Qu'apprend-on dans ces lignes ?

D'abord, si on ne le savait pas déjà, que des versions de phpBB et My eGallery sont vulnérables à des failles d'inclusion/exécution de code distant, respectivement celle-ci et probablement celle-là (qu'on semble trouver également dans 4nAlbum d'ailleurs). On remarquera que ces deux failles sont vieilles d'au moins deux ans, la seconde concernant même une application, en fait un module d'extension de PhpNuke et PostNuke (décidemment), qui ne semble plus maintenue... Il serait peut-être un peu optimiste de faire l'hypothèse que les kiddies qui utilisent ce type d'attaque obtiennent des résultats, mais si c'est le cas, cela ne manquera pas de laisser songueur sur le niveau de sécurité du web aujourd'hui, et ce n'est pas Bartavelle qui me contredira sur ce point.

Ensuite, on voit que le site http://ssalerno.free.fr/ s'est fait rooté. Surprenant ? Vu le nombre d'attaque de ce type trainant dans mes logs, je dirais que non. L'intrus y a déposé un joli script, tool25.dat, dont on appréciera la banière :

<!--
Defacing Tool 2.0 by r3v3ng4ns
revengans@gmail.com
se for modificar o codigo, por favor, mantenha o nome
de seus autores originaise por favor, entre em contato
comigo...
ae galera, serio, tem mta gente fdp q simplismente
usa, nao seja soh um sucker do script, n seja um
lammer imbecil, n seja o merda dum script kiddie, n
seja um babaca, ajude a melhora-lo tambem!!
-->

Cute isn't it ? L'inclusion d'un autre script distant (therules25.dat) est intéressante, même si ce contenu est malheureusement hors ligne. Ceci étant, le cache de Google vous le retrouvera rapidement, ainsi que pas mal d'autre ressources si vous poussez un peu la recherche. Et, enfin, le moins intéressant, on voit la source de l'attaque, à savoir une machine chez un ISP turc.

Comme quoi, même un site Web, tout ce qu'il y a de plus classique, ça fait un bon début de honeypot ;)