Salut les kikoureurs,
Merci pour tous les messages de soutien, sur le forum ou par mail...
On m'a posé bcp de questions sur l'interruption de service de Kikouroù qui a duré 2 semaines...
Qques précisions.
Le 19 août, notre hébergeur a verrouillé tous les accès au serveur car un hacker en avait pris le contrôle, afin d'envoyer qques millions de spams. C'est assez classique malheureusement.
J'étais alors dans les Alpes pour une course, avec pour seul accès internet mon téléphone portable, la seule chose que j'ai pu faire c'est ouvrir un nouveau serveur tout neuf (et plus puissant !) pour mettre un petit message d'information...
Kikouroù est sauvegardé, les données sont donc à l'abri, et en cas de problème en mon absence, le kéké a le mot de passe pour intervenir sur le serveur. Mais cette fois-ci, le problème est plus compliqué, il ne suffit pas de corriger un bug, de réparer la base de données ou de relancer un logiciel, car :
1) le hacker a pu installer une "backdoor" n'importe où, c'est-à-dire une porte dérobée qui lui permettrait de re-rentrer sur le serveur si on se contentait de le remettre en ligne tel quel. Il est donc nécessaire de vérifier ligne par ligne tout le code de Kikouroù (ce qui représente des dizaines de milliers de lignes de code de programmation).
2) Kikouroù est un peu complexe, mais surtout il y a des parties très spécifiques qui font que, indépendamment des compétences techniques, c'est difficile d'intervenir si on ne connait pas...
C'est aussi pour ça que Kikourou n'a pas pu profiter des coups de main qui m'ont été proposés...
Le point positif, c'est que le hacker est probablement un robot (un logiciel). Son objectif étant de prendre le contrôle du serveur pour envoyer du spam (l'activité est rémunératrice...), il n'y a pas d'intention malveillante par rapport à Kikouroù, à notre communauté.
Bref, j'ai dû attendre le 1er septembre pour commencer à réparer le bazar. Le travail est long et fastidieux. Surtout que j'en ai profité pour mettre en place une mise à jour importante du forum (qui était à l'ordre du jour depuis au moins 2 ans !).
Et en plus une rentrée professionnelle très chargée ne me facilite pas la tâche. Les limites de l'amateurisme... Merci donc d'être indulgent si les réparations trainent.
J'ai décidé de reprendre sérieusement en main la sécurité de Kikouroù. La 1ère étape consiste en une vérification ligne par ligne de tout le code, et le colmatage de pas mal de failles potentielles. C'est pour cela que les fonctionnalités de Kikouroù ne reviendront que goutte à goutte.
Merci d'être patient...
J'aurais besoin de votre aide pour :
- répondre au sondage ci-dessus, histoire d'avoir une idée de ce qui vous semble le plus urgent à remettre en route.
- s'il y a un expert en sécurité Web dans la salle, j'aurais besoin d'un avis sur les logiciels d'audit de sécurité de serveur Web (principalement injection SQL... car apache, mysql & co sont très vite patchés par l'hébergeur en cas de pb de sécurité)
- s'il y a un expert CSS dans la salle, j'aurais besoin d'un coup de main pour remettre le forum aux couleurs de kikourou (l'appel au CSS kikourou est visible dans le <head>, l'appel au CSS du forum est visible un peu plus bas, oui je sais c'est pas terrible mais je n'ai pas eu le temps de chercher mieux).
à+
Mathias
Piratage août 2010
177 messages
• Page 1 sur 5 • 1, 2, 3, 4, 5
par Free Wheelin' Nat » sa fiche K
» 10 Sep 2010, 08:10
Bon courage et merci Matthias!
par Chinaski » sa fiche K
» 10 Sep 2010, 08:44
A voté.
je me renseigne.
- s'il y a un expert en sécurité Web dans la salle, j'aurais besoin d'un avis sur les logiciels d'audit de sécurité de serveur Web (principalement injection SQL... car apache, mysql & co sont très vite patchés par l'hébergeur en cas de pb de sécurité)
je me renseigne.
par Bruno CATANIA » sa fiche K
» 10 Sep 2010, 09:54
A voté
Matthias,
J'ai "quelques"
compétence en tant que développeur informatique mais pas dans les domaines que tu recherches 
quand même je vois du coté des potes si quelqu'un peut nous "dépanner". 
UN GRAND MERCI pour tout ton travail
Bruno
Matthias,
J'ai "quelques"
compétence en tant que développeur informatique mais pas dans les domaines que tu recherches quand même je vois du coté des potes si quelqu'un peut nous "dépanner". UN GRAND MERCI pour tout ton travail
Bruno
par Eric Kikour Roux » sa fiche K
» 10 Sep 2010, 10:56
Bon courage, Maître!
- Le carnet me manque...mais je m'entraîne moins;
- Je ne peux toujours pas publier mon récit des Pyrénées...mais de toute façon, il n'est pas prêt du tout
Eric Merci!
- Le carnet me manque...mais je m'entraîne moins;
- Je ne peux toujours pas publier mon récit des Pyrénées...mais de toute façon, il n'est pas prêt du tout
Eric Merci!
par Eponyme » sa fiche K
» 10 Sep 2010, 11:23
A voté : Les récits, car même si je n'en est pas à mettre pour le moment, j'adore lire les exploits (quelqu'ils soient) des kikoureurs, ensuite calendrier et Kivaou, qui sont bien pratiques !
Bon courage pour tout ce boulot, rassures-toi, personne ne viendra rouspeter car cela prends trop de temps, on est tous conscient de tout le boulot qu'il y a derrière !
Alors merci pour le boulot déjà fait, et bon courage pour ce qui reste à faire
Bon courage pour tout ce boulot, rassures-toi, personne ne viendra rouspeter car cela prends trop de temps, on est tous conscient de tout le boulot qu'il y a derrière !
Alors merci pour le boulot déjà fait, et bon courage pour ce qui reste à faire
par RogerRunner13 » sa fiche K
» 10 Sep 2010, 11:28
Un grand merci à toi Mathias, sacré boulot.......
... Nan je déconne!!! Bon courage et grand merci à Mathias et tous ceux qui lui donnent un coup de mainpar bobchou » sa fiche K
» 10 Sep 2010, 12:58
1/ J'ai voté
2/ à priori si tu tiens à jours ton phpbb et que tu ne fais pas trop de spécifique, les failles sont corrigées plus vite qu'il ne te faudrait pour les détecter. Sinon un peu de veille sur le forum pour savoir s'il y a pas des bouts de code un peu fragile. Bien penser à vérifier les autorisations sur les répertoires ftp sur le serveur. C'est à priori toujours là que se font attaquer les serveurs. Un bout de code qui créée un fichier /temp ouvert et hop tu copies tes fichiers de spams et c'est parti (je me suis fais attaquer deux serveurs dans mes début comme ça. Mais on en revient toujours au même point si tes sources sont à jour il y a peut de chance que ton code soit attaqué.
3/ Sinon je regarde le fichier css et te tiens au courant.
2/ à priori si tu tiens à jours ton phpbb et que tu ne fais pas trop de spécifique, les failles sont corrigées plus vite qu'il ne te faudrait pour les détecter. Sinon un peu de veille sur le forum pour savoir s'il y a pas des bouts de code un peu fragile. Bien penser à vérifier les autorisations sur les répertoires ftp sur le serveur. C'est à priori toujours là que se font attaquer les serveurs. Un bout de code qui créée un fichier /temp ouvert et hop tu copies tes fichiers de spams et c'est parti (je me suis fais attaquer deux serveurs dans mes début comme ça. Mais on en revient toujours au même point si tes sources sont à jour il y a peut de chance que ton code soit attaqué.
3/ Sinon je regarde le fichier css et te tiens au courant.
par béné38 » sa fiche K
» 10 Sep 2010, 13:03
A voté !
J'ai pas voté forcément pour ce qui me parraissait le plus important pour moi mais plus pour la communauté. Parfois ça rejoint le vote général parfois pas. Dur de faire 3 choix.
Bon courage Mathias, je n'ai aucune compétence pour t'aider. Gardes toi quand même un peu de temps pour toi maintenant que la forme est bien revenue
!
J'ai pas voté forcément pour ce qui me parraissait le plus important pour moi mais plus pour la communauté. Parfois ça rejoint le vote général parfois pas. Dur de faire 3 choix.
Bon courage Mathias, je n'ai aucune compétence pour t'aider. Gardes toi quand même un peu de temps pour toi maintenant que la forme est bien revenue
!par tophenbave » sa fiche K
» 10 Sep 2010, 13:29
merci pour ce super boulot!!MATHIAS PRESIDENT!!!! 
par jpoggio » sa fiche K
» 10 Sep 2010, 13:41
Calendrier/Kivaou et récits, parce qu'après le forum, ce sont les piliers de Kikourou comme plate-forme d'échange, même si je comprends bien que ceux qui sont habitués au carnet d'entraînement soient malheureux !
C'est vrai que le retour de la boutique serait bien aussi, ne serait-ce qu'à cause de la facture du nouveau serveur qu'il faudra bien régler un jour
C'est vrai que le retour de la boutique serait bien aussi, ne serait-ce qu'à cause de la facture du nouveau serveur qu'il faudra bien régler un jour
par Françoise 84 » sa fiche K
» 10 Sep 2010, 14:57
Merci à toi, Mathias et surtout bon courage!!
par Aiaccinu » sa fiche K
» 10 Sep 2010, 15:22
Je reviens de 45 jours de vacances ( je sais j'ai honte mais j'aime ça) sans internet et la seule chose qui m'aurait fait passer la morosité du retour , c'est une bonne lecture des récits et des forums de kikous ,ainsi que de remplir mon carnet .
Et là je suis triste , vivement que Kikouroù revienne en entier !
J'ai voté !
Bon courage Mathias ( et merci)
Et là je suis triste , vivement que Kikouroù revienne en entier !
J'ai voté !
Bon courage Mathias ( et merci)
par ch'ti vincent » sa fiche K
» 10 Sep 2010, 22:00
J'ai voté chef !
Merci pour le boulot déja accomplit pour la remise en marche du bébé, & courage pour la suite
Merci pour le boulot déja accomplit pour la remise en marche du bébé, & courage pour la suite
177 messages
• Page 1 sur 5 • 1, 2, 3, 4, 5