This shows you the differences between two versions of the page.
— |
start:paypal_france [2006/12/29 09:30] (current) |
||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== eBay France ====== | ||
+ | |||
+ | ===== Noël 2006 ===== | ||
+ | * Nous sommes le 26 décembre 2006, lendemain de Noël. Dans les flashes info ce matin, une nouvelle revient souvent : "15 % des internautes français se déclarent prêts à remettre en vente leurs cadeaux de Noël cette année, selon une étude TNS-Sofres commandée par eBay. C'est deux fois plus qu'en 2005." | ||
+ | * Il semblerait que les pirates lisent les sondages, la preuve en images ci-dessous. | ||
+ | |||
+ | ==== L'appât ==== | ||
+ | * "Votre compte PayPal est suspendu !". | ||
+ | * Voilà qui tombe plutôt mal pour l'internaute peu scrupuleux qui comptait bien mettre en vente le cadeau de belle-maman sur son site d'enchères favori... | ||
+ | {{ start:paypal-fr-26122006-1.png }} | ||
+ | |||
+ | ==== L'hameçon ==== | ||
+ | * Un clic sur le lien affiche ceci : | ||
+ | {{ start:paypal-fr-26122006-2.png }} | ||
+ | |||
+ | |||
+ | ==== Creusons un peu... ==== | ||
+ | * Le message d'appât contient une URL dans ses en-têtes : | ||
+ | {{ start:paypal-fr-26122006-3b.png }} | ||
+ | * Qui nous conduit à la page suivante utilisée pour lancer les courriels frauduleux : | ||
+ | {{ start:paypal-fr-26122006-4.png }} | ||
+ | * Google étant, comme chacun le sait, notre ami (... ou pas), une petite recherche nous permet de retrouver la trace de l'auteur **présumé** du script : | ||
+ | {{ start:paypal-fr-26122006-5b.png }} | ||
+ | |||
+ | ==== Le Hack ==== | ||
+ | * Comment notre pirate a t-il bien pû entrer ? | ||
+ | * En remontant l'URL du script on trouve ceci : | ||
+ | {{ start:paypal-fr-26122006-6.png }} | ||
+ | * L'interface d'administration de [[http://www.mamboserver.com/|Mambo]], installé dans une [[http://www.securityfocus.com/bid/19725|version vulnérable]] : | ||
+ | //An attacker can exploit this issue to include **arbitrary remote files containing malicious PHP code** and execute it in the context of the webserver process. This may allow the attacker to compromise the application and to gain access to the underlying system.// | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||