Au secours... hack de phpbb version 2.0.11/13 ?

[Dv]

Faut pas trop s'avancer non plus pour l'instant, ils sont apparrement en train d'analyser la chose pour voir si la faille venait du forum, du site web ou d'ailleurs... si je me souviens bien, c'est pas la premiere fois que ca leur arrive.

Bon, ben sur ce coup là, c'est bien une nouvelle faille de phpbb...
Je viens de recevoir ca de phpbb-fr... enfin, j'espere que c'est bien d' eux... (mais non j'suis pas parano )

Comme vous avez sûrement pu le constater, le forum phpBB-fr a
malheureusement été victime d'un pirate ayant utilisé une nouvelle faille
de phpBB 2.0.13.

Ainsi, pour des raisons de securité, votre mot de passe d'accès au forum
phpBB-fr a été regénéré. Votre ancien mot de passe n'est donc plus valide,
veuillez désormais utiliser les informations de connexion ci-dessous:

- Nom d'utilistateur : XXX
- Mot de passe : XXXX

Bien entendu vous pourrez modifier ce mot de passe dans votre profil, une
fois connecté.

Ne communiquez ce mot de passe à personne. Si vous recevez un e-mail de
phpBB-fr demandant de fournir votre mot de passe, il s'agit d'un faux !
L'équipe phpBB-fr ne vous demandera jamais votre mot de passe et n'en a
pas besoin. Prudence donc...

En attendant que le phpBB Group publie un correctif pour cette nouvelle
faille de sécurité, nous conseillons à tous les possesseurs de forum phpBB
d'appliquer le correctif suivant :

#
#-----[ OUVRIR ]-----
#
includes/sessions.php

#
#-----[ TROUVER ]-----
# Ligne 93
$userdata['user_id'] = ANONYMOUS;

#
#-----[ AJOUTER APRES ] -----
#
$userdata['user_level'] = USER;

#
#-----[ TROUVER ]-----
# Ligne 101
$userdata['user_id'] = ANONYMOUS;

#
#-----[ AJOUTER APRES ] -----
#
$userdata['user_level'] = USER;

#-----[ FIN ]----

Merci à "Some One" pour le correctif.
Vous devez bien entendu posséder la version 2.0.13 de phpBB avant
d'appliquer ce correctif.

Veuillez nous excuser de la gêne occasionée,
--
L'équipe phpBB-fr
http://www.phpbb-fr.com/

[planetemuscle]

Je vais m'empresser de tout corriger

[Steph82]

Moi aussi je me suis fais hacké mon forum, et c'etait une 2.0.13, je n'ai vraiment plus confiance en ce forum.

[planetemuscle]

Il reste un forum tres interessant mais il faut faire sauvegarde tres souvent ...

[Patrice A.]

Ce correctif est "bizarrement" rédigé... les lignes de code indiquées n'apparaissent pas telles quelles dans mon sessions.php

[planetemuscle]

Un membre de mon site m'a dit que j'avais un petit bug


Il m'a donné cette adresse


http://www.planetemuscle.com/phpBB2/db/oracle.php

et ça fait

Fatal error: Cannot redeclare sql_nextid() in /home/planetem/www/phpBB2/db/oracle.php on line 405

Mais le forum marche



ça veut dire quoi ?

[Dv]

Ca veut dire que oracle.php a un bug : http://www.securitytracker.com/alerts/2 ... 13377.html

Normalement, tu devrais te retrouver sur une page blanche, comme quand tu essayes par exemple http://www.planetemuscle.com/phpBB2/db/db2.php ou http://www.planetemuscle.com/phpBB2/db/msaccess.php

J'ai jamais bien compris a quoi servent ces fichiers dans le dossier db et j'ai vu que certains recommendent meme de les supprimer.

[SuperPJ]

C'est vraiment nul les forums phpBB !!! Chez mon hébergeur plus de la moitié des demandes de changement de mots de passes sont causés par des problèmes de piratage de forums phpBB hallucinant ......

Mais pourquoi les gens continuent-il à utiliser en masse ce forum alors qu'il prouve chaque jour que c'est du gruyère niveau sécurité ?? J'ai entendu dire qu'il y a des forums beaucoup plus sûrs tels que "Invision".

[bjp]

Moi aussi ça commence à me pomper. J'ai un assez gros forum, mais je prépare activement sa succession. A découvrir car intéressant : SMF.

[Dv]

Mais pourquoi les gens continuent-il à utiliser en masse ce forum alors qu'il prouve chaque jour que c'est du gruyère niveau sécurité ?? J'ai entendu dire qu'il y a des forums beaucoup plus sûrs tels que "Invision".

Bof, c'est l'eternel probleme sur le net...dès que quelque chose devient populaire, c'est une cible privilégiée.
Ce qui est génant avec phpbb, c'est que ses faiblesses sont connues depuis pas mal de temps et que le phpbb group semble avoir du mal à réagir et à revoir sa copie en profondeur.

[solodown]

C'est vraiment nul les forums phpBB !!! Chez mon hébergeur plus de la moitié des demandes de changement de mots de passes sont causés par des problèmes de piratage de forums phpBB hallucinant ......

Mais pourquoi les gens continuent-il à utiliser en masse ce forum alors qu'il prouve chaque jour que c'est du gruyère niveau sécurité ?? J'ai entendu dire qu'il y a des forums beaucoup plus sûrs tels que "Invision".

invison est payant

moi je trouve que phpbb est trés bien suffit de le sécurisé avec des .htaccess ou autre

@+
solo

[Digimag]

À mon avis, phpBB-Group devraient faire sortir une version allegée de phpBB, nombreux sont ceux qui ne l'aiment pas en le considérant comme une "Usine à gaz".
D'où viennent ces failles, d'ailleurs, car contrôler les bugs dans toutes ses fonctions devient un travail de plus en plus volumineux. On risque de perdre les fils...

[Digimag]

Au fait, le cracker en question n'est pas si méconnu que ça...

http://news.inq7.net/infotech/index.php ... y_id=29507

[SuperPJ]

À mon avis, phpBB-Group devraient faire sortir une version allegée de phpBB

Oui, je pense qu'ils devraient effectuer une réécriture complète du forum, dans une version allégée.

[Digimag]

Comme je viens de le voir sur K-Otik, les failles de phpBB peuvent venir des failles PHP...

Car PHP connait des failles dans certaines fonctions et certaines d'elles sont sans doute utilisées sur phpBB.