IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Phising - PHP


Sujet :

Sécurité

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2017
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2017
    Messages : 22
    Par défaut Phising - PHP
    Bonjour à tous,
    Ce matin en ouvrant ma boite mail j'ai eu le plaisir de découvrir un joli mail de Phishing.
    Etant d'humeur enjouée aujourd’hui j'ai décidé de décortiquer un peu ce mail.
    concernant l'adresse mail en elle mail, rien de bien exploitable. si ce n'est que mon phisher passe par le serveur de messagerie de l'université de Cergy-Pontoise : quinze-vingts50116075507416799@webmail.u-cergy.fr
    Il est donc soit étudiant à Cergy (ce dont je doute), soit il passe par leur serveur de messagerie. (j'enverrais un petit mail à l'administrateur de ce serveur de messagerie au cas ou).

    Coté code HTML du message à proprement parlé, rien de tres surprenant, le code phisingde redirection facilement trouvé :
    <a href="http://eawwt.com/install.php" target="_blank" rel="noopener noreferrer">
    <button type="button" class="x_btn x_btn-danger">Démarche de validation</button></a>

    1er constat, ce bouton redirige vers eawwt.com, qui apres recherche est un site enregistré il n'y a pas tres longtemps.
    Aucune trace de ce site sur le net, aucun Référencement par les moteurs de recherche traditionnels, et un WHOIS me donne un administrateur avec une adresse GMAIL, etrange.....
    Je penche pour dire que ce site est exclusivement dédié au phishing, et n'est pas un site "clean" dont un hacker aurait pris le controle.
    Pour ceux que ca interesse l'url en question : http://www.eawwt.com (noté leHTTP et non pas le HTTPS.....)

    2eme constat : ET C'EST LA QUE JE VAIS AVOIR BESOIN DE VOS LUMIERES LES GARS ! La redirection renvoie directement vers un script PHP ("http://eawwt.com/install.php")
    Je ne m'y connais pas encore suffisament en php pour pouvoir creuser plus loin.
    Y a t'il un moyen d'obtenir le code PHP de cette page autrement qu'en allant dessus.
    Et question annexe, est-ce potentiellement dangereux de cliquer sur ce lien (genre script php qui exploiterait une faille de sécurité de ma machine).

    En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")
    Merci pour vos conseils éclairés.

  2. #2
    Expert confirmé
    Avatar de mathieu
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10 699
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10 699
    Par défaut
    Citation Envoyé par _john_doe Voir le message
    En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")
    on arrive bien sur une redirection d'une page sur le domaine sabuko.org qui affiche un écran de connexion se faisant passer pour Free Mobile
    ce site à l'air d'être celui d'une association qui c'est fait piraté pour se retrouver avec cette page de connexion https://www.sabuko.org/

  3. #3
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2017
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2017
    Messages : 22
    Par défaut
    Merci Mathieu,
    Perso j'avais pas osé cliquer De peur d'un exploit PhP sur ma machine

    Mais du coup je vois pas leur logique, pourquoi n'ont t'ils pas mis directement leur page d'hameconnage directement sur le 1er serveur, vu qu'ils semblent le controler aussi ?

  4. #4
    Membre confirmé
    Homme Profil pro
    Etudiant presque sérieux
    Inscrit en
    Novembre 2015
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Etudiant presque sérieux
    Secteur : Tourisme - Loisirs

    Informations forums :
    Inscription : Novembre 2015
    Messages : 15
    Par défaut
    Un script PHP s'exécute coté serveur et mis a part te renvoyer du html et du JS il ne peut rien faire de bien méchant. Les navigateurs moderne protègent énormément l'utilisateur (tout est plutôt très bien cloisonné) à tel point que pour corrompre sa machine juste en cliquant sur un lien il faut presque le vouloir.

Discussions similaires

  1. [EDI] Quel est l'éditeur que vous recommandez pour PHP ?
    Par Lana.Bauer dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 400
    Dernier message: 10/04/2018, 20h08
  2. Quel est le meilleur script PHP de portail (CMS) ?
    Par Lana.Bauer dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 187
    Dernier message: 18/10/2012, 07h45
  3. L'avenir est-il au PHP ?
    Par Manolo dans le forum Langage
    Réponses: 468
    Dernier message: 11/02/2008, 18h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo