresses mail on etaient prise sur le BMH je suis a ce jour une exception car je n'ai pas encore recu de mail bidon du boncoin
J'ai JUSTE DIT et je maintient que si les hackeurs rentrent dans n'importe quel serveur personne ne doit jeter la pierre a bastien qui j'en suis sur est aussi desolé que vous par ce vole manifeste.
Enfin voila je ne VEUX pas ouvrir de polemique .
Encore merci a la famille Debucquoi d'avoir fait le site et le forum et surtout de le faire vivre malgrés son coût .
Point final pour moi
Bruno et Cie

[Stéphane]

Moi aussi, ... je l'ai eu ...il y a quelques jours

Direct poubelle bien entendu.

@+

[sebg61]

Salut,

dur dur de tout protéger n'est ce pas Oliv

et puis c'est à l'hébergeur d'assurer une certaine sécurité en configurant sont serveur ...

je fais test pour voir, j'ai mis dans un fichier .jpg le code suivant (montrer son ip)

<?
echo $_SERVER["REMOTE_ADDR"];
?>

et renommé en test1.php.jpg

sur un hébergeur classique (genre chez free), avec l'adresse complète ça marche : j'obtiens l'ip à la fin du code de la photo dans la fenêtre du navigateur,

ici, avec l'hébergeur de Bastien, un id d'adressage est attribué pour chaque photo téléchargée et il ne se passe rien niveau activation du code php ...

Donc ça parait bien configuré niveau serveur ...

le mystère reste entier ...

@+

seb

[SYL05]

Salut
moi j en veut pas au forum ni a bastien , ni a bernard ni a personne
je me demande qu elle peut être la finalité de l arnaque et si c est juste pour mon adresse mail , m en fou des que je reconnais pas la provenance d un mail c est destruction
mais ce post reste surtout instructif pour ceux qui connaisse pas ce type d agissement
de plus on est qu en même sur un forum plublic et tous on le sait que des indesirable peuveut jouer dans notre dos
par contre bruno ++++++1000000 MILLE pour
"Encore merci a la famille Debucquoi d'avoir fait le site et le forum et surtout de le faire vivre malgrés son coût "

aller a plus sylvain

[j-loo]

Salut

"Encore merci a la famille Debucquoi d'avoir fait le site et le forum et surtout de le faire vivre malgrés son coût "

aller a plus sylvain

tiens, cela me rapelle une discution;
(autant faire d'un malheur une bonne chose)

un don pour faire vivre le forum;

alors, vu que je suis de nouveau RMIste (enfin RSAiste maintenant) je peux faire un geste,
bernard, bastien ou autre webmestre ou admin, c'est quoi la marche à suivre pour mettre une pièce dans la tirellire de BMH ?? ??

moi je suis partant !!

j-loo

[SYL05]

RE salut
merci j loo on devrais s entredre a ce niveau
mais pense que la cave a bernard doit être rempli ou il boit plus qu il ne le dit ou qu il a beaucoup d " ami"
je cherche encore l idée qui vriendra en sont temps , mais je touvre sympa de le rappeller

a plus sylvain

[STF]

Rien reçu de mon coté..

[OB1KnoB]

Salut à tous,

Désolé pour ce petit souci passager, ça arrive et c'est pas super, mais c'est pas grave non plus ne vous inquiétez pas, c'est pas comme si on était la NASA ou le KGB.
Ceux qui recevront le fameux mail n'ont qu'à le mettre à la poubelle direct... De toutes façons d'une manière générale il faut se méfier des mails que l'ont reçoit et que l'on attend pas ou bien qui viennent d'une adresse inconnue.
Ce mail là sentait l'arnaque à plein nez, personnellement il a fini à la poubelle avant même que je ne lise ce post sur le forum, et je suppose que ça a été le cas de pas mal de monde aussi

Nous vous prions donc de bien vouloir nous excuser pour ce petit désagrément momentané, et soyez rassurés, une équipe travaille dans l'ombre à la lueur de la frontale pour combler les brèches repérées à cette occasion.

@+
dimitri