Aller au contenu
Invision Board France
Bencas

Alerte hacking sous forums phpBB

Messages recommandés

Bencas

Bonsoir à tous

 

depuis cette après midi un ver efface les forums ipB et phpBB. le site http://www.peer2p.com/ a été effacé et aussi au moins 40 autres.

voici un article que j'ai trouvé mais incluez le ipB: http://www.secuser.com/alertes/2004/santy.htm

 

il n'y a pas de maj à faire le ver entre dans l'hébergeur et efface tout.

c'est vraiment un truc de malade. à l'instant http://www.sharemanga.com/ vient d'etre effacé.

 

Voilà donc au cas ou vous ne sachiez pas voilà la news du soir

 

Bencas

Partager ce message


Lien à poster
Partager sur d’autres sites
LLaumgui
le site XXX a été effacé et aussi au moins 40 autres.

40 sites et tu cite un site illégal... Sinon, l'article parle de phpBB mais pas de IPB...

Partager ce message


Lien à poster
Partager sur d’autres sites
Bozoorak

Ouèp bencas tu peu me dire ou tu a vus qu'on parlait de ipb ? Non car tous les forums éffacer était des php bb ^^

Partager ce message


Lien à poster
Partager sur d’autres sites
Bencas

désolé d'avoir cité un illégal c'est le seul que j'avasi sous la main! et on peut laisser le lien étant donné qu'il est mort ^_^

 

J'ai 3 amis qui ont vu leur forum effacés et c'était du ipB. comme je l'ai dis sur l'autre forum ipBr-fr j'ai pas créé le topic pour rien!

 

Oui c'est inquiétant car le ver est très rapide!

 

Bencas

Partager ce message


Lien à poster
Partager sur d’autres sites
kloobik

Pour le webmaster/administrateur prévoyant, la gêne ne dure que quelques minutes normalement ^_^

Partager ce message


Lien à poster
Partager sur d’autres sites
Teddy

Perso j'ai déplacé et chmodé mon forum... le vers utilise google pour trouver des forums et les fait planter un à un.

Partager ce message


Lien à poster
Partager sur d’autres sites
Erwin

Apparement il commence en infectant un phpBB. Puis une fois en mémoire il se propage et efface le reste.

Partager ce message


Lien à poster
Partager sur d’autres sites
Bencas

moi perso j'ai fais une back up + copie du ftp + chmods changés

Partager ce message


Lien à poster
Partager sur d’autres sites
LLaumgui

Je fais une backup de mes 1.x pour plus de sécuritée...

Partager ce message


Lien à poster
Partager sur d’autres sites
kloobik

En meme temps, c'est pas la peine de provoquer une panique.

Comme je l'ai dit précedemment, si vous etes prévoyant, vous devez avoir des sauvegardes régulières :

- de vos ftp

- de vos bases de données

Bien sur c'est embetant mais au final, si vos sauvegardes sont régulières, vous perdez 1 ou 2 journées de posts. Rien de méchant. C'est déjà arrivé sur IBF.

 

Si ensuite vos scripts de forum sont à jour (notamment phpBB), vous n'avez a priori que peu de soucis à vous faire. Maintenant, si vous ne faites pas de sauvegardes de votre ftp ni de vos bases et que vos scripts datent de l'ére primaire, bah .... à bientot par mail alors ^_^

Partager ce message


Lien à poster
Partager sur d’autres sites
Bencas

oui biensur mais c'est vrai que la surprise n'est pas très sympa si on est pas au courant ^_^ Le carnage continue encore 2 forums lol je rêve là

Partager ce message


Lien à poster
Partager sur d’autres sites
afrolatino.net

je recopie mon post dans ce topic

 

Alerte - Un ver informatique attaque des IPB 1.3.1

NeverEverNoSanity WebWorm generation 10

santyworm.jpg

j'ai subi ce probleme sur 2 sous domaine de http://www.afrolatino.net

http://i.afrolatino.net et http://imode.afrolatino.net

mardi 21 décembre 2004 00:05:00

 

tous les fichiers .php a la racine ont ete modifie et a été ajoute 1.htm

ceci contenait

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 10.</b></ADDRESS>
</BODY></HTML>

 

Mon hebergeur est entrain de changer de plateforme PHP

je pensais que c'etait du a sa manip

mais en voyant cette news sur http://www.open-files.com

http://www.open-files.com/forum/index.php?showtopic=23071

et sur http://www.k-otik.com/news/20041221.phpbbworm.php

 

et je viens de m'apercevoir que de nouveau http://i.afrolatino.net

a été modifie mardi 21 décembre 2004 07:17:00

 

mon site traite "Site Portail Actus Evènementiels Salsa, Afro, Rock, Danses à 2"

et de plus ces 2 sous domaines sont des version imode du site

et en aucun cas de P2P

 

donc j'ai fait passer l'info à mon hebergeur (OXYD.FR), en attendant

 

D'ou viens cette faille et sur quelle version de PHP, avez vous des infos?

Partager ce message


Lien à poster
Partager sur d’autres sites
afrolatino.net

Pour revenir plus en detail voici les modif qui on été faite par ce ver NeverEverNoSanity WebWorm generation 10

 

il a remplacé dans 2 sous domaine :

ceux ci ne contenait que 2 fichiers PHP (donc je pense qu'il suit tous les liens php qu'il trouve) c'est 2 sous domaine sont la version imode du forum IPB

 

index.php mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

nav.php mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

 

il a ajouté:

1.htm mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

 

impossible changer les attribut de ces fichiers pour les remplacer

il faut les effacer pour lezs remplacer

 

Petit question

d'autres sites sont touches mais avec un numero de version different

NeverEverNoSanity WebWorm generation XX

A quoi cela correspond?

Partager ce message


Lien à poster
Partager sur d’autres sites
Mésange

Ca correspond au nombre de cycles qu'a effectué le ver c'est-à-dire qu'il a infecté x sites avant

Partager ce message


Lien à poster
Partager sur d’autres sites
POLO
Pour le webmaster/administrateur prévoyant, la gêne ne dure que quelques minutes normalement :)

Alors attends, quand on est attaqué il faut faire un back up avec Uqiqi précédée d'un back up des fichiers avec son ftp ?

 

(deuxième fois que j'suis attaqué...)

Partager ce message


Lien à poster
Partager sur d’autres sites
afrolatino.net
Alors attends, quand on est attaqué il faut faire un back up avec Uqiqi précédée d'un back up des fichiers avec son ftp ?

 

(deuxième fois que j'suis attaqué...)

 

Il faut que ton hebergeur pach son php sinon cela reveindra plusieurs,

cela vient d'une faille de phpbb et affecte tous les fichiers html, php, asp et encore d'autres sur les hebergements mutualisés tous les sites sont touches meme IPB

Partager ce message


Lien à poster
Partager sur d’autres sites
Mésange

Demandez à votre hébergeur d'interdire la fonction system() et en plus demander la mise à jour vers 4.3.10 car les prochains vers exploiteront la faille de php

Modifié par Mésange

Partager ce message


Lien à poster
Partager sur d’autres sites
afrolatino.net
Demandez à votre hébergeur d'interdire la fonction system()  et en plus demander la mise à jour vers 4.3.10 car les prochains vers exploiteront la faille de php

Que renvoi de particulier cette fonction?

Partager ce message


Lien à poster
Partager sur d’autres sites
Equipe IBF

Attention... pour l'instant, Invision Power Board n'est pas touché... (j'ai pas trouvé de news où ils parlent qu'IPB est touché) >>

Alerte - Un ver informatique attaque des sites web via une faille phpBB

Par la Cellule-Veille © K-OTik Security (21/12/2004)

 

K-OTik.COM / Risque Elevé 3/4

Risque Elevé (3/4)

 

Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis

 

Santy.a identifie ses cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).

 

 

Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".

 

Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.

 

 

Solution

 

- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.

- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).

 

 

Signatures Snort

 

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem(":)

alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22":'(

 

 

Références

 

http://www.k-otik.com/exploits/20041122.r57phpbb2010.pl.php

http://www.f-secure.com/v-descs/santy_a.shtml

http://www.sarc.com/avcenter/venc/data/perl.santy.html

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

http://www.k-otik.com/exploits/20041217.ph...emorydump.c.php

 

ChangeLog

 

21-12-2004 (18h50) : Version Initiale

22-12-2004 (03h05) : Google bloque les requêtes Santy

 

Source // http://www.k-otik.com/news/20041221.phpbbworm.php

Partager ce message


Lien à poster
Partager sur d’autres sites
afrolatino.net

Non il n'attaque pas ipb directement

il passe par phpbb, et une fois qu'il est en memoire sur le serveur web, il peut modifier toute page web (html,php,asp,shtml,...)

donc si tu est sur un hebergement mutualisé et qu'un forum phpbb est touche par le vers, celui ci peut modifier toutes les pages qui sont heberges sur celui ci

donc si tu as un forum ipb ou autre, tu peux etre toucher par ce vers

j'en ai eu l'experience

Partager ce message


Lien à poster
Partager sur d’autres sites
Mésange

La fonction system() est utilisée par le vers pour se reproduire et infecter le reste du serveur web. La désactiver circonscrit l'attaque au compte attaqué sans pouvoir infecter les autres. J'ai eu le code du ver sous les yeux et clairement ça n'attaque que phpBB à la base car ça recherche viewtopic.php.

Modifié par Mésange

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.