Aller au contenu
Invision Board France

Alerte hacking sous forums phpBB


Bencas

Messages recommandés

Bonsoir à tous

 

depuis cette après midi un ver efface les forums ipB et phpBB. le site http://www.peer2p.com/ a été effacé et aussi au moins 40 autres.

voici un article que j'ai trouvé mais incluez le ipB: http://www.secuser.com/alertes/2004/santy.htm

 

il n'y a pas de maj à faire le ver entre dans l'hébergeur et efface tout.

c'est vraiment un truc de malade. à l'instant http://www.sharemanga.com/ vient d'etre effacé.

 

Voilà donc au cas ou vous ne sachiez pas voilà la news du soir

 

Bencas

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 72
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

  • Mésange

    12

  • Bencas

    10

  • afrolatino.net

    8

  • dash

    7

Meilleurs contributeurs dans ce sujet

désolé d'avoir cité un illégal c'est le seul que j'avasi sous la main! et on peut laisser le lien étant donné qu'il est mort ^_^

 

J'ai 3 amis qui ont vu leur forum effacés et c'était du ipB. comme je l'ai dis sur l'autre forum ipBr-fr j'ai pas créé le topic pour rien!

 

Oui c'est inquiétant car le ver est très rapide!

 

Bencas

Lien vers le commentaire
Partager sur d’autres sites

En meme temps, c'est pas la peine de provoquer une panique.

Comme je l'ai dit précedemment, si vous etes prévoyant, vous devez avoir des sauvegardes régulières :

- de vos ftp

- de vos bases de données

Bien sur c'est embetant mais au final, si vos sauvegardes sont régulières, vous perdez 1 ou 2 journées de posts. Rien de méchant. C'est déjà arrivé sur IBF.

 

Si ensuite vos scripts de forum sont à jour (notamment phpBB), vous n'avez a priori que peu de soucis à vous faire. Maintenant, si vous ne faites pas de sauvegardes de votre ftp ni de vos bases et que vos scripts datent de l'ére primaire, bah .... à bientot par mail alors ^_^

Lien vers le commentaire
Partager sur d’autres sites

je recopie mon post dans ce topic

 

Alerte - Un ver informatique attaque des IPB 1.3.1

NeverEverNoSanity WebWorm generation 10

santyworm.jpg

j'ai subi ce probleme sur 2 sous domaine de http://www.afrolatino.net

http://i.afrolatino.net et http://imode.afrolatino.net

mardi 21 décembre 2004 00:05:00

 

tous les fichiers .php a la racine ont ete modifie et a été ajoute 1.htm

ceci contenait

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 10.</b></ADDRESS>
</BODY></HTML>

 

Mon hebergeur est entrain de changer de plateforme PHP

je pensais que c'etait du a sa manip

mais en voyant cette news sur http://www.open-files.com

http://www.open-files.com/forum/index.php?showtopic=23071

et sur http://www.k-otik.com/news/20041221.phpbbworm.php

 

et je viens de m'apercevoir que de nouveau http://i.afrolatino.net

a été modifie mardi 21 décembre 2004 07:17:00

 

mon site traite "Site Portail Actus Evènementiels Salsa, Afro, Rock, Danses à 2"

et de plus ces 2 sous domaines sont des version imode du site

et en aucun cas de P2P

 

donc j'ai fait passer l'info à mon hebergeur (OXYD.FR), en attendant

 

D'ou viens cette faille et sur quelle version de PHP, avez vous des infos?

Lien vers le commentaire
Partager sur d’autres sites

Pour revenir plus en detail voici les modif qui on été faite par ce ver NeverEverNoSanity WebWorm generation 10

 

il a remplacé dans 2 sous domaine :

ceux ci ne contenait que 2 fichiers PHP (donc je pense qu'il suit tous les liens php qu'il trouve) c'est 2 sous domaine sont la version imode du forum IPB

 

index.php mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

nav.php mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

 

il a ajouté:

1.htm mardi 21 décembre 2004 07:17:00 270 Bytes attribut 644

 

impossible changer les attribut de ces fichiers pour les remplacer

il faut les effacer pour lezs remplacer

 

Petit question

d'autres sites sont touches mais avec un numero de version different

NeverEverNoSanity WebWorm generation XX

A quoi cela correspond?

Lien vers le commentaire
Partager sur d’autres sites

Pour le webmaster/administrateur prévoyant, la gêne ne dure que quelques minutes normalement :)

Alors attends, quand on est attaqué il faut faire un back up avec Uqiqi précédée d'un back up des fichiers avec son ftp ?

 

(deuxième fois que j'suis attaqué...)

Lien vers le commentaire
Partager sur d’autres sites

Alors attends, quand on est attaqué il faut faire un back up avec Uqiqi précédée d'un back up des fichiers avec son ftp ?

 

(deuxième fois que j'suis attaqué...)

 

Il faut que ton hebergeur pach son php sinon cela reveindra plusieurs,

cela vient d'une faille de phpbb et affecte tous les fichiers html, php, asp et encore d'autres sur les hebergements mutualisés tous les sites sont touches meme IPB

Lien vers le commentaire
Partager sur d’autres sites

Demandez à votre hébergeur d'interdire la fonction system() et en plus demander la mise à jour vers 4.3.10 car les prochains vers exploiteront la faille de php

Modifié par Mésange
Lien vers le commentaire
Partager sur d’autres sites

Attention... pour l'instant, Invision Power Board n'est pas touché... (j'ai pas trouvé de news où ils parlent qu'IPB est touché) >>

Alerte - Un ver informatique attaque des sites web via une faille phpBB

Par la Cellule-Veille © K-OTik Security (21/12/2004)

 

K-OTik.COM / Risque Elevé 3/4

Risque Elevé (3/4)

 

Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis

 

Santy.a identifie ses cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).

 

 

Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".

 

Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.

 

 

Solution

 

- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.

- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).

 

 

Signatures Snort

 

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem(":)

alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22":'(

 

 

Références

 

http://www.k-otik.com/exploits/20041122.r57phpbb2010.pl.php

http://www.f-secure.com/v-descs/santy_a.shtml

http://www.sarc.com/avcenter/venc/data/perl.santy.html

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

http://www.k-otik.com/exploits/20041217.ph...emorydump.c.php

 

ChangeLog

 

21-12-2004 (18h50) : Version Initiale

22-12-2004 (03h05) : Google bloque les requêtes Santy

 

Source // http://www.k-otik.com/news/20041221.phpbbworm.php

Lien vers le commentaire
Partager sur d’autres sites

Non il n'attaque pas ipb directement

il passe par phpbb, et une fois qu'il est en memoire sur le serveur web, il peut modifier toute page web (html,php,asp,shtml,...)

donc si tu est sur un hebergement mutualisé et qu'un forum phpbb est touche par le vers, celui ci peut modifier toutes les pages qui sont heberges sur celui ci

donc si tu as un forum ipb ou autre, tu peux etre toucher par ce vers

j'en ai eu l'experience

Lien vers le commentaire
Partager sur d’autres sites

La fonction system() est utilisée par le vers pour se reproduire et infecter le reste du serveur web. La désactiver circonscrit l'attaque au compte attaqué sans pouvoir infecter les autres. J'ai eu le code du ver sous les yeux et clairement ça n'attaque que phpBB à la base car ça recherche viewtopic.php.

Modifié par Mésange
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.