Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !

  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !

  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » Piratage dans le forum  
7 pages [ 1 | 2 | 3 | 4 | 5 | 6 | 7 ]
AuteurPiratage dans le forum
mrotta
423      

mrotta
  Posté : 22-09-2007 18:33

Vu le nombre de sites touchés, je ne pense pas que cela vienne d'un module.

Sur ce site je n'ai que le wiki, que je suis sans doute un des seuls à utiliser.

Le problème doit être dans NPDS lui même. un trou de sécu que l'on a pas trouve ?
  Profil  Citation   
boul
36    

boul
  Posté : 22-09-2007 23:15

Citation : boul 

Je vais faire la mise à jour de mon site dans les prochains jours.
Je pense procéder comme suit :
Décompresser les fichiers en local
Transférer les répertoires et fichiers chez mon hébergeur (sans écraser les répertoires qui contiennent des images)
Modifier les fichiers config.php et upload.php avec mes paramètres.

Si je me prépare à faire une erreur, merci de me le signaler 

Est-ce que ce sera suffisant pour la MaJ, ou faut-il aussi faire une Maj de la BDD ?
Si oui, comment ?
  Profil  Citation   
abbal
3  

abbal
  Posté : 24-09-2007 12:41

Re,

Encore un message sans compte utilisateur, sauf que maintenant, il n'y a plus de trace comme la première fois d'une ouverture de page de mon site (car j'ai un code en bas de toutes les pages qui enregistre les adresses IP, l'heure de connexion)
  Profil  Citation   
Jireck
8427       

Jireck
  Posté : 24-09-2007 23:22

ca commence a se generalisé a moins que le probleme soit existant et qu'il n'arrive que maintenant ...

Je vais voir avec dev ...
  Profil  Citation   
Anonyme
19853  

Anonyme
  Posté : 25-09-2007 16:40

Il passe par un cpte utilisateur qui n'existe pas : le UID 0 / je pense que les scripts n'ont pas prévus le cas tous simplement.

La correction ne devrait pas être compliquée
  Citation   
Anonyme
19853  

Anonyme
  Posté : 25-09-2007 20:03

Bjr à tous, je viens de rentrer et découvre tous les messages, je me sens moins seul!
J'avais réfléchi un peu au problème et j'avais aussi pensé la piste UID 0, cela me semble être une bonne piste...
Qu'en pense Dev?
  Citation   
Jireck
8427       

Jireck
  Posté : 25-09-2007 22:27

tres occupé par son job je pense ...

Si j'ai le temps je regarderai
  Profil  Citation   
Anonyme
19853  

Anonyme
  Posté : 26-09-2007 09:41

En attendant que les spécialistes aient un moment pour regarder cela, j'ai créé dans la table users un uid 0 et lui ai affecté un mot de passe.
  Citation   
Jireck
8427       

Jireck
  Posté : 26-09-2007 11:07

Citation : arenan

En attendant que les spécialistes aient un moment pour regarder cela, j'ai créé dans la table users un uid 0 et lui ai affecté un mot de passe.


tu as tres bien fait
  Profil  Citation   
Jireck
8427       

Jireck
  Posté : 26-09-2007 11:32

mais ca me semble plus compliqué que cela ou plus fort que moi....

uid 0 n'existe pas donc normalement il ne peux pas ramener un password d'une ligne qui n'existe pas ...

c'est plus plus compliquer...
  Profil  Citation   
Anonyme
19853  

Anonyme
  Posté : 26-09-2007 12:45

C'est sûr, c'est plus compliqué...
J'espère cependant que ma manip évitera l'infection (pour un moment!)
  Citation   
Anonyme
19853  

Anonyme
  Posté : 26-09-2007 13:31

la piste de remplir la base avec un UID=0 + mot de passe est pas idiote
  Citation   
developpeur
24581       
 

developpeur
  Posté : 26-09-2007 21:41

je cherche depuis la découverte de ce type de faille de spam (car ce n'est pas du piratage). En fait je pense à une faiblesse d'une fonction garantissant que le user connecté aux forums ... est bien un membre.

Je test actuellement ce que cela donne. L'idée de créer un membre avec comme UID=0 et un mot de passe devrait aussi bloquer ce type de spam.

Arrenan : tu peut confirmer ?

A suivre - rapidement
  Profil  E-mail  www  Citation   
Anonyme
19853  

Anonyme
  Posté : 26-09-2007 23:19

Merci dev, la mesure que j'ai prise donne pour le moment satisfaction
  Citation   
Anonyme
19853  

Anonyme
  Posté : 27-09-2007 18:35

la (en fait les) fonctions en cause sont je pense dans le fichier functions.php :

- function get_userdata_from_id($userid)
- function get_userdata($username)

En fait il faut simplement remplacer les 4 lignes

$userdata = array("error" => "1");
par

forumerror('0016');

arenan - si tu fait cette modif (se serait cool) il faut supprimer le UID=0 car cela fait double emploi

Merci par avance de vos tests / Dev en anonyme
  Citation   
Aller à la page : [ 1 | 2 | 3 | 4 | 5 | 6 | 7 ]
  
Sauter à :

Temps : 0.0291 seconde(s)