DuF51 Posted December 21, 2004 Posted December 21, 2004 bonjour, J ai un probleme pour aller sur un forum que je consulte tout les jours un message d 'erreur apparait : => voir mon avatar c est écrit => This site is defaced!!! -------------------------------------------------------------------------------- NeverEverNoSanity WebWorm generation 17. connaissez vous ça ??? pouvez vous me renseigner ??? Merci
theocrite Posted December 21, 2004 Posted December 21, 2004 Ben tu ne risque plus de voir grand chose, le serveur est down
Lestat666 Posted December 21, 2004 Posted December 21, 2004 le "defacing" (defigurer en anglais), c'est hacker un site web en remplacant sa page d'accueil par un message/image souvent degradant...
DuF51 Posted December 21, 2004 Author Posted December 21, 2004 tiens c'est marrant, 2 post qui se rejoignent lequel ???????? le server est down OK, mais c est à cause de quoi a votre avis ....???? cette phrase " NeverEverNoSanity WebWorm generation 17." me semble douteuse !!!!
DuF51 Posted December 22, 2004 Author Posted December 22, 2004 merci pour vos réponses.... en fait , mon forum a été attacké par un ver : http://www.secuser.com/alertes/2004/santy.htm tout est rétabli apres un ptite maj..... bye
vodnok Posted December 22, 2004 Posted December 22, 2004 http://www.clubic.com/actualite-17821-sant...s-internet.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ S E C U S E R A L E R T E 21/12/04 http://www.secuser.com/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Virus Santy.A ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE 2. SYSTEME(S) CONCERNE(S) 3. PREVENTION 4. DESINFECTION 5. AIDE ET DISCUSSION 6. FAIRE CONNAITRE SECUSER ALERTE 7. CONTACTER SECUSER.COM 8. DESABONNEMENT ET CHANGEMENT D'ADRESSE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. RESUME DE L'ALERTE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise en fait le piratage de sites web. http://www.secuser.com/alertes/2004/santy.htm ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2. SYSTEME(S) CONCERNE(S) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Forum phpBB version 2.0.10 et inférieures ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3. PREVENTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres ayant installé un forum phpBB doivent le mettre à jour immédiatement en téléchargeant la dernière version (2.0.11) sur le site de l'éditeur. Les internautes ne sont pas concernés par ce ver, qui risque simplement de rendre temporairement inaccessibles certains sites. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636 http://sourceforge.net/project/showfiles.php?group_id=66311 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 4. DESINFECTION ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les webmestres concernés doivent mettre à jour leur forum phpBB (voir Prévention) puis supprimer les fichiers installés par le ver. http://www.secuser.com/alertes/2004/santy.htm#Desinfection
Cobra.sa Posted December 22, 2004 Posted December 22, 2004 Y'a t'il des risques de perdre une partie de la base de donnée ?
njoyard Posted December 23, 2004 Posted December 23, 2004 ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers. par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc)
The Lootrophile Posted December 23, 2004 Posted December 23, 2004 ben éztant donné que la vulnérabilité permet d'installer des scripts sur le serveur, OUI tu peux effacer la base de données et aussi tous les autres fichiers.par exemple, moi qui commence en php (depuis 4 mois), je sais que mes pages ont surement pas mal de failles alors je fais un backup quotidien, DB et fichiers (enfin fichiers c'est pas la peine puisque je les modifie peu et que quand je le fais c'est sur mon pc) Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles Et sinon, meme si il en a bien sûr la possibilité, je ne crois pas que Santy fasse des drop_table() ou autre suppression de chaines, ça ne leur servirait a rien : le créateur du ver veut se faire voir, une page défacée n'affiche pas une base de données dégradée, donc ça n'aurait aucune porté, il doit simplement se contenter d'écraser bestialement les fichiers comportement les extentions précitées (htm, html, php, js, phtml..)
POLO9999 Posted December 23, 2004 Posted December 23, 2004 ce forum a ete attaque a la genertaion 17 google essaie de stopper mais il propage encore je voit certain site contamine de la generation 25
njoyard Posted December 23, 2004 Posted December 23, 2004 Tu fais tourner l'adresse de ton site ? On va te le dire, nous, si il y a des failles cool c'est gentil je peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige)
melu Posted December 23, 2004 Posted December 23, 2004 y'a pas que les forum, ma topliste a été effacée par Santy...la solution pour que ça ne recommence pas par cette faille, est de modifier le fichier viewtopic (moi, j'en n'ai pas dc le fichier où il y a la fonction "hignlight") j'y connais pas grand'chose dc je me refère à ce forum reproduit en français sur http://topmelusine.com
The Lootrophile Posted December 23, 2004 Posted December 23, 2004 cool c'est gentilje peux meme vous faire passer les sources si nécessaire le site est en signature, les parties a problèmes éventuels sont dans news.php ("archives de news" en bas de l'accueil ou "ajouter un commentaire") et dans les photos (où il y a le même système de commentaires) il y a même encore surement des failles que j'aurais pu corriger, mais j'ai pas trop eu le temps ces derniers temps (des vérifs basiques de paramètres, remplacement de caractères '/' ou '<' voir même ';'... ça je vais le faire très bientot) (et OUI, JE SAIS, mon phpbb est encore en 2.0.10, mais je suis en train de passer a la 11, phpbb-mods oblige) Tu as une faille de sécurité XSS dans tes commentaires, qui permet a n'importe qui de prendre n'importe quel compte sur ton forum, le tien compris. Mon msn est pkaucampgooob@aol.com si tu veux de l'aide et des explications, et éventuellement me donner ta source. =p
njoyard Posted December 24, 2004 Posted December 24, 2004 ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger. merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ?
The Lootrophile Posted December 24, 2004 Posted December 24, 2004 ok, on se verra sur msn bientot, j'ai cherché un peu d'infos sur cette faille XSS et j'aurais effectivement besoin de quelques conseils pour la corriger.merci d'avoir checké en tout cas! edit: j'ai "corrigé" la faille en remplacant les ">" et "<" par ">" et "<" dans le texte entré. ca semble suffire pour rendre inefficace ton injection, mais est-ce la seule chose a faire ? Ca marche, c'est une méthode barbarde, mais elle suffit amplement pour rendre inéficasse cette action, un simple test : <b>Test</b> montre à n'importe quel webmaster si son libre d'or, forum, ou autres zones de texte est protégée contre les petites failles.
savory Posted December 28, 2004 Posted December 28, 2004 http://www.touche-a-ton-nez.com/news.php?a...t;/tmp/.k"
njoyard Posted December 28, 2004 Posted December 28, 2004 exact, vérif oubliée... c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ??
savory Posted December 28, 2004 Posted December 28, 2004 Plutot topic sur comment securiser mod_php car les bug php si ce n'est pas toi qui les fait ca peut etre une appli que tu utilise (comme un forum par exemple ).
The Lootrophile Posted December 29, 2004 Posted December 29, 2004 exact, vérif oubliée...c'est corrigé, merci ! du coup j'ai limite envie de faireun topic sur les failles de sécurité de base a éviter dans du code php/mysql. vous en pensez quoi ?? Je me permet de l'initier, je cogitais également sur un tel sujet =p
Recommended Posts
Archived
This topic is now archived and is closed to further replies.