IMPORTANT : Ver touchant les forums de type PHPBB

WRInaute occasionnel
Bizarre, j'ai aussi vu un forum IPB infesté par ce virus ce matin :!:

edit: il s'agissait d'un hébergement locoweb, cf. plus bas
 
WRInaute passionné
ca touche un bug de viewtopic qui est patché dans la 2.0.11.
Le patch vers la 2.0.11 est diffusé depuis pas mal de temps et la faille a été publiée de manière extensive sur certains forums il y a quelques jours. Depuis, il y a des gars qui s'amusent à essayer de hacker les forums.
J'en ai eu qui a essayé (sans réussir) et le pire est que googlebot est passé ensuite sur la même url pour les pubs adsenses :) donc google a essayé de me hacker aussi :)
 
WRInaute occasionnel
Ca touche PHP
Par exemple tous les mutualisés de l*c*web sont impactés, même s'il n'y a pas de forum sur le site hébergé
Le pire c'est que lorsque le serveur est contaminé, le site mutualisé ne peut rien faire car il n'y a pas de modif de fichier d'index ou autre
 
WRInaute occasionnel
c'est vrai, Google ne connait pas non plus dans les groupes

2 remarques :
- si j'étais un ver, je placerais un lien vers un site pour lui booster le PR et le traffic
- si j'étais Google, je bloquerais les résultats retournés dans les requêtes quele ver lui envoie.

Ce ver était en génération 5 il y a 24h, il est en génération 19, il se démultiplie à une vitesse incroyable

L'analyse de kaspersky est erronnée, les fichiers ne sont pas remplacés, ça ressemble à de l'URL rewriting: lorsqu'on tape une URL d'un fichier php existant, on a le contenu noir et rouge malgré le fait que le fichier php soit intègre
 
WRInaute passionné
Oui, la mise à jour de phpbb bouche cette faille.
A noter que le premier correctif a été publie le 18 novembre par le phpbb group. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
Suivi 10 h après par la 2.0.11 donc ca fait quand même plus d'un mois pour mettre à jour les forums. (même si la faille était publique depuis plusieurs semaines). Il y a des forums ou tout est expliqué en détails.

François
 
WRInaute passionné
Bonjour,

ponko a dit:
Et ça c'est la même chose ? car ils parlent de php 5 et non de mettre la dernière version gloups => http://forum.phpbb.biz/viewtopic.php?t=90118
Ce n'est pas la même chose : ton lien parle de 2 failles php à corriger par la dernière version.

Le message initial de BadProcESs parle du virus Santy, découvert hier 21/12, qui utilise des failles propres aux forums phpBB : à corriger par la dernière version 2.0.11, comme l'indique Suede.
Toutes les versions antérieures sont vulnérables : cross site scripting, défiguration du site et prise de controle du serveur ! Secunia.com vient de publier plus d'informations sur les failles
 
WRInaute accro
de toute facon, phpBB, y a toujours eu des failles, et y aura toujorus des failles... des qu'une version sort, les failles correspondantes sortent avec. il suffit de regarder l historique des versions pour ca
 
WRInaute passionné
Bonsoir,

e-kiwi a dit:
de toute facon, phpBB, y a toujours eu des failles, et y aura toujorus des failles
comme pour tous les autres scripts de toute nature, mais heureusement toutes les failles ne sont pas exploitées (avec malveillance), encore moins par un virus.

Est-ce le premier virus sur phpBB ? En tous cas sa vitesse de propagation est impressionnante : si on en croit la version beta de MSN search + 137.000 forums phpBB ont été défigurés en peu de temps (reformulez la requête en demandant un résultat par site) 8O

Un petit conseil aux webmestres en passant : comme WRI le fait parfaitement, n'indiquez pas sur vos sites la version des scripts que vous utilisez : évidemment un virus s'en fout, par contre cette information ferait gagner beaucoup de temps à un pirate.

Curieusement cette histoire est intéressante pour le référencement. D'abord parce que le virus Santy utilise(ait) google pour trouver les forums phpBB (le code en question).
Ensuite parce que, comme l'indique Gromka, la beta de MSN search est à priori plus pertinente sur cette requête que Google et Yahoo réunis (mais c'est quasi impossible à vérifier). Et ça aussi c'est une menace, non ?
 
WRInaute passionné
Gromka a dit:
e-kiwi a dit:
de toute facon, phpBB, y a toujours eu des failles, et y aura toujorus des failles...

Le quel software non?

Le software qui permettra d'être paramétré de manière sécurisée de telle sorte que les tables sql ne portent pas le même nom, mais aussi que les pages portent un nom physique propre au site, de même pour l'extension

Coté extension c'est déja prevu dans phpbb, mais non implémenté par les webmasters qui n'ont pas l'information ou la recommendation idoine pour faire ça.
De même pour supprimer l'information de la version, c'est une petite mesure à prendre, qui doit tout de même géner les interessés. Sauf que dans les commentaires du source, il est clairement indiqué (sauf si j'ai mal lu) que l'information du lien et de la version doivent être present, sinon le support sera limité.

:idea: Payez votre licence, et obtenez une version physiquement personnalisée et protégée des attaques en masse :idea:
 
WRInaute accro
La meme requete msn donne aujourd'hui 500 000 resultats :-(


Moi sur mon serveur personne n'ai touché meme les vieilles version de phpBB mais j'avais mit à jour php la semaine dernière. Ca aurait protégé?
 
WRInaute passionné
Bonjour Jeunz,

JeunZ a dit:
Moi sur mon serveur personne n'ai touché meme les vieilles version de phpBB mais j'avais mit à jour php la semaine dernière. Ca aurait protégé?
il vaut mieux mettre à jour phpBB aussi, le virus n'a peut-être pas encore trouvé ton site
 
WRInaute passionné
Arf, forum bien référencé, le worm te visite en premier.

A noter que la requete à la base du déploiement du virus est suspendue par google, lequel propose gracieusement des liens vers un antivirus, ce que je ne comprend pas !
 
WRInaute accro
lol. T'inquiete pas pour moi, mon forum est mis à jour dans les 24h suivant l'apparition de nouvelles version. Etant hébergeur je ne peux pas me permettre de me faire hacker, ça ferai pas pro.

Mais je constate que les membres hébergés chez moi et même si ils n'ont pas mis à jour le forum ont été protégés par le fait que j'avais mis à jour php (php 4.3.10)
 
J
JPC
Guest
je ne pense pas que PHP joue là dessus, par contre, si leur forum est url rewrité, c'est bon, il ne passe pas dans la requête du virus...
 
WRInaute discret
Kmacleod a dit:
Payez votre licence, et obtenez une version physiquement personnalisée et protégée des attaques en masse

Donc ça c'est ne pas un probleme du software mais des webmasters. ;)

Kmacleod a dit:
Sauf que dans les commentaires du source, il est clairement indiqué (sauf si j'ai mal lu) que l'information du lien et de la version doivent être present, sinon le support sera limité.

phpBB a dit:
We'd prefer you to retain the full copyright message as displayed by the default board configuration. If you cannot do this (for good reason) we will be happy with just the "Powered by phpBB" notice (phpBB being linked to www.phpbb.com ). If you do not display even this (which includes moving the notice to a separate credits page) we will not be able to offer support (the same stance has been taken by most if not all other phpBB related sites).

http://forums.phpbb-fr.com/viewtopic_8946.html

pd: www.phpbb.com me marche pas aujourd'hui LOL
 
WRInaute discret
Kmacleod a dit:
Un article à lire sur le role que google peut jouer dans ce genre d'attaque
http://www.lexpansion.com/NLTech/2669.15.html
et les impacts que cela peut avoir sur l'image de marque du moteur

Je crois que l'article ne reste pas clair. Santy.a ne regarde pas la version du phpBB mais le bug dans le viewtopic.php.

Ici la requete à Google du Ver: "&q=allinurl%3A+%22viewtopic.php%22+%22"

Si on ne fait pas des actualisations de secutiré, on ne peut pas dire que phpBB il est insecure.
 
WRInaute discret
Kmacleod a dit:
:idea: Payez votre licence, et obtenez une version physiquement personnalisée et protégée des attaques en masse :idea:
Dans le cas de phpBB ce n’est pas le cas. Le script et le support sont gratuits.
Les personnes qui installent un forum (phpBB ou autre) doivent savoir que les MAJ sont conseillés et quasiment obligatoires (comme celles de votre OS, pilotes et autres).
En plus si votre hébergeur est sérieux et fait les MAJ du serveur vous n’avez rien à craindre (php4.3.10).
Kmacleod a dit:
De même pour supprimer l'information de la version, c'est une petite mesure à prendre, qui doit tout de même géner les interessés. Sauf que dans les commentaires du source, il est clairement indiqué (sauf si j'ai mal lu) que l'information du lien et de la version doivent être present, sinon le support sera limité.
Ca concerne uniquement le copyright et non les infos sur la version.
JPC a dit:
je ne pense pas que PHP joue là dessus, par contre, si leur forum est url rewrité, c'est bon, il ne passe pas dans la requête du virus...
Rewreiting permets uniquement voir une autre extension, mais en aucun cas il ne supprime l’ancienne.
http://www.pixelistan.com/forum/forum11.html et http://www.pixelistan.com/forum/viewforum.php?f=11 mènent vers la même page.
(il est aussi probable et quasi certain que les deux pages sont référencées par les MDR. Pas les pages récentes, mais celles d’avant la MODification)
 
WRInaute passionné
Pour phpBB, il serait peut-être bien qu'ils passent au payant en assurant aux clients d'être informés des dernieres failles et patch. Avec 40.000 sites touchés selon les sources, cette gestion en mode gratuit n'est pas sure.
Pour info , la version de php (4.3.10) ne fait rien contre la faille sur urldecode.

Pour l'url rewriting, la chose est délicate, car si la version php de la page est dans le moteur de recherche, le vers tombe dessus même su le site esr rewrité.
 
WRInaute discret
Kmacleod a dit:
Pour phpBB, il serait peut-être bien qu'ils passent au payant en assurant aux clients d'être informés des dernieres failles et patch.
Pas besoin de faire payer pour ça.
Le forum intègre la fonction d’envoie d’email de masse à tous les utilisateurs, il faut juste vouloir et penser de le faire.
D’autre part l’interface du site va changer prochainement (du site, pas du forum ;) ) et je vais soumettre l’idée d’intégrer une mailing liste.
phpbb.pl et phpbb.de informent bien ses membres.
 
Olivier Duffez (admin)
Membre du personnel
hedonism, as-tu déjà regardé comment fonctionne l'envoi d'email de masse sur phpBB ? C'est inutilisable, il n'envoie qu'un seul mail avec tous les destinataires en copie cachée. (ou alors ça a changé...)
 
WRInaute passionné
hedonism a dit:
Kmacleod a dit:
Pour phpBB, il serait peut-être bien qu'ils passent au payant en assurant aux clients d'être informés des dernieres failles et patch.
Pas besoin de faire payer pour ça.
Le forum intègre la fonction d’envoie d’email de masse à tous les utilisateurs, il faut juste vouloir et penser de le faire.

On sait très bien que les problèmes ne sont pas TECHNIQUES, mais HUMAINS.
 
Nouveau WRInaute
Ce ver "santy" est très virulent car il remonte même au dessus du root_html de certains sites quand c'est possible ....il remplace le contenu de tous les fichiers html ,htm, php asp etc par le contenu html du message décrit plus haut. il semble néanmoins ignorer les fichiers .cgi ou perl (.pl)

Tous les dossiers et sous dossiers du site en question seront affectés.

Apparemment la 2.011 n'est pas visée car mon site + forum phpBB placé surle même hébergeur qu'un autre site d'un ami avec forum en 2.10 et qui a été totalement infecté, le mien n'a pas été touché.

l'hébergeur a du restaurer tout le contenu du site en question a une date antérieure car même des fichiers de stats du webmail etc avaient été touchés per le ver.

j'ai appliqué immédiatement les maj en 2.011 sur ce forum et çà n'a plus foiré depuis.

Cet hébergeur est pourtant très à cheval sur la sécuriré même parfois trop ...

Comme quoi il faut faire des backups réguliers, malgré çà les bases de données MySQL ne seront surement pas infectées par le ver comme dans le cas du forum de mon ami..

voilà ce que je peux vous dire ayant été confronté à la réparation de ce site.
 
WRInaute discret
Kmacleod a dit:
Pour phpBB, il serait peut-être bien qu'ils passent au payant en assurant aux clients d'être informés des dernieres failles et patch.
La fonction sera implémentée dans la nouvelle version du site.
Quand une nouvelle MODification ou une MAJ sera postée par un administrateur, un mail sera envoyé automatiquement aux membres inscrits.
C'est aussi ça phpbb-fr.com (et tjrs gratuitement)
Autre chose Monsieur ? :wink:
 
WRInaute passionné
Au passage, même mis à jour, on souffre indirectement du vers Santy car il utilise MSN et yahoo pour chercher. hors ceux-ci ne sont pas à jour donc ils donnent des resultats erronnés et les vers croyent que le forum n'est pas patché.
-> ils font des requetes par milliers sur toutes les pages du forum indexés.
Ma conso mensuelle de bande passante est partis en moins de deux jours et le site a été down deux jours le temps que je regle le probleme (sachant qu'ils ont fait cela juste pendant Noel).

François
 
WRInaute passionné
hedonism a dit:
Kmacleod a dit:
Autre chose Monsieur ? :wink:

Puisque c'est gentiment demandé et que la discussion est contructive, je continuerai par une simple question.
Combien y a t'il de webmaster client de phpbb et qui ne sont pas membres et donc faillible ? (je fais partie de ceux là)

=> Inclure l'inscription par mail dans le processus de téléchargement peut être une solution
 
WRInaute accro
J'avais vu sur un sujet WRI quelqu'un qui disait comment empecher le vers de faire des requetes... Je dois à mon avis avoir des problèmes de ce coté car depuis que ce vers existe mon serveur est un peu ralenti :-(
 
WRInaute discret
Suede a dit:
Ma conso mensuelle de bande passante est partis en moins de deux jours et le site a été down deux jours le temps que je regle le probleme (sachant qu'ils ont fait cela juste pendant Noel).

Vous pouvez lire cette post http://www.phpbb.com/phpBB/viewtopic.php?t=249010

JeunZ a dit:
J'avais vu sur un sujet WRI quelqu'un qui disait comment empecher le vers de faire des requetes... Je dois à mon avis avoir des problèmes de ce coté car depuis que ce vers existe mon serveur est un peu ralenti Sad

Je n'ai rien compris :(
 
WRInaute discret
Kmacleod a dit:
Combien y a t'il de webmaster client de phpbb et qui ne sont pas membres et donc faillible ? (je fais partie de ceux là)

=> Inclure l'inscription par mail dans le processus de téléchargement peut être une solution
Qqun qui télécharge juste les scripts et ne reviens jamais sur le site ni sur le forum …
Je suppose que c’est qqun qui pense d’avoir tout ce qu’il faut et n’a besoin de rien d’autre.
Il y a aussi les utilisateurs de Wibdaube qui ont désactivés les MAJ auto et qu n’utilisent pas d’antivirus car ils ne reçoivent de mails que de personnes qu’ils connaissent.
Jusqu’au jour ou ils s’aperçoivent que faire un tour de temps en temps sur le site d’éditeur n’est pas une mauvaise idée.
Mais je pense que ces personnes, même si la possibilité leur est donnée, décocherons la case de suscription à la mailing liste ou donnerons une adresse temporaire genre jetable.org si c’est obligatoire. ;)
[édit]
J'ai oublié de vous donner deux adresses en attendant la ML sur le site de phpbb-fr - les ML de phpbb.com :

http://www.phpbb.com/downloads.php
http://www.phpbb.com/support
 
WRInaute passionné
hedonism a dit:
Mais je pense que ces personnes, même si la possibilité leur est donnée, décocherons la case de suscription à la mailing liste ou donnerons une adresse temporaire genre jetable.org si c’est obligatoire.

Si cela est permis effectivement, les webmasters qui ne connaissent pas tout du web et notamment sur les vers et la sécurité de leur forum sont un peu en insécurité sans le savoir.

Google compte 109.000 site en version phpbb 2.0.2 dont 20.000 en français

C'est ce genre de bétise humaine qu'il faut arriver a corriger et je pense que cela passe par de l'organisation (processus de téléchargement permettant d'avoir une adresse mail valide) et de l'information (justifier comment cette adresse mail peut-être utilisée pour informer de la sortie de nouveaux patch, déchargeant les webmasters de ce travail de veille sur la sécurité).

Les webmasters sont séduits pas phpbb et par son coté "sitot cliqué, sitot installé" et ne sont pas des webmasters informaticiens, mais des webmasters de contenu.

Le group phpbb a bien compris cela en mettant en place des scripts d'installation etc qui facilitent la tâche à bien des webmaster, je pense qu'un grand pas de plus dans ce même sens doit être encore fait avec cette information/livraison de patch de sécurité.

Le web avance ... les vers aussi
 
WRInaute accro
Je suis d'accord les forums sont devenus si accessible.

Je vois sur mon hébergement des jeunes de 11 ans 12 ans, qui ne savent meme pas que le mot html existent, et qui pourtant installent des forums phpBB sur mon serveur :-(.

D'un coté c'est bien, d'un autre pour la sécurité :-(
 
WRInaute discret
Ta recherche sur Google ne permet pas de connaître de nombre des forums ni francophones ni même en France.
Regarde en bas du forum WRI et tu ne trouveras pas les éléments de ta recherche. Même le lien de la traduction a été modifié. De même il y a bcps de forums ou ces éléments ont complètement disparus et comme ils apparaissent sur toutes les pages du forum ce n’est pas le nombre de forums, mais les pages référencés par Google qui ressort.

D’autre part je n’ai encore jamais trouvé un moyen quelconque pour venir à bout de la bêtise humaine. Si tu en connais un je suis preneur.

Contrairement à ce que tu affirme le scripte phpBB n’est pas un scripte "cliqué – installé".
Fais un tour sur le forum et tu verras le nombre de questions basiques posées chaque jour et pourtant même sans être inscrit sur le forum en tant que membre et rien qu’en lisant les annonces (annonce c’est en principe ce qu’on devrait lire en premier) les webmasters de contenu (mais les autres aussi) serait capable de venir à bout de 95% des problèmes liés à l’installation et utilisation des scripts.

Si les WM sont séduits ce n’est pas par la facilité, mais par la gratuité car les autres forums sont soit moins fonctionnels soit payants.

Le téléchargement des scripts est possible non seulement sur phpbb-fr.com, mais sur bcps d’autres sites.
Rendre les inscriptions obligatoires n’est donc pas possible.

JeunZ a dit:
Je suis d'accord les forums sont devenus si accessible.

Je vois sur mon hébergement des jeunes de 11 ans 12 ans, qui ne savent meme pas que le mot html existent, et qui pourtant installent des forums phpBB sur mon serveur :-(.
De nos jours on ne peut pas se fier à l’âge en ce qui concerne l’informatique, Internet et la programmation.
J’ai été surpris plus d’une fois en apprenant l’âge des personnes qui participent très activement en faisant le support sur phpBB-fr
 
WRInaute accro
En se qui concerne l'age je suis d'accord mais j'estime quand même qu'en dessous de 13 ans, la plupart sont des gamins.

Hier j'expliquai à un mec (je ne connais pas son age) comment faire un htaccess juste pour faire une identification sur une de ces pages, et ca lui paraissait etre un truc d'un super haut niveau, alors que c'est vraiment la base du webmastering.

Je suis tous les jours confrontés sur mon forum à des gens ayant leur forum phpBB voir portail, qui ont un gros contenu dedans, beaucoup de visiteurs, mais qui dès qu'on leur dit tu devrais faire ça pour diminuer les requetes, tu devrais faire telle page, ils me répondent c'est un niveau trop haut pour moi.

Les 3/4 ne savent absolument RIEN FAIRE, meme pas une page html. Et pourtant ils se disent grace à tous ces scripts tout fait etre des "webmaster".

Je parle meme pas de programmation php ;-)
 
WRInaute discret
Encore une fois l’âge n’a rien à voir dans tout ça et si ça se trouve tu as plus de vieux cons que des gamins. La capacité d’apprendre d’un jeune cerveau est plus grande que d’un tas tout mou et partiellement fossilisé.
(vu mon âge il y a quand même les exceptions ;) )
 
WRInaute accro
Oui mais il se trouve que sur mon forum les 3/4 des membres sont très jeunes ;-) Je le sais par d'autres moyens (topic de présentation etc...).

Mais bon c'est vrai que l'age importe peu, le problème de phpBB & co c'est qu'il fait croire à des gens qui ne connaissent rien qu'ils sont des webmasters, et dès qu'il y a un souci "a plus personne".

Se qui fait le bonheur des forums de support technique ;-)
 
WRInaute passionné
JeunZ a dit:
Se qui fait le bonheur des forums de support technique ;-)

problème : pas mal de ceux dont tu parle créent des forums de support technique ... Et c'est pas ça qui 'fait" réellement le bonheur des gros forums de support technique :p
 
WRInaute accro
En effet c'est aussi quelque chose qu'on retrouve. J'ai chez moi des gens qui font des sites de créations de bannières payantes etc... Alors qu'ils font eux même leur site avec des kit graphik etc...

Ou des gens assurant du support technique phpBB alors qu'on a du les aider à les installer lol.
 
WRInaute discret
Ethancarter a dit:
Essayez de taper le mot-clé ' viewtopic.php ' sous Google....
Encore une requête qui n’est pas pertinente.
Tu vas trouver seulement les pages référencées et aucun forum rewrité. ;)

Le support technique ne fait pas le bonheur des supporters ;) Pas du tout. Et ceux qui croient à ça déchantent vite. Très vite.
Par contre bcps de personnes font les sites ou les forums en croyant à la facilité du gain d’argent promis par toutes les régies et les systèmes comme AlloPass & C°
 
WRInaute accro
Je la replace ici : Est ce quelqu'un a mis a jour son phpbb (2.0.11) sur une version rewritée ? est ce que la mise à jour détruit l'URL-rewriting mis en place sur la version précédente ? merci !
 
WRInaute accro
mais tu es passé a 2.0.11 en :

- apportant les modifs manuellement dans les fichiers impliqués par la mise a jour ?

- en remplacant juste les fichiers modifiés à la place de tes anciens fichiers ?

- en installant toute la nouvelle version à la place de l'ancienne ?

merci !
a+
 
WRInaute accro
Je modifie toujours les fichiers... Car j'ai quelques mods très chiant à installer donc je ne peux me permettre de faire autrement.
 
WRInaute accro
bon, pour info, j'ai passé en revu toutes les modifs a apporter et il n'y a pas de modifs concernant des fichiers modifiés par l'url rewriting apparemment. merci pour ton aide ! a+
 
WRInaute discret
Mod rewrite modifie page_header et page_tail.php et mod guest session - session.php
Ces fichiers ne changent pas en faisant la MAJ de 2.0.10 vers 2.0.11
 
Discussions similaires
Haut