DuF51 Posté(e) le 21 décembre 2004 Partager Posté(e) le 21 décembre 2004 bonjour, J ai un probleme pour aller sur un forum que je consulte tout les jours un message d 'erreur apparait : => voir mon avatar c est écrit => This site is defaced!!! -------------------------------------------------------------------------------- NeverEverNoSanity WebWorm generation 17. connaissez vous ça ??? pouvez vous me renseigner ??? Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ago Posté(e) le 21 décembre 2004 Partager Posté(e) le 21 décembre 2004 tiens c'est marrant, 2 post qui se rejoignent Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 21 décembre 2004 Partager Posté(e) le 21 décembre 2004 Ben tu ne risque plus de voir grand chose, le serveur est down Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lestat666 Posté(e) le 21 décembre 2004 Partager Posté(e) le 21 décembre 2004 le "defacing" (defigurer en anglais), c'est hacker un site web en remplacant sa page d'accueil par un message/image souvent degradant... Lien vers le commentaire Partager sur d’autres sites More sharing options...
DuF51 Posté(e) le 21 décembre 2004 Auteur Partager Posté(e) le 21 décembre 2004 tiens c'est marrant, 2 post qui se rejoignent lequel ???????? le server est down OK, mais c est à cause de quoi a votre avis ....???? cette phrase " NeverEverNoSanity WebWorm generation 17." me semble douteuse !!!! Lien vers le commentaire Partager sur d’autres sites More sharing options...
DuF51 Posté(e) le 22 décembre 2004 Auteur Partager Posté(e) le 22 décembre 2004 merci pour vos réponses.... en fait , mon forum a été attacké par un ver : http://www.secuser.com/alertes/2004/santy.htm tout est rétabli apres un ptite maj..... bye Lien vers le commentaire Partager sur d’autres sites More sharing options...
vodnok Posté(e) le 22 décembre 2004 Partager Posté(e) le 22 décembre 2004 http://www.clubic.com/actualite-17821-sant...s-internet.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ S E C U S E R A L E R T E 21/12/04 http://www.secuser.com/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Virus Santy.A ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE 2. SYSTEME(S) CONCERNE(S) 3. PREVENTION 4. DESINFECTION 5. AIDE ET DISCUSSION 6. FAIRE CONNAITRE SECUSER ALERTE 7. CONTACTER SECUSER.COM 8. DESABONNEMENT ET CHANGEMENT D'ADRESSE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise en fait le piratage de sites web. http://www.secuser.com/alertes/2004/santy.htm ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2. SYSTEME(S) CONCERNE(S) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Forum phpBB version 2.0.10 et inférieures ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3. PREVENTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres ayant installé un forum phpBB doivent le mettre à jour immédiatement en téléchargeant la dernière version (2.0.11) sur le site de l'éditeur. Les internautes ne sont pas concernés par ce ver, qui risque simplement de rendre temporairement inaccessibles certains sites. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636 http://sourceforge.net/project/showfiles.php?group_id=66311 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 4. DESINFECTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres concernés doivent mettre à jour leur forum phpBB (voir Prévention) puis supprimer les fichiers installés par le ver. http://www.secuser.com/alertes/2004/santy.htm#Desinfection Lien vers le commentaire Partager sur d’autres sites More sharing options...
Cobra.sa Posté(e) le 22 décembre 2004 Partager Posté(e) le 22 décembre 2004 Y'a t'il des risques de perdre une partie de la base de donnée ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
vodnok Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 Apparemment ca efface tout. Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers. par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc) Lien vers le commentaire Partager sur d’autres sites More sharing options...
The Lootrophile Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers.par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc) Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles Et sinon, meme si il en a bien sûr la possibilité, je ne crois pas que Santy fasse des drop_table() ou autre suppression de chaines, ça ne leur servirait a rien : le créateur du ver veut se faire voir, une page défacée n'affiche pas une base de données dégradée, donc ça n'aurait aucune porté, il doit simplement se contenter d'écraser bestialement les fichiers comportement les extentions précitées (htm, html, php, js, phtml..) Lien vers le commentaire Partager sur d’autres sites More sharing options...
POLO9999 Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 ce forum a ete attaque a la genertaion 17 google essaie de stopper mais il propage encore je voit certain site contamine de la generation 25 Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles cool c'est gentil je peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige) Lien vers le commentaire Partager sur d’autres sites More sharing options...
melu Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 y'a pas que les forum, ma topliste a été effacée par Santy...la solution pour que ça ne recommence pas par cette faille, est de modifier le fichier viewtopic (moi, j'en n'ai pas dc le fichier où il y a la fonction "hignlight") j'y connais pas grand'chose dc je me refère à ce forum reproduit en français sur http://topmelusine.com Lien vers le commentaire Partager sur d’autres sites More sharing options...
The Lootrophile Posté(e) le 23 décembre 2004 Partager Posté(e) le 23 décembre 2004 cool c'est gentilje peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige) Tu as une faille de sécurité XSS dans tes commentaires, qui permet a n'importe qui de prendre n'importe quel compte sur ton forum, le tien compris. Mon msn est pkaucampgooob@aol.com si tu veux de l'aide et des explications, et éventuellement me donner ta source. =p Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 24 décembre 2004 Partager Posté(e) le 24 décembre 2004 ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger. merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
The Lootrophile Posté(e) le 24 décembre 2004 Partager Posté(e) le 24 décembre 2004 ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger.merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ? Ca marche, c'est une méthode barbarde, mais elle suffit amplement pour rendre inéficasse cette action, un simple test : <b>Test</b> montre à n'importe quel webmaster si son libre d'or, forum, ou autres zones de texte est protégée contre les petites failles. Lien vers le commentaire Partager sur d’autres sites More sharing options...
savory Posté(e) le 28 décembre 2004 Partager Posté(e) le 28 décembre 2004 http://www.touche-a-ton-nez.com/news.php?a...t;/tmp/.k" Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 28 décembre 2004 Partager Posté(e) le 28 décembre 2004 exact, vérif oubliée... c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ?? Lien vers le commentaire Partager sur d’autres sites More sharing options...
savory Posté(e) le 28 décembre 2004 Partager Posté(e) le 28 décembre 2004 Plutot topic sur comment securiser mod_php car les bug php si ce n'est pas toi qui les fait ca peut etre une appli que tu utilise (comme un forum par exemple ). Lien vers le commentaire Partager sur d’autres sites More sharing options...
The Lootrophile Posté(e) le 29 décembre 2004 Partager Posté(e) le 29 décembre 2004 exact, vérif oubliée...c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ?? Je me permet de l'initier, je cogitais également sur un tel sujet =p Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.