Hacking par GU1ZM0
Un gamin qui se fait appelé "GU1ZM0" a hacké 19 sites et en a infecté 11 autres (soit 30 au total) ...
Le 5 juillet 2015, un gamin m'appelle, et m'annonce tout fier qu'il a réussi à pénétrer dans l'administration de notre CMS grâce à une connaissance commune ...
- Je suis assez surpris, car l'adresse de l'administration ne figure nulle part, il faut la connaitre et la taper manuellement pour y accéder.
Il me dit qu'il est très fort, qu'il a fait ceci, qu'il a fait cela, ... et me demande de l'argent pour corriger la faille
( qu'il a découverte en utilisant un logiciel d'attaque automatisée trouvé sur sqlmap.org ... pas trop dur GU1ZM0 ?).
Je lui réponds que ça m'intéresse fortement qu'il faut que l'on se rappelle ect ..., et du coup je récupère un numéro de portable (... au cas où ...), ensuite je ne réponds plus à ses appels.
Le mardi 15/09/2015 à 20h, un client m'appelle pour me dire que sa page d'accueil a été modifiée. Je le rassure et fait le nettoyage aussitôt. J'étudie les logs de connexion sans déceler la technique utilisée, et pour cause, il avait les codes d'accès à l'administration !.
Le mercredi16/09/2015 au matin un second client m'informe de son infortune. Je regarde, même technique, même problème !
Je vérifie alors tous les sites et je m'aperçois que cela concerne pas moins de 18 sites !. Je passe la journée restaurer, faire le nettoyage, et augmenter la sécurité des accès aux répertoires.
Le jeudi 17/9/2015, 7h30. Je vérifie que tout va bien ... rebelote !!!
Je restaure les sites infectés, et passe en revue l'intégralité des sites, Je remarque à cette occasion qu'il en a infecté 11 autres sans que le code ait été déclenché.
Je passe la journée à restaurer / nettoyer / sauvegarder / sécuriser tous les sites un par un .
Je bloque l'accès à l'administration à tout le monde (moi y compris), le temps de développer une protection.
Le vendredi 18/09/2015. Ouf! Rien n'a bougé. Je transfert le code de sécurité et commence a rouvrir les administrations une par une.
Le samedi 19/09/2015. Je continue à ouvrir les administrations, et vers 15h, je vois passer deux tentatives échouées ! ... fin du bal (Pas très travailleur le bonhomme ...)
A mon "ami" GU1ZM0 (alias fratazor)
Je te trouve un peu inconscient de t'attaquer à quelqu'un que tu ne connais pas.
J'ai dû travailler pendant 4 jours de 7h à 19h pour protéger l'image de marque de mes clients, et tu as mis en péril l'avenir de mon entreprise.
Penses-tu avoir été assez malin pour éviter de rendre des comptes ?
(Le temps d'éplucher les logs de connexion et on en reparle ...)