start:paypal_france
Differences
This shows you the differences between two versions of the page.
| — |
start:paypal_france [2006/12/29 09:30] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ====== eBay France ====== | ||
| + | |||
| + | ===== Noël 2006 ===== | ||
| + | * Nous sommes le 26 décembre 2006, lendemain de Noël. Dans les flashes info ce matin, une nouvelle revient souvent : "15 % des internautes français se déclarent prêts à remettre en vente leurs cadeaux de Noël cette année, selon une étude TNS-Sofres commandée par eBay. C'est deux fois plus qu'en 2005." | ||
| + | * Il semblerait que les pirates lisent les sondages, la preuve en images ci-dessous. | ||
| + | |||
| + | ==== L'appât ==== | ||
| + | * "Votre compte PayPal est suspendu !". | ||
| + | * Voilà qui tombe plutôt mal pour l'internaute peu scrupuleux qui comptait bien mettre en vente le cadeau de belle-maman sur son site d'enchères favori... | ||
| + | {{ start:paypal-fr-26122006-1.png }} | ||
| + | |||
| + | ==== L'hameçon ==== | ||
| + | * Un clic sur le lien affiche ceci : | ||
| + | {{ start:paypal-fr-26122006-2.png }} | ||
| + | |||
| + | |||
| + | ==== Creusons un peu... ==== | ||
| + | * Le message d'appât contient une URL dans ses en-têtes : | ||
| + | {{ start:paypal-fr-26122006-3b.png }} | ||
| + | * Qui nous conduit à la page suivante utilisée pour lancer les courriels frauduleux : | ||
| + | {{ start:paypal-fr-26122006-4.png }} | ||
| + | * Google étant, comme chacun le sait, notre ami (... ou pas), une petite recherche nous permet de retrouver la trace de l'auteur **présumé** du script : | ||
| + | {{ start:paypal-fr-26122006-5b.png }} | ||
| + | |||
| + | ==== Le Hack ==== | ||
| + | * Comment notre pirate a t-il bien pû entrer ? | ||
| + | * En remontant l'URL du script on trouve ceci : | ||
| + | {{ start:paypal-fr-26122006-6.png }} | ||
| + | * L'interface d'administration de [[http://www.mamboserver.com/|Mambo]], installé dans une [[http://www.securityfocus.com/bid/19725|version vulnérable]] : | ||
| + | //An attacker can exploit this issue to include **arbitrary remote files containing malicious PHP code** and execute it in the context of the webserver process. This may allow the attacker to compromise the application and to gain access to the underlying system.// | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
start/paypal_france.txt · Last modified: 2006/12/29 09:30 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Noncommercial-Share Alike 3.0 Unported
