Rastaba's Forum > une faille de phpbb

Rastaba's Forum > Informatique en Général > Internet

crepi

Dec 23 2004, 01:43 AM

QUOTE

- n°1431
Le quotidien de L'Expansion
22/12/2004

Un ver utilise Google pour défigurer les sites Internet

Depuis son apparition le 21 décembre, Santy a déjà fait plus de 40.000 victimes. Des sites internet uniquement, les internautes n’étant pas menacés. Exploitant une faille du langage PHP, le ver trouve grâce à Google des sites internet qui utilisent une version non mise à jour de phpBB, un logiciel de forums de discussions très répandu. La proie identifiée, il efface sur les serveurs toutes les pages aux extensions ".htm", ".php", ".asp", ".shtm", ".jsp" and ".phtm" en les remplaçant par des pages célébrant son exploit. Les bases de données ne sont toutefois pas touchées. En réaction, pour ralentir le virus, Google a bloqué depuis mercredi l’affichage des résultats des requêtes effectuées par Santy.

mais rassurez-vous c'est pas ça qui nous est arrivé sur le arashi, c'est juste que la base de données fait 8230 kb et qu'on n'a droit qu'à 8192 kb

quoi qu'il en soit ipb est bien plus sécurisé que phpbb (et en plus sur les phpbb on ne peut pas recombiner des messages)

LiliOr

Dec 23 2004, 02:09 AM

En effet p'tit problème avec phpBB.

Pour le correctif il faut ouvrir le fichier viewtopic.php et chercher ce code :

CODE

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{

Puis le remplacer par ce code là :

CODE

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

Par contre je pense que ce problème concerne phpBB mais pas pour BBtoNuke ( phpBB integré dans phpnuke )...
Mais est ce que vous avez la confirmation ?

rastaba

Dec 23 2004, 11:17 AM

Salut les amis

Effectivement depuis 2 jours tout le web en parle !

Santy.A est un ver qui utilise Google pour cibler les forums PhpBB (et plus précisément le fichier viewtopic.php). Si le forum visé n'est pas a jour, alors il attaque directement le site Web, mais bien pire encore, il attaque aussi les Serveurs Web.

Prenons l'exemple du RsF, nous utilisons IPB comme forum et non PhpBB. A premiere vue, nous ne risquons pas grand chose ? Erreur !
Les Serveurs Web sont soit dédié (donc privé), soit mutualisés. Un serveur mutualisé est simplement un machine partagé pour plusieurs Webmasters. (le mutu est beaucoup moins chèr qu'un dédié !).
Nous, nous utilisons un serveur mutualisé, il suffit d'un seul webmaster utilisant PhpBB sur le même serveur que nous se fasse attaquer, et vlan, patatraque ! Tout le serveur web serait paralisé !

Le principe de ce ver est d'attaquer un forum PhpBB, et ensuite il remplace tous les fichiers .php, .html, .asp etc.... qui se trouve sur le serveur par le fichier qui ressemble aà ca là :

user posted image

Ce ver utilise une faille connue dans PhpBB, la solution est de mettre a jour sa version de PhpBB, ou de modifier le fichier viewtopic.php comme nous le montre Lili !

Se mettre a jour est très important, pensez bien que vous pouvez mettre en périle des centaines de sites web !

A ce jour, à peu près 6 millions de forums sont des PhpBB sur le web, les 3/4 ne sont pas a jour. Maintenant, prennez ces 6 millions et multipliez les par le nombre de webmaster qui pourrait se trouver sur les mêmes sereurs que ces personnes utilisant PhpBB... Breff, le nombre de cible potentiel est énorme !

Vous trouverez de nombreuses informations sur ces sites :

http://www.k-otik.com/news/20041221.phpbbworm.php
http://www.kaspersky.com/news?id=156681162
http://securityfocus.com/archive/1/380993/...07/2004-11-13/0
http://www.secuser.com/alertes/2004/santy.htm
Une discussion intéréssente sur le sujet & les risques : http://forums.ibf-french.com/index.php?sho...ndpost&p=124689

Pour le moment, je ne peuxque vous conseiller de :

Mettre a jour son forum PhpBB : ici
Faites des backups de vos bases de données.
Faites des sauvegardes par FTP de vos fichiers stockés sur votre serveur web
Priez pour que rien ne se passe

Dès que j'ai des nouvelles infos sur le sujets je vous tiens au courant....
A bientôt

This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.