NGPC info il se passe quoi ? - Page 1

comme je savais pas trop ou poster et que je sais que certains d'ici postent la bas, je le met ici.
Je vais pour aller sur ngpc.info et a la place j'ai droit a une page bizzare en anglais, je me demande s'il as pas été hacké en fait :/ http://www.canal-web.net/ngpc/

Ben si

Teren ou Cré$u$ n'ont pas du mettre à jour les dernières versions de PhpBB.
C'est le style de forum le plus hacké (vu que c'est un truc standard et que tout le monde à ça )
S'ils n'ont pas fait de sauvegarde, bah ça repartira de zéro (ce ne sera que la 2ème fois... )

Emmerdant car il y avait un paquet de sujets intéressants !

Arghh le cauchemard pour un forum

je viens juste de voir ca! Erf!

Santy.A un ver qui s'attaque aux forums Internet
Publié le 22/12/2004 à 10:33 par Vincent

Vous l'avez peut être remarqué en vous rendant sur certains sites, de nombreux forums ne sont plus opérationnels depuis quelques heures, la faute à un nouveau ver baptisé Santy.A qui se propage très rapidement. Ce ver se sert du moteur de recherches Google pour trouver des sites qui utilisent des forums basés sur "phpBB". Il exploite ensuite une faille de ces forums pour détruire leurs contenus et placer le message "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation 7" sur toutes les pages des forums ciblés.

La seule solution pour éviter ce ver serait d'installer la mise à jour 2.0.11 de phpBB qui corrige la faille exploitée par Santy.A. L'équipe de Google a déjà réagi en bloquant les requêtes générées par le ver. A l'heure actuelle, près de 40 000 sites auraient déjà été infectés par ce ver.

je viens de voir ca :/ 40 000 sites quand même va y avoir du boulot...

arg

Yo!

Bon, apparemment l'état de sièg est déclaré.
Ca fait plus de deux nuits que je code dans ma cave avec pour seules ressources une petite bouteille d'eau et un reste de Twis (X-large, heuresement).
Il m'apparait que cette attaque semble irréversible !

J'ai effectué une save du forum ms il y a asssez longtemps (style qq mois) :/

Autant le dire, on l'a bien dans le cul.

Je pense que cette fois ci, je vais foutre un nouveau forum (quel style me conseillez vous ? phpBB, ibf,.... ?) sur un serveur a MOI (sur Free, ça marche bieng ?).

Merci à tous de votre soutien dans la lutte contre le cyber-terorisme. De plus, CP.com est retiré de la liste eds suspects, maintenant je me penche plus sur la piste Nintendo....

sur yaronet aussi ça peut le faire quitte à changer, mais là ça (re)marche bien la maj de phpbb

C'est ce que j'allais dire, pourquoi ne pas venir sur Yaronet Teren ?

Tu pourrais créer un forum à part et/ou l'intégrer ici.

Sinon c'est quoi cette histoire de suspects ?

teren :
Merci à tous de votre soutien dans la lutte contre le cyber-terorisme. De plus, CP.com est retiré de la liste eds suspects, maintenant je me penche plus sur la piste Nintendo....

La vieille blague...

Pocket Magazine :
C'est ce que j'allais dire, pourquoi ne pas venir sur Yaronet Teren ?

Tu pourrais créer un forum à part et/ou l'intégrer ici.

Sinon c'est quoi cette histoire de suspects ?

Vu la fin de sa phrase avec "la piste Nintendo" je penche pour de l'humour à la Sherlock Homes...

Ben moi ça me parait bizarre ces histoires de Ver....
en general les hacker ne s'attaque pas aux "petits" comme c'est plutot le cas ici

je verrais bien une volonté de ralentir ou d'empecher les systemes de communication trop "libre" sur le net !

Y aurait il moyen de "convertir" un forum PhpBB en Yaronet ?

Oui ca a deja été fait

Alerte - Un ver informatique attaque des sites web via une faille phpBB
Par la Cellule-Veille © K-OTik Security (21/12/2004)

Risque Elevé (3/4)

Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis

Santy.a s'autocopie dans le serveur compromis sous le nom "m1ho2of", il identifie ensuite des nouvelles cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).


Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".

Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.


Solution

- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.
- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).


Signatures Snort

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem("
alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22"


Références

http://www.k-otik.com/exploits/20041122.r57phpbb2010.pl.php
http://www.us-cert.gov/cas/techalerts/TA04-356A.html
http://www.f-secure.com/v-descs/santy_a.shtml
http://www.sarc.com/avcenter/venc/data/perl.santy.html
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
http://www.k-otik.com/exploits/20041222.sanityworm.pl.php

ChangeLog

21-12-2004 (18h50) : Version Initiale
22-12-2004 (03h05) : Google bloque les requêtes Santy


CONCLUSION : Il vaut mieux éviter d'avoir PhpBB pour un forum...

Bah si il font les mise a jour à temps...

Bah ! il va tres bien NGPC info !
http://www.canal-web.net/ngpc/viewtopic.php?p=33921#33921

Vu la fin de sa phrase avec "la piste Nintendo" je penche pour de l'humour à la Sherlock Homes...

On sait jamais avec les fanboys débiles

Xirius_Thir :
Bah si il font les mise a jour à temps...

Jusqu'à la prochaine version du virus/prochain virus...

Oui je déconnais ;D

Bon, le board remarche ! Je pense rester sur phpBB et me tenir plus au courant de ces failles (mm si c'et relou de ne pas avoir les clés du serveur :/ )

tu veux que je t'héberge ? (enfin faut que j'en parle à l'admin du serveur ...)

Xirius_Thir la théorie du complot n'existe pas, et en plus tout le monde se fou royalement d'un forum comme le notre

mariaud> est ce que j'aurai les mot d passe du serv ? (histoire d'actualiser, etc...) ?

oui sinon ça ne servirait pas à grand chose, mais faut que je demande à l'admin du serveur de te faire un 'tit compte (s'il rechigne pas trop) et puis il faut une bdd pour phpbb non ? combien d'espace disque ? t'as un nom de domaine non ?

Normalement il y a ngpc.info

Teren au fait le site ça en est où? Sinon je m'y attaque comme je vais avoir boooocoup de temps libre parce que ça me fait mal au coeur depuis le temps...

Mariaud> demande au gentil monsieur et apres je vois. Parce qu'avec K Rool, on est quand même bien lottis
Sinnon, je sais qu'il faut du mySQL et apres... :/

Scared> tu m'interesses vieux ! Faudrait faire un design "compatible" avec du php. (pas trop prise de tête en fait ) je t'evnoies tt ça par MP car y a du top secret inside.

oky je te redis ça début janvier alors (quand il rentrera de vacances)