Disparition d'avis dans la BEL

de **Merlin** » 17/06/2003 13:23

Message précédent :

J'ai déjà changer les droits des users et donc je suis maintenant le seul a pouvoir faire des deletes dans la table (donc si ça continue c'est que le monsieur a les accès admin, mais dans ce cas pourquoi ne toucher qu'aux avis ???)

C'est sur. Soit il avait un user/pwd avec les droits pour le faire mais alors, il aurait delete autre chose que des avis. Soit il y arrive sans mais ne peut bousiller que des avis.

Pour l'IP j'ai tracé une activité suspecte hier soir (un mec essayait d'appeler les anciennes pages php de delete des avis, il chechait aussi à afficher les modules javascript). mais je pense que c'est un proxy vu qu c'est en croatie : 194.152.194.182
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=194.152.194.182&do_search=Search

Effectivement, c'est un routeur Edimax en config par defaut, password par defaut et tout. Facile a utiliser comme relais...

Bref, j'attends qu'il se montre à nouveau sachant que j'ai laissé volontairement quelques "portes" ouvertes en espérant qu'il tombera dans un des pièges

Un honeypot qu'on appelle ca. Petit-petit-petiiiiit. Un piege Troll, ca doit faire mal....

de **BDGest** » 17/06/2003 13:48

Pour l'IP j'ai tracé une activité suspecte hier soir (un mec essayait d'appeler les anciennes pages php de delete des avis, il chechait aussi à afficher les modules javascript). mais je pense que c'est un proxy vu qu c'est en croatie : 194.152.194.182
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=194.152.194.182&do_search=Search

Effectivement, c'est un routeur Edimax en config par defaut, password par defaut et tout. Facile a utiliser comme relais...

Et y'a moyen de remonter en amont ?

de **Gaffophone** » 17/06/2003 13:50

Jeu troll
Pour ceuw qui connaissent Kroc le Bô de Chevalier/Ségur :

Ouuuuaaaais
J'peux jouer dis chef, hein steuplait !
(J'en ai encore vu un Kroc le bo, samedi dernier en librairie :ok:

)

Ouiiiiiiin ! moi qui la cherche mais ne la trouve pas :cry:

de **Flore** » 17/06/2003 14:21

Jeu troll
Pour ceuw qui connaissent Kroc le Bô de Chevalier/Ségur :

Ouuuuaaaais
J'peux jouer dis chef, hein steuplait !
(J'en ai encore vu un Kroc le bo, samedi dernier en librairie :ok:

)

Ouiiiiiiin ! moi qui la cherche mais ne la trouve pas :cry:

C'était toi

Bon je te la prends la prochaine fois :?:

de **Merlin** » 17/06/2003 14:24

Effectivement, c'est un routeur Edimax en config par defaut, password par defaut et tout. Facile a utiliser comme relais...

Et y'a moyen de remonter en amont ?

J'en doute fort.
Ce soir, j'essaierai de voir comment il a pu faire et si on peut le tracer. La, faut que je bosse un peu quand meme.

de **Gaffophone** » 17/06/2003 14:58

Jeu troll
Pour ceuw qui connaissent Kroc le Bô de Chevalier/Ségur :

Ouuuuaaaais
J'peux jouer dis chef, hein steuplait !
(J'en ai encore vu un Kroc le bo, samedi dernier en librairie :ok:

)

Ouiiiiiiin ! moi qui la cherche mais ne la trouve pas :cry:

C'était toi

Bon je te la prends la prochaine fois :?:

Ah viiii ça serait bien sympa :ok:

Et au cas où tu irais à Ornans, ça serait le top :ok:

de **Flore** » 17/06/2003 15:03

C'était toi
Bon je te la prends la prochaine fois

Ah viiii ça serait bien sympa :ok:

Et au cas où tu irais à Ornans, ça serait le top :ok:

Ben non je vais pas à Ornans :cry:

Mais bon je te le prends et je te le garde au chaud

de **Gaffophone** » 17/06/2003 15:42

C'était toi
Bon je te la prends la prochaine fois

Ah viiii ça serait bien sympa :ok:

Et au cas où tu irais à Ornans, ça serait le top :ok:

Ben non je vais pas à Ornans :cry:

Mais bon je te le prends et je te le garde au chaud

Ok merci bcp

de **BDGest** » 17/06/2003 17:26

Comme prévu le jeu troll a fonctionné. Voici l'extrait du log apache. visiblement ca vient de lns-th2-5-82-64-66-126.adsl.proxad.net !!! Je n'en sais pas plus pour l'instant. Je continue a creuser

lns-th2-5-82-64-66-126.adsl.proxad.net - - [17/Jun/2003:16:56:35 +0200] "GET /lire_commentaire.php?delete=1&IdAlbum=26019&UserCreDel=Casimir&DatCreDel=2003-05-20%2015:45:53&IdAlbumDel=26019 HTTP/1.0" 200 4191 "-" "Mozilla/2.0 (compatible; MSIE 4.0; Windows 98)"

de **BDGest** » 17/06/2003 17:34

Sinon il y a lui aussi :

aplessis-bouchard-101-1-2-161.w193-253.abo.wanadoo.fr - - [16/Jun/2003:17:00:04 +0200] "GET /lire_commentaire.php?delete=1&IdAlbum=1985&UserCreDel=Allerio&DatCreDel=2003-03-26%2019:16:21&IdAlbumDel=1985 HTTP/1.0" 200 4191 "-" "Mozilla/2.0 (compatible; MSIE 4.0; Windows 98)"

Comment faire pour en savoir plus ? demander à wanadoo dans ce cas là ? en envoyant un mail à abuse@wanadoo.fr ?

de **StephaneA** » 17/06/2003 17:49

C'est quelqu'un du forum Allerio?

de **xof 24** » 17/06/2003 17:52

Oui dernière visite cachée aucun post inscrit depuis avril 2003 :roll:

de **BDGest** » 17/06/2003 17:54

Non non ça c'est le nom de l'auteur de la critique qui a été supprimé. Ca n'a rien a voir avec la personne qui a supprimé les avis.

de **xof 24** » 17/06/2003 18:03

Bon alors là il serait peut être bon de lui faire un MP histoire qu'il soit au courant car il ne post pas vraiment sur le forum

de **Merlin** » 17/06/2003 18:13

Sinon il y a lui aussi :
aplessis-bouchard-101-1-2-161.w193-253.abo.wanadoo.fr - - [16/Jun/2003:17:00:04 +0200] "GET /lire_commentaire.php?delete=1&IdAlbum=1985&UserCreDel=Allerio&DatCreDel=2003-03-26%2019:16:21&IdAlbumDel=1985 HTTP/1.0" 200 4191 "-" "Mozilla/2.0 (compatible; MSIE 4.0; Windows 98)"

Comment faire pour en savoir plus ? demander à wanadoo dans ce cas là ? en envoyant un mail à abuse@wanadoo.fr ?

Tu peux mais ca n'ira pas tres loin a mon avis.
Pour que Wanadoo revele le nom de la personne a qui appartient l'IP, il faudrait un ordre d'un juge.

Par contre, il serait peut-etre possible de leur envoyer un courrier a transmettre a l'abonne. Un courrier genre

Nous avons subi des attaques provenant de votre ordinateur. Si ni vous ni aucune personne ayant acces a votre connexion internet n'a commis ces attaques, veuillez prendre contact avec nous afin de determiner comment votre identite a ete usurpee. Si vous ou une personne ayant acces a votre connexion internet a commis cette attaque, considerez ce courrier comme un avertissement. Si nous devions subir de nouvelles attaques, nous n'hesiterions pas a saisir les tribunaux competents."

Mais il faudrait pour ca que Wanadoo ou free coopere, ce dont je doute un peu.

Quelqu'un a des relations chez un Free ou Wanadoo ?

Les 2 IPs sont deconnectees donc ce ne sont plus les truands qui y repondent. Ne les frappez donc pas.

de **Flore** » 17/06/2003 18:15

Quelqu'un a des relations chez un Free ou Wanadoo ?

Je tente sans garantie

de **Merlin** » 17/06/2003 18:18

Bon alors là il serait peut être bon de lui faire un MP histoire qu'il soit au courant car il ne post pas vraiment sur le forum

J'ai l'impression que le chef a poste un plus gros morceau de log qu'il a supprime pendant que je repondais. Dans ce log, on voyait plein d'autres logins depuis une adresse proxad (free.fr).

Donc, a mon avis, le pirate essaye tous les logins possibles jusqu'a tomber sur un qui marche.

de **eBry** » 17/06/2003 18:24

Bon alors petit résumé de la situation.

Le site www.bedetheque.com a été "attaqué" ce week-end, le 14/06 entre 0h00 et 16h44 pour être précis).

Cette charmante personne a profité d'une faille dans le site pour s'amuser à supprimer près de 200 avis. Elle était dailleurs trés motivé car cela a du lui demander pas mal de temps. : no :

Tojours est-il que j'ai passé ma matinée à tenter de récupérer le maximun de critiques depuis la dernière sauvegarde "propre". Donc merci à lui :grrr: :grrr: :grrr: Il en manque malheuresement encore certaines (celle postées le 14/06 entre 0h00 et 16h44)

Ne serait-ce pas un coup d'un Butler aigri ?

de **BDGest** » 17/06/2003 19:03

Ne serait-ce pas un coup d'un Butler aigri ?

Un peu trop "technique" pour lui je pense :mrgreen:

Merlin pour les adresse, j'ai laissé les 2 seuls que j'ai trouvé dans les log (wanadoo et proxad) et j'ai virer les lignes redondantes.

de **ar sparfel** » 17/06/2003 19:48

Merlin pour les adresse, j'ai laissé les 2 seuls que j'ai trouvé dans les log (wanadoo et proxad) et j'ai virer les lignes redondantes.

Et voilà, je suis largué, trop technique pour moi.

Par contre, on dirait que petit à petit ça avance, dommage que les fournisseurs d'accès ne jouent pas plus le jeu. :grrr: :grrr:

sinon, quelqu'un peut-il m'expliquer comment saisir les avis dans ma base, sinon je vais dans word

Merci

de **Merlin** » 17/06/2003 21:41

Et voilà, je suis largué, trop technique pour moi.

Par contre, on dirait que petit à petit ça avance, dommage que les fournisseurs d'accès ne jouent pas plus le jeu. :grrr: :grrr:

Non, c'est normal. Ils ne peuvent pas donner des informations personnelles sans qu'il y ait une procédure en justice. Question de respect de la vie privée.

De même, ce n'est pas leur rôle d'enquêter. C'est celui de la police et d'un juge d'instruction. Si ton problème n'est pas assez grave pour être instruit, il ne mérite pas non plus que le FAI divulgue des informations confidentielles.

Et sur le fait qu'ils soient peu concilliants, faut dire qu'ils ont des milliers voire des millions de clients et ils ne peuvent pas vraiment faire dans le détail...

Perso, en Belgique, j'aurai pu essayer de faire qqc mais en France, je ne peux pas grand chose.

sinon, quelqu'un peut-il m'expliquer comment saisir les avis dans ma base, sinon je vais dans word Merci

Je ne pense pas que tu puisse le faire dans BD Gest'. Je crois qu'il vaut mieux les entrer dans Word pour le moment.