Journal Défaçage en série

Posté par Duncan Idaho le 22 décembre 2004 à 11:55.

Étiquettes : aucune

déc.

2004

Bonjour,

je lis par-ci par là qu'il y un ver qui se promène et déface tout les sites hébergeant un forum phpBB.

Hors, hier matin mon site a été défacé, exactement de la même façon, alors qu'il n'y a pas de phpBB (mais un Spip).

Je n'ai trouvé aucune information sur les forums spip (si ce n'est qu'ils ne semble pas vulnérable, puisque n'utilisant pas phpbb) donc je suis un peu perdu.

gniiii, méchant ver.

# php

Posté par earxtacy le 22 décembre 2004 à 12:02. Évalué à 2.

C'est plutot la nouvellle faille php, faut passer en php 5.0.3
- [^] # Re: php
  
  Posté par Duncan Idaho le 22 décembre 2004 à 12:10. Évalué à 1.
  
  Ce qui fait ch!er, parce que le site n'est pas hébergé par moi mais par Lost-Oasis.
  
  J'espère qu'ils feront ce qu'il faut.
  - [^] # Re: php
    
    Posté par Wawet76 (site web personnel) le 22 décembre 2004 à 14:46. Évalué à 4.
    
    Lost-Oasis est passé en PHP 4.3.10, et ils proposent de restaurer le dernier backup correct de ton site qu'ils ont. (voir les forum NNTP de LO)
    
    Tu peux avoir été infecté de 2 façons :
    - soit SPIP utilise comme phpBB les fonctions PHP qui posent problèmes
    - soit les droits d'accès à tes fichiers étaient trop permissif et ils ont été modifiés depuis un autre site hébergé par LO. (w sur other, ou w sur le groupe vhffs-user)
- [^] # Re: php
  
  Posté par Prosper le 22 décembre 2004 à 12:11. Évalué à 4.
  
  bah voyons... un 4.3.10 suffit.
  - [^] # Re: php
    
    Posté par earxtacy le 22 décembre 2004 à 12:23. Évalué à 1.
    
    Tant qu'à faire autant passer a > 5
    
    "Utiliser PHP version 4.3.10 ou 5.0.3 :
    http://www.php.net/downloads.php"
    - [^] # Re: php
      
      Posté par Jllc le 22 décembre 2004 à 12:32. Évalué à 1.
      
      Tant qu'à faire autant passer a > 5
      
      Je n'ai pas trop suivi le développement de PHP, mais à priori, s'il l'on passe de la branche 4 à la branche 5, on n'est pas sûr que son site marche encore, non ? Par convention, on change de numéro majeur de version quand on casse la compatibilité (parfois nécessaire pour de grosses évolutions).
    - [^] # Re: php
      
      Posté par Psychofox (Mastodon) le 22 décembre 2004 à 12:36. Évalué à 7.
      
      un phpbb ne marche pas out-of-the-box avec php5
      
      http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046(...)
      - [^] # Re: php
        
        Posté par earxtacy le 22 décembre 2004 à 12:42. Évalué à 1.
        
        Ok argument intéréssant ;)
        
        [^] # Re: php
        
        Posté par Yannick Torrès le 22 décembre 2004 à 13:20. Évalué à 3.
        
        phpBB dans sa dernière version fonctionne normalement avec Php5.
        
        Toutes les applications/sites écris "en respectant le language" fonctionnent très bien avec Php5... faut arrêter d'avoir peur de la nouveauté :)
        
        [^] # Re: php
        
        Posté par viking le 22 décembre 2004 à 14:29. Évalué à 3.
        
        phpBB dans sa dernière version fonctionne normalement avec Php5.
        
        Ce n'est pas ce que disent les développeurs de phpBB ! Je cite : "Be aware that at this time phpBB 2.0.x has problems functioning under PHP5 without modification." (cf. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046(...))
      - [^] # Re: php
        
        Posté par Uld (site web personnel) le 22 décembre 2004 à 12:47. Évalué à 4.
        
        PhpBB en est à la version 2.0.11
        Les version inférieures sont victimes d'une faille qui permet d'effectuer des commandes distantes (merci exec() ) et l'exploit en perl est visible ici : http://www.k-otik.com/exploits/20041122.r57phpbb2010.pl.php(...)
        
        Pour les version à jour de phpBB (comprendre 2.0.11), la faille est dûe à php et non pas à phpBB lui meme/
        Les version vulnérable de php sont les versions < à 4.3.10 (phpBB ne marche pas franchement bien sur du php5) donc tout ceu qui tournent du du phh 4.3.9 ou inférieurs, il ne vous restent qu'a mettre à jour votre version php (pour info, free et lycos sont à jour)
        L'exploit en C++ est visible ici http://www.k-otik.com/exploits/20041217.phpbbmemorydump.c.php(...)
        
        A bon entendeur...
        
        [^] # Re: php
        
        Posté par Uld (site web personnel) le 22 décembre 2004 à 12:50. Évalué à 5.
        
        Pour info supplémentaire: un vers du type "webworm" s'amuse à scanner via google les forums(a) potentiellement victimes et fait un gentil "defacing" sur toutes les cibles qu'il rencontre...
        
        Plus d'info ici : http://www.k-otik.com/news/20041221.phpbbworm.php(...)
        
        [^] # Re: php
        
        Posté par Boa Treize (site web personnel) le 22 décembre 2004 à 13:42. Évalué à 4.
        
        Sauf que Google bloque maintenant les requêtes générées par le ver.
        
        http://news.com.com/Google+squashes+Santy+worm/2100-7349_3-5500265.(...)
    - [^] # Re: php
      
      Posté par Gniarf le 22 décembre 2004 à 12:51. Évalué à -1.
      
      non.
    - [^] # Re: php
      
      Posté par theocrite (site web personnel) le 23 décembre 2004 à 04:37. Évalué à 1.
      
      " Tant qu'à faire autant passer a > 5"
      
      php6 déjà ? :p
- [^] # Re: php
  
  Posté par Prae le 22 décembre 2004 à 16:59. Évalué à 0.
  
  quel nouvelle faille php ?!
  - [^] # Re: php
    
    Posté par Prae le 22 décembre 2004 à 17:01. Évalué à 3.
    
    Je me répond à moi même : http://www.phpsecure.info/v2/.php?zone=pComment&d=1103658609(...)
# Tu n'es pas le seul en ce moment...

Posté par Cali_Mero le 22 décembre 2004 à 23:12. Évalué à 2.

http://beta.search.msn.com/results.aspx?q=%22NeverEverNoSanity+WebW(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.