====== eBay France ======

===== Noël 2006 =====
  * Nous sommes le 26 décembre 2006, lendemain de Noël. Dans les flashes info ce matin, une nouvelle revient souvent : "15 % des internautes français se déclarent prêts à remettre en vente leurs cadeaux de Noël cette année, selon une étude TNS-Sofres commandée par eBay. C'est deux fois plus qu'en 2005."
  * Il semblerait que les pirates lisent les sondages, la preuve en images ci-dessous.

==== L'appât ====
  * "Votre compte PayPal est suspendu !".
  * Voilà qui tombe plutôt mal pour l'internaute peu scrupuleux qui comptait bien mettre en vente le cadeau de belle-maman sur son site d'enchères favori...
{{ start:paypal-fr-26122006-1.png }}

==== L'hameçon ====
  * Un clic sur le lien affiche ceci :
{{ start:paypal-fr-26122006-2.png }}


==== Creusons un peu... ====
  * Le message d'appât contient une URL dans ses en-têtes :
{{ start:paypal-fr-26122006-3b.png }}
  * Qui nous conduit à la page suivante utilisée pour lancer les courriels frauduleux :
{{ start:paypal-fr-26122006-4.png }}
  * Google étant, comme chacun le sait, notre ami (... ou pas), une petite recherche nous permet de retrouver la trace de l'auteur **présumé** du script :
{{ start:paypal-fr-26122006-5b.png }}

==== Le Hack ====
  * Comment notre pirate a t-il bien pû entrer ?
  * En remontant l'URL du script on trouve ceci :
{{ start:paypal-fr-26122006-6.png }}
  * L'interface d'administration de [[http://www.mamboserver.com/|Mambo]], installé dans une [[http://www.securityfocus.com/bid/19725|version vulnérable]] :
//An attacker can exploit this issue to include **arbitrary remote files containing malicious PHP code** and execute it in the context of the webserver process. This may allow the attacker to compromise the application and to gain access to the underlying system.//