As suggested in the e107 bugtracker, I will upgrade the site to use the last e107 version. I will do this when I will be ok. Now I feel too exausted to do any task that require concentration.
Comme suggéré dans le bugtracker d'e107, je vais mettre à jour le site pour utiliser la dernière version de e107. Je ferais cela quand je serais OK. Pour le moment je me sens trop fatigué pour exécuter n'importe quelle tache qui demande de la concentration.
I confirm that the bug is the same as shaark's one. I've extracted a trace of the attack from the raw apache log file.
This log tell us how the hacker has done his job: he submitted a fake PHP script "disguised" as a GIF file. The php script contained some code to browse the webserver, edit and delete files. You can trace his actions by looking at the log file that contain "kobrashell.gif.php?op=" string in the URL.
PS: I'm sorry if I slow but today I feel sooo tired.
Je confirme que ce bug est le même que celui de shaark. J'ai extrait un historique de l'attaque depuis les fichiers log d'apache.
Cet historique nous apprend comment le pirate à fait son travail: il à envoyé un script PHP "déguisé" en fichier GIF. Le script PHP contenait du code pour naviguer dans le serveur web, modifier et supprimer des fichiers. Vous pouvez tracer ses actions en regardant dans le fichier log les URL qui contiennent la chaîne "kobrashell.gif.php?op=".
PS: je suis désolé si je suis lent mais aujourd'hui je me sens tellement fatigué.
shaark, a e107 user, has found how the attack was done !
We discuss the bug (numbered #2546) in the official e107 bug tracker.
shaark, un utilisateur de e107, a trouvé comment l'attaque à eu lieu !
Nous discutons du bug (numéroté #2546) sur le bug tracker officiel de e107.
As you can see, I'm not the only one to suffer of this hacker script kiddies.
Comme vous pouvez le voir, je ne suis pas le seul à subir ce pirate script kiddies.
The Cool Cavemen website was hacked yesterday. The first page was replaced by this one.
In fact the site was just defaced and not hacked: after an intensive session of checking, I found no modifications of the website files and database, appart from the first page. This mean that we haven't loose any data. All the comments, news, forum threads and so on are consitent and safe, thanks to backups.
I don't know if the hacker had time time to get extra sensitive info. So, for security, I deleted all my website files, changed my database password and replaced the index.php page by a temporary one. This also mean that I will ask you to change your member password when the site will be up.
Now I will investigate further in my log files to search an explanation of the problem. I will post a new comment if I find something interesting.
Le site de Cool Cavemen à été piraté hier. La première page à été remplacé par celle-ci.
En fait le site à juste été "défacé" et non piraté: après une intensive session de vérification, je n'ai trouvé aucune modification des données et fichiers du site, à l'exclusion de la première page. Cela signifie que nous n'avons perdu aucune donnée. Tous les commentaires, news, fils de discussion du forum et autres sont consistent et sain, grâce à mes sauvegardes.
Je ne sais pas si le pirate à eu le temps de récupérer des données sensibles. Donc, par sécurité, j'ai supprimé tous les fichiers du site, changé les mots de passes de la base de données et remplacé le fichier index.php par une page temporaire. Cela signifie également que je vais vous demandez de changer votre mot de passe de membre quand le site sera remis sur pied.
Maintenant je vais enquêter plus loin dans mes logs pour chercher une explication au problème. Je posterais un nouveau commentaire sur cette page si je trouve quelquechose d'intéressant.
I find someone with a similar problem on e107.org.
J'ai trouvé quelqu'un qui à le même problème que moi sur e107.org.
Sorry, the website has been hacked. We will be back soon.
Désolé, le site web à été piraté. Tout va être réparé au plus vite.