11.TV Premium-728x90-GIF

Poster un nouveau sujet Répondre au sujet

Alerte Securité : à lire par les Admins du forum


Index Communauté Services Ariase Le forum


Snakes
Je participe
Je participe


Inscrit le: 15 Jan 2004
Messages: 71
MessagePosté le: Mer 22 Déc 2004 - 22:17 Sujet du message: Alerte Securité : à lire par les Admins du forum Répondre en citant
Bonsoir , je me permet de vous glisser l'info ici car cette menace est reele , un site ou je suis moderateur a subi 2 fois l'attaque en 6h , a peine le temps de tout remettre en place que rebellote ... Evil or Very Mad

Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis

Santy.a s'autocopie dans le serveur compromis sous le nom "m1ho2of", il identifie ensuite des nouvelles cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).


Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".

Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.


Solution

- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.
- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).


Signatures Snort

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem("Wink
alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22"Wink


Références

http://www.k-otik.com/exploits/20041122.r57phpbb2010.pl.php
http://www.us-cert.gov/cas/techalerts/TA04-356A.html
http://www.f-secure.com/v-descs/santy_a.shtml
http://www.sarc.com/avcenter/venc/data/perl.santy.html
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
http://www.k-otik.com/exploits/20041222.sanityworm.pl.php

ChangeLog

21-12-2004 (18h50) : Version Initiale
22-12-2004 (03h05) : Google bloque les requêtes Santy
Haut de page
Voir le profil de l'utilisateur Envoyer un message privé
laurent
J'use un clavier par semaine :-)
J'use un clavier par semaine :-)


Inscrit le: 15 Jan 2004
Messages: 6879
Localisation: Rennes
MessagePosté le: Jeu 23 Déc 2004 - 12:01 Sujet du message: Répondre en citant
Hmmm. Effectivement. Evil or Very Mad
http://www.secuser.com/alertes/2004/santy.htm

Merci d'avoir pensé à nous Smile
Haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Administrateur du forum
Staff Ariase
Staff Ariase


Inscrit le: 13 Jan 2004
Messages: 104
MessagePosté le: Jeu 23 Déc 2004 - 19:36 Sujet du message: Répondre en citant
Voilà.
Cela est fait Cool. Nous sommes passé à la 2.0.11. Plus de risques...jusqu'à la prochaine faille. Rolling Eyes
Haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
   Index -> Communauté -> Services Ariase -> Le forum


Poster un nouveau sujet Répondre au sujet


phpBB © 2001, 2005 phpBB Group - Traduction par : phpBB-fr.com