amen ferme un forum phpBB

amen ferme un forum phpBB - Windows & Software

Marsh Posté le 16-12-2005 à 22:54:11    

Bonjour,
 
Je voudrais vous demander votre avis sur une drole d'histoire. Je fréquente régulièrement un site internet avec un forum phpBB en version récente.
Hier après midi, Amen, qui héberge le forum, a tout bonnement fermé le forum alors que nous étions une trentaine de connectés dessus. Motif : le forum avait soi-disant été attaqué par un ver "de type Santy" disent-ils. L'administrateur les a contacté, ils ont refusé de réouvrir. Ce soir ils viennent enfin de lui débloquer l'accès du forum pour effectuer des opérations de maintenance. Manque de bol, il n'y a aucune opération de maintenance à effectuer.
Ce type de ver fait ce type de dégats : http://www.kaspersky.com/fr/news?id=156036351
Or, aucun dégat n'a été fait sur aucun document ni aucun élément du site ; et personne n'a vu de "This site is defaced!!!".
 
Alors, l'administrateur se demande ce qu'il a bien pu faire pour qu'Amen lui sorte une excuse bidon à la con et lui ferme son forum sans préavis et sans raison alors que tout marche très bien. C'est quoi cette histoire?


Message édité par Krapaud le 17-12-2005 à 17:59:02
Reply

Marsh Posté le 16-12-2005 à 22:54:11   

Reply

Marsh Posté le 16-12-2005 à 23:49:26    

il parlait de quoi ce fameux forum ? ça peut être intéressant pour nous de le savoir ...

Reply

Marsh Posté le 17-12-2005 à 09:05:35    

De maths! L'adresse du site en lui même est : http://perso.wanadoo.fr/gilles.costantini/ ; celle du forum est http://www.bacamaths.net/phpbb/.  
Pour y entrer, tapez "forum" en identifiant et "forum en mot de passe". Alle zlire ce message qui explique tout : http://bacamaths.net/phpbb/viewtopic.php?t=2980
 
L'administrateur a en tout cas posé la question hier : "On dérange quelqu'un sur Bac à maths?". Je me demande aussi.


Message édité par Mimisursonpingouin le 17-12-2005 à 09:14:18
Reply

Marsh Posté le 17-12-2005 à 09:23:33    

Non je dirait plutôt que les anciennes versions de PhpBB possédaient une faille, un vers se servait de cette faille.  
Le forum étant hébergé sur un Serveur mutualisé, le forum PhpBB qui possédait la faille était un énorme danger potentiel pour le Serveur et donc tous les forums/sites hébergés sur ce serveur Mutualisé.
Amen auraient normalement du mettre en garde le client (le proprio du forum Bacamaths). et je pense qu'ils l'ont fait.
 
ET je pense surtout que le proprio du forum a tout simplement négligé de mettre à jour PhpBB, donc Amen pour protéger son serveur mutualisé tout en laissant les autres sites hébergé, a tout simplement fermé le forum pour éviter que le vers fasse des ravages.
 
C'est mon hypothèse et je pense quelle est plus que probable
 

Citation :


Des milliers de sites ont été défigurés par un ver informatique nommé Santy.A qui exploite une faille des forums phpBB. Ces forums sont repérés par le ver en effectuant une recherches sur Google.
 
PhpBB est un script php permettant de mettre en place facilement un forum sur un site web. Le ver Santy exploite une faille présente dans les versions antérieures à la 2.0.1.1. Malheureusement, peu de sites mettent régulièrement à jour leur script. C’est ce qui a permis à Sandy d’infecter plus de 40 000 sites moins de 24h après son apparition le 20 décembre 2004.
 
Sandy scanne les fichiers htm, php, asp, shtm, jsp et phtm qui se trouve sur le serveur infecté. Il remplace alors ceux-ci par le texte « This site is defaced !!! This site is defaced !!! NeverEverNoSanity WebWorm generation ». Le ver recherche alors sur Google les adresses de sites contenant viewtopic.php, fichier typique des installations phpBB, pour infecter d’autres serveurs.
 
La progression du ver a été stoppée preque totalement lorsque Google a bloqué le terme recherché. L’équipe de sécurité du moteur de recherche a d’ailleurs déclaré que même si 7 heures était un temps de réponse raisonnable, ils pensaient pouvoir faire mieux à l’avenir. Il ne faut cependant pas oublier que Google n’est pas vraiment responsable, leur site ayant simplement été utilisé à de mauvaises fins. Toutefois, Sandy n’est pas le premier ver à exploiter Google pour se propager. Une variante du virus MyDoom avait fait de même il y a quelques temps en bombardant Google de requêtes destinées à récupérer des adresses de courrier électronique pour se propager.
 
Finalement, cette attaque rappelle une nouvelle fois la nécessité des mises à jour, même sur les serveurs web...


Source
 
Et d'aorès analyse du code source le forum est en version 2.0 donc inférieur à celle indiquée dans le document ci-dessus.


Message édité par gatsu35 le 17-12-2005 à 09:29:30

---------------
Blablaté par Harko
Reply

Marsh Posté le 17-12-2005 à 09:28:37    

Je te remercie, je vais transmettre ton explication à l'administrateur.  :)  
Bonne journée!

Reply

Marsh Posté le 17-12-2005 à 17:12:10    

je pense plutot que phpBB bouffait en ressource ... (car 30 connecté en même temps, ça fait bcp ...).
Et Amen a donné une excuse bidon.
Quand gt chez Amen, avec 5 personnes connecté en même temps j'avais des alertes à causes de trop de hits et je bouffais trop en ressource MySql pourtant avec un forum assez optimisé.

Reply

Marsh Posté le 23-12-2005 à 14:51:00    

c pas possible, ça consome rien un forum avec 5 personnes desssus !!!!
 
c dur de trouver un bon hebergeur en ce moment :(
amen, ils sont chers en plus... que vaut online ???


Message édité par ulysse dugard le 23-12-2005 à 14:51:16

---------------
je comprend vite quand on m'explique longtemps
Reply

Marsh Posté le 24-12-2005 à 02:20:18    

le devoir de mémoire ...

Reply

Marsh Posté le 24-12-2005 à 10:33:40    

Outre ce problème, il est important lorsque vous envisagez du PHPBB et que vous le modifiez avec différents MODs d'ajouter des balises permettant de remodifier le forum après une mise à jour.
 
Car autant il est simple d'installer et maintenir à jour une version de PHPBB non modifiée, autant celà devient complexe dès que quelques MODs sont appliqués.
 
En ce qui me concerne, je tiens une liste des MODs appliqués et des balises associées. Par exemple un MOD d'URL Rewriting aurait les balises //URL_REWRITING_START et //URL_REWRITING_END placées respectivement et après chaques lignes de code modifiées ... ce qui permet après avoir appliqué une mise à jour de retrouver les lignes auxquels il y avait des changements de code en comparant la sauvegarde effectuée avant la mise à jour et les fichiers mis à jour.


Message édité par Requin le 24-12-2005 à 10:39:46
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed