NPDS : Gestion de contenu et de communauté

c cool, ca...
non seulement on securise encore plus, mais en plus, tu optimise :-D

PS : pas compris : c la 1° faille reelle de NPDS ou pas encore ?

j'ai pas encore trouver comment / donc c'est une faille "potentielle" ...

lut,dsl du retard des poste,j'ete o taf,
en faite,sur clanldr,c pratiquement rien le hacké desu,le plus touché c www.interclans.com
j'ai effacer tous le ftp,avant,dien sur telecharger le contenue pour voir si il a mi un script a lui sur une des page.
re up tous le site et paf,sa reviens 5 minute apres et mon hebergeur ma dit,qu'il y a eu des injection de sql dedasn
voila,snif :-|

http://www.gtaneo.com aussi... parait il...

snake :



remplace auth.inc.php par cette version SVP






<?PHP

/************************************************************************/

/* NPDS V : Net Portal Dynamic System .                                 */

/* ===========================                                          */

/*                                                                      */

/* Original Copyright (c) 2001 by Francisco Burzi (fburzi@ncc.org.ve)   */

/* http://phpnuke.org                                                   */

/*                                                                      */

/* This version name NPDS Copyright (c) 2001-2004   */

/*                                                                      */

/* This program is free software. You can redistribute it and/or modify */

/* it under the terms of the GNU General Public License as published by */

/* the Free Software Foundation; either version 2 of the License.       */

/************************************************************************/

function Admin_alert($motif) {

    global $admin;

    setcookie("admin","",0);

    unset($admin);



    Ecr_Log("security", "auth.inc.php/Admin_alert : ".$motif, "");

    echo "<html>\n";

    echo "<body bgcolor=\"#FFFFFF\" text=\"#000000\">\n<br /><br /><br />";

    echo "<center><img src=\"images/eyes.gif\" border=0><br /><br />\n";

    echo "<font face=\"Verdana\" size=\"3\"><b>.: IP recorded :.</b></font></center>\n";

    echo "</body>\n";

    echo "</html>\n";



    redirect_!url(!"admin.php");

    die();

}



if ((isset($aid)) and (isset($pwd)) and ($op == "login")) {

    if ($aid!="" and $pwd!="") {

        $result=mysql_query("select pwd from authors where aid='$aid'");

        if (!$result) {

           Admin_Alert("DB not ready #1 : $aid");

        } else {

           list($pass)=mysql_fetch_row($result);

           if ($system_md5) {

              $passwd=crypt($pwd,$pass);

           } else {

              $passwd=$pwd;

           }



           if ((strcmp($passwd,$pass)==0) and ($pass != "")) {

              $admin = base_64_encode("$aid:".md5($passwd));

              if ($admin_cook_duration<=0) {$admin_cook_duration=1;}

              $timeX=time()+(3600*$admin_cook_duration);

              setcookie("admin","$admin",$timeX);

           } else {

              Admin_Alert("Passwd not in DB#1 : $passwd");

           }

        }

    }

}



#autodoc $admintest - $super_admintest : permet de savoir si un admin est connecté ($admintest=true) et s'il est SuperAdmin ($super_admintest=true)

$admintest = false;

$super_admintest = false;



if ($admin!="") {

  $Xadmin = base_64_decode($admin);

  $Xadmin = explode(":", $Xadmin);

  $aid = htmlspecialchars($Xadmin[0], ENT_QUOTES);

  $AIpwd = $Xadmin[1];

  if ($aid=="" or $AIpwd=="") {

     Admin_Alert("Null Aid or Passwd");

  }

  $result=mysql_query("select pwd, radminsuper from authors where aid='$aid'");

  if (!$result) {

     Admin_Alert("DB not ready #2 : $aid");

  } else {

    list($AIpass, $Xsuper_admintest)=mysql_fetch_row($result);

    if (md5($AIpass) == $AIpwd and $AIpass != "") {

       $admintest = true;

       $super_admintest = $Xsuper_admintest;

    } else {

       Admin_Alert("Password in Cookies not Good #1 : $AIpwd");

    }

  }

  unset ($AIpass);

  unset ($AIpwd);

  unset ($Xadmin);

  unset ($Xsuper_admintest);

}

?>





il faut ENLEVER les 2 ! autour de redirect_url (ligne 28) AINSI que
les _ entre base, 64 et decode

Message édité par : developpeur

Sur LeCyb.org, ce matin aussi:

04/22/2004 07:34:48 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127
04/22/2004 08:28:24 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127

c la meme personne.... c t pour l'info

voici la reponse de hosteur a ces client:

Bonjour

Pour les Utilisateurs de NDPS uniquement (un portail a intégrer sur les sites),
faites attention en ce moment, il y a une faille de sécurité dans ce script.

3 sites ont déja été touchés, cette faille doit etre une faille de SQL Injection
(possibilité de rajouter du code dans la base de données a partir d un module de
NDPS).

J ai été voir sur le site ndps.org il y a un patch a appliquer surtout n oubliez
pas.

si votre site a déja été touché (normalement 3 sites) il est conseillez de
reinstaller NDPS avec le patch.

Amicalement.
Jean-Daniel

les sites touchés utilisent tous le module PHPBB ?

Parceque il y a ce type de vulnérabilité dans auth.inc.php DE PHPBB ! (octobre 2003)

Oui! c'est ce que j'ai dit tout à l'heure.

Dev=> doit-on considérer ce nouveau "auth.inc.php" comme correctif et l'intégrer dans nos sites?

oui tu peux!

Peux etre en faire un patch de correctrif pour ceux qui ne viendrais pas dans cette partie du forum, donc le mettre en download ;) c juste ce que je propose, apparament a des cibles bien precises, NPDS, mais parcontre pas tout les sites utilisaient phpBB.
Voici a maconaissance les sites pirater

www.interclans.com
www.clanldr.com
www.medalgame.org
www.gtaneo.com
www.cheevas.com
www.lecyb.org
..................................

Pas tous utiulisaient phpBB donc je pense pas a un rapport avec ca !!!

Maintenant que faire s'il passe encore a travers???
retourner au html !!!
Un hack des hebergeur c pas possible ??? c'est bien beau d'ecrire de la part de hosteur que le soucis est de notre cote mais ce peux etre du leuir aussi ...
JD de hosteur a poster une belle lettre a ces clients au sujets de NPDS je suis totalement contre, il remet la faute a NPDS, le soucis est que nous avons pas les logs de l'hebergeur, doncnous ne pouvons pas réellement savoir par ou il passe il nous faut les logs , ftp, sql, http, ...
Apres verification de ces logs ont pourra commencer a bien voir sur NPDS.
Commencons par la racine avant tout pour deterrer le probleme, c'est bien beau que hosteur remet la faute a NPDS mais ils ont pas de preuves ...

Je m'arrete la car ce hach commence a bien me gonfler

Nico;)

1 - Le patch correctif sera fait ce soir
2 - Actuellement je cherche encore (même si je commence à avoir des idées) comment cela a t il été possible.
3 - Le Patch ne remplacera jamais un "Chmodage" correcte des fichiers
4 - le patch log un certain nombre d'infos qui pourront faire avancer le sujet
5 - NPDS contient certainement encore des failles comme sur postnuke, phpnuke, etc ... et je m'efforce de faire au mieux

Voila

Tient moi aussi j ai eu de la visite mais pas encors passer.

04/16/2004 23:27:51 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>217.21.37.16 Infos
04/16/2004 23:27:57 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:02 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:05 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:08 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:11 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:13 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/16/2004 23:28:16 admin.php=>auth.inc.php/Admin_alert : Null Aid or Passwd IP=>217.21.37.16 Infos
04/20/2004 00:52:29 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 IP=>81.249.89.173 Infos
04/20/2004 00:52:42 admin.php=>auth.inc.php/Admin_alert : Passwd not in DB#1 IP=>81.249.89.173 Infos
04/21/2004 18:03:43 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 00:57:04 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:43:59 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:56:48 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:37:32 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:49:56 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos

SNIPE / IL FORGE UN COOKIE admin avec une injection SQL dans le nom de l'admin je dirais.

Cela ne semble pas marcher à tous les coups

je pense qu'il faudrais aussi incorporer le systeme de giam ,un double passe pour acceder a la partie admin,biensur 2 pass et login diferent.
et pk pas,fautre un virus pour toute personne qui essayer de passer et pirater le site,comme sa,il arretera de pirater c con.
lol :-)

sauf qu'un hacker, c pas un papa qui ft du courrier avec son PC...

donc ton virus, a mon avis, il s'en branle pas mal...

Et la parade? Un script tueur de cookie?

injection Sql et grab_globlas.php alors?

Message édité par : zoheir