IMPORTANT : Ver touchant les forums de type PHPBB

[BadProcESs]

http://www.secuser.com/alertes/2004/santy.htm

Faite immédiatement vos mises à jours !

[YSonic]

Bizarre, j'ai aussi vu un forum IPB infesté par ce virus ce matin

edit: il s'agissait d'un hébergement locoweb, cf. plus bas

[Gromka]

Plus d'info:

http://www.kaspersky.com/news?id=156681162
http://www.viruslist.com/en/viruses/enc ... usid=68388

[Kounte]

Si j'ai bien lu, cela ne touche que les forums 2.0.10 ou inférieur.

[Suede]

ca touche un bug de viewtopic qui est patché dans la 2.0.11.
Le patch vers la 2.0.11 est diffusé depuis pas mal de temps et la faille a été publiée de manière extensive sur certains forums il y a quelques jours. Depuis, il y a des gars qui s'amusent à essayer de hacker les forums.
J'en ai eu qui a essayé (sans réussir) et le pire est que googlebot est passé ensuite sur la même url pour les pubs adsenses donc google a essayé de me hacker aussi

[Gromka]

[Digit]

Ca touche PHP
Par exemple tous les mutualisés de l*c*web sont impactés, même s'il n'y a pas de forum sur le site hébergé
Le pire c'est que lorsque le serveur est contaminé, le site mutualisé ne peut rien faire car il n'y a pas de modif de fichier d'index ou autre

[Gromka]

Google ne connais pas le worm

Mais la Beta de MSN oui

C'est MSN qui gagne

[Digit]

c'est vrai, Google ne connait pas non plus dans les groupes

2 remarques :
- si j'étais un ver, je placerais un lien vers un site pour lui booster le PR et le traffic
- si j'étais Google, je bloquerais les résultats retournés dans les requêtes quele ver lui envoie.

Ce ver était en génération 5 il y a 24h, il est en génération 19, il se démultiplie à une vitesse incroyable

L'analyse de kaspersky est erronnée, les fichiers ne sont pas remplacés, ça ressemble à de l'URL rewriting: lorsqu'on tape une URL d'un fichier php existant, on a le contenu noir et rouge malgré le fait que le fichier php soit intègre

[ponko]

Et ça c'est la même chose ? car ils parlent de php 5 et non de mettre la dernière version gloups => http://forum.phpbb.biz/viewtopic.php?t=90118

[Kounte]

Et ça c'est la même chose ? car ils parlent de php 5 et non de mettre la dernière version gloups => http://forum.phpbb.biz/viewtopic.php?t=90118

Aussi bien la version 4 que la 5 doivent être mise à jour !

[ponko]

Oui mais phpbb aussi doit être mis à jour ? c'est le meme trou de sécurité ?

[Eservice]

Bonsoir,

cet article de zataz.com cite un bout de code qui aidera peut-être les webmestres concernés à y voir plus clair.
Aucune autre information technique sur cette saloperie ne transpire pour l'instant.

[Suede]

Oui, la mise à jour de phpbb bouche cette faille.
A noter que le premier correctif a été publie le 18 novembre par le phpbb group. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
Suivi 10 h après par la 2.0.11 donc ca fait quand même plus d'un mois pour mettre à jour les forums. (même si la faille était publique depuis plusieurs semaines). Il y a des forums ou tout est expliqué en détails.

François

[Eservice]

Bonjour,

Et ça c'est la même chose ? car ils parlent de php 5 et non de mettre la dernière version gloups => http://forum.phpbb.biz/viewtopic.php?t=90118

Ce n'est pas la même chose : ton lien parle de 2 failles php à corriger par la dernière version.

Le message initial de BadProcESs parle du virus Santy, découvert hier 21/12, qui utilise des failles propres aux forums phpBB : à corriger par la dernière version 2.0.11, comme l'indique Suede.
Toutes les versions antérieures sont vulnérables : cross site scripting, défiguration du site et prise de controle du serveur ! Secunia.com vient de publier plus d'informations sur les failles