Posté(e) le 21 décembre 200420 a bonjour, J ai un probleme pour aller sur un forum que je consulte tout les jours un message d 'erreur apparait : => voir mon avatar c est écrit => This site is defaced!!! -------------------------------------------------------------------------------- NeverEverNoSanity WebWorm generation 17. connaissez vous ça ??? pouvez vous me renseigner ??? Merci
Posté(e) le 21 décembre 200420 a le "defacing" (defigurer en anglais), c'est hacker un site web en remplacant sa page d'accueil par un message/image souvent degradant...
Posté(e) le 21 décembre 200420 a Auteur tiens c'est marrant, 2 post qui se rejoignent lequel ???????? le server est down OK, mais c est à cause de quoi a votre avis ....???? cette phrase " NeverEverNoSanity WebWorm generation 17." me semble douteuse !!!!
Posté(e) le 22 décembre 200420 a Auteur merci pour vos réponses.... en fait , mon forum a été attacké par un ver : http://www.secuser.com/alertes/2004/santy.htm tout est rétabli apres un ptite maj..... bye
Posté(e) le 22 décembre 200420 a http://www.clubic.com/actualite-17821-sant...s-internet.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ S E C U S E R A L E R T E 21/12/04 http://www.secuser.com/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Virus Santy.A ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE 2. SYSTEME(S) CONCERNE(S) 3. PREVENTION 4. DESINFECTION 5. AIDE ET DISCUSSION 6. FAIRE CONNAITRE SECUSER ALERTE 7. CONTACTER SECUSER.COM 8. DESABONNEMENT ET CHANGEMENT D'ADRESSE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise en fait le piratage de sites web. http://www.secuser.com/alertes/2004/santy.htm ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2. SYSTEME(S) CONCERNE(S) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Forum phpBB version 2.0.10 et inférieures ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3. PREVENTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres ayant installé un forum phpBB doivent le mettre à jour immédiatement en téléchargeant la dernière version (2.0.11) sur le site de l'éditeur. Les internautes ne sont pas concernés par ce ver, qui risque simplement de rendre temporairement inaccessibles certains sites. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636 http://sourceforge.net/project/showfiles.php?group_id=66311 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 4. DESINFECTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres concernés doivent mettre à jour leur forum phpBB (voir Prévention) puis supprimer les fichiers installés par le ver. http://www.secuser.com/alertes/2004/santy.htm#Desinfection
Posté(e) le 23 décembre 200420 a ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers. par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc)
Posté(e) le 23 décembre 200420 a ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers.par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc) Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles Et sinon, meme si il en a bien sûr la possibilité, je ne crois pas que Santy fasse des drop_table() ou autre suppression de chaines, ça ne leur servirait a rien : le créateur du ver veut se faire voir, une page défacée n'affiche pas une base de données dégradée, donc ça n'aurait aucune porté, il doit simplement se contenter d'écraser bestialement les fichiers comportement les extentions précitées (htm, html, php, js, phtml..)
Posté(e) le 23 décembre 200420 a ce forum a ete attaque a la genertaion 17 google essaie de stopper mais il propage encore je voit certain site contamine de la generation 25
Posté(e) le 23 décembre 200420 a Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles cool c'est gentil je peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige)
Posté(e) le 23 décembre 200420 a y'a pas que les forum, ma topliste a été effacée par Santy...la solution pour que ça ne recommence pas par cette faille, est de modifier le fichier viewtopic (moi, j'en n'ai pas dc le fichier où il y a la fonction "hignlight") j'y connais pas grand'chose dc je me refère à ce forum reproduit en français sur http://topmelusine.com
Posté(e) le 23 décembre 200420 a cool c'est gentilje peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige) Tu as une faille de sécurité XSS dans tes commentaires, qui permet a n'importe qui de prendre n'importe quel compte sur ton forum, le tien compris. Mon msn est pkaucampgooob@aol.com si tu veux de l'aide et des explications, et éventuellement me donner ta source. =p Modifié le 23 décembre 200420 a par The Lootrophile
Posté(e) le 24 décembre 200420 a ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger. merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ? Modifié le 24 décembre 200420 a par k-o-x
Posté(e) le 24 décembre 200420 a ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger.merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ? Ca marche, c'est une méthode barbarde, mais elle suffit amplement pour rendre inéficasse cette action, un simple test : <b>Test</b> montre à n'importe quel webmaster si son libre d'or, forum, ou autres zones de texte est protégée contre les petites failles.
Posté(e) le 28 décembre 200420 a exact, vérif oubliée... c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ?? Modifié le 28 décembre 200420 a par k-o-x
Posté(e) le 28 décembre 200420 a Plutot topic sur comment securiser mod_php car les bug php si ce n'est pas toi qui les fait ca peut etre une appli que tu utilise (comme un forum par exemple ).
Posté(e) le 29 décembre 200420 a exact, vérif oubliée...c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ?? Je me permet de l'initier, je cogitais également sur un tel sujet =p Modifié le 29 décembre 200420 a par The Lootrophile
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.