Aller au contenu

message d'acceuil tres étrange !


DuF51

Messages recommandés

bonjour,

J ai un probleme pour aller sur un forum que je consulte tout les jours

un message d 'erreur apparait : => voir mon avatar

c est écrit =>

This site is defaced!!!

--------------------------------------------------------------------------------

NeverEverNoSanity WebWorm generation 17.

connaissez vous ça ??? pouvez vous me renseigner ???

Merci

Lien vers le commentaire
Partager sur d’autres sites

http://www.clubic.com/actualite-17821-sant...s-internet.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

S E C U S E R A L E R T E 21/12/04

http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Virus Santy.A

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

2. SYSTEME(S) CONCERNE(S)

3. PREVENTION

4. DESINFECTION

5. AIDE ET DISCUSSION

6. FAIRE CONNAITRE SECUSER ALERTE

7. CONTACTER SECUSER.COM

8. DESABONNEMENT ET CHANGEMENT D'ADRESSE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Santy.A est un ver qui cible uniquement les sites web hébergeant un forum

phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en

exploitant une vulnérabilité critique récemment divulguée, puis remplace sa

page d'accueil par un message "This site is defaced!!!" en rouge sur fond

noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont

pas affectés par ce ver, qui automatise en fait le piratage de sites web.

http://www.secuser.com/alertes/2004/santy.htm

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. SYSTEME(S) CONCERNE(S)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Forum phpBB version 2.0.10 et inférieures

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3. PREVENTION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les webmestres ayant installé un forum phpBB doivent le mettre à jour

immédiatement en téléchargeant la dernière version (2.0.11) sur le site

de l'éditeur. Les internautes ne sont pas concernés par ce ver, qui

risque simplement de rendre temporairement inaccessibles certains sites.

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636

http://sourceforge.net/project/showfiles.php?group_id=66311

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

4. DESINFECTION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les webmestres concernés doivent mettre à jour leur forum phpBB (voir

Prévention) puis supprimer les fichiers installés par le ver.

http://www.secuser.com/alertes/2004/santy.htm#Desinfection

Lien vers le commentaire
Partager sur d’autres sites

ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers.

par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc)

Lien vers le commentaire
Partager sur d’autres sites

ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers.

par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc)

Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles :yes:

Et sinon, meme si il en a bien sûr la possibilité, je ne crois pas que Santy fasse des drop_table() ou autre suppression de chaines, ça ne leur servirait a rien : le créateur du ver veut se faire voir, une page défacée n'affiche pas une base de données dégradée, donc ça n'aurait aucune porté, il doit simplement se contenter d'écraser bestialement les fichiers comportement les extentions précitées (htm, html, php, js, phtml..)

Lien vers le commentaire
Partager sur d’autres sites

Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles :D

cool c'est gentil

je peux meme vous faire passer les sources si nécessaire

le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires)

il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot)

(et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige)

Lien vers le commentaire
Partager sur d’autres sites

y'a pas que les forum, ma topliste a été effacée par Santy...la solution pour que ça ne recommence pas par cette faille, est de modifier le fichier viewtopic (moi, j'en n'ai pas dc le fichier où il y a la fonction "hignlight")

j'y connais pas grand'chose dc je me refère à ce forum reproduit en français sur http://topmelusine.com :D

Lien vers le commentaire
Partager sur d’autres sites

cool c'est gentil

je peux meme vous faire passer les sources si nécessaire

le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires)

il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot)

(et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige)

Tu as une faille de sécurité XSS dans tes commentaires, qui permet a n'importe qui de prendre n'importe quel compte sur ton forum, le tien compris.

Mon msn est pkaucampgooob@aol.com si tu veux de l'aide et des explications, et éventuellement me donner ta source. =p

Lien vers le commentaire
Partager sur d’autres sites

ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger.

merci d'avoir checké en tout cas!

edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ?

Lien vers le commentaire
Partager sur d’autres sites

ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger.

merci d'avoir checké en tout cas!

edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ?

Ca marche, c'est une méthode barbarde, mais elle suffit amplement pour rendre inéficasse cette action, un simple test : <b>Test</b> montre à n'importe quel webmaster si son libre d'or, forum, ou autres zones de texte est protégée contre les petites failles.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...