United
Habitué
 Hors-Ligne
Messages: 285
Je suis pas un lama!
 
|
Bonjour 
Je remarque un gros soucis de sécurité avec Yabb depuis quelques jours. Je m'explique :
Il s'agit de ce forum : http://www.netforceone.org/cgi-bin/yabb/YaBB.cgi (1 Gold - SP 1.3.1/ 2.0). Tout fonctionnait bien jusqu'à quelques jours. Deux adresses se chargent lors de la consultation des messages du forum : bestgreenstreet.com
et rezmas.com. Pour rezmas, il s'agit d'un trojan apparemment.
Aucune action de ma part pour ajouter ces adresses dans le chargement des pages. Je ne sais même pas quel script fait qu'ils se chargent et où et comment les trouver pour pouvoir les supprimer.
J'ai donc opté pour une autre solution de substitution qui consiste à changer le fichier .htacces. C'est ce que j'ai lu ici : http://ctxtra.org/smf/index.php?topic=579.0 ou du moins ce que j'ai cru comprendre.
"1) ein javascript virus/malware, der von einem anderen server eingebunden wird via iframe und daten ausspioniert. unten stehen die hosts, die dieses abrufen. diese mit htaccess blockieren lassen!!
2) der server ist sehr wahrscheinlich in vielen files kompromitiert (verseucht)... es sollte ein backup eingespielt werden, bevor dieser kompromitiert wurde...
falls dieses nicht gelingt, sollte der server neu aufgesetzt werden, da man nicht weis, wo dieser kompromitiert ist
3) ein ftp wurde nicht gehackt. vermutlich (meine meinung) über ein exploit diese codefragmente eingefügt...
4) alle logfiles des server kontrollieren. ggf findet man dort zugriffe und änderungslogs
wenn noch fragen sind, bitte posten.
detalierte auskunft über diese art des kompromitierten scriptes erteile ich nur via pn...
folgendes in der htaccess im root einbinden!!!
<filesmatch "(.*)">
Order Allow,Deny
Deny from bestgreenstreet.com
Deny from rezmas.com
Allow from all
</filesmatch>
ps:// hast ne pn..."
TRADUCTION ...
"1) javascript un virus / malware, de l'autre par un serveur mis en ligne par iframe de données et les surveille. ci-dessous, les hôtes de ce récupérer. htaccess avec ce faire bloquer!
2) le serveur est très probable dans de nombreux fichiers de compromettre (pollué) ... il devrait être en place d'un backup avant de compromettre a été ...
si ce dernier ne parvient pas, le serveur de nouveau dessus, car on n'est pas blanc, où est cette compromettre
3) un ftp n'a pas été coupé. probablement (mon opinion) sur un exploit de ces fragments code inséré ...
4) tous les Swen contrôle du serveur. le cas échéant, on y trouve et qui refuse de änderungslogs
si encore des questions, veuillez poster.
Forfait détaillée de l'art sur cette compromettre script que je donne en passant par pn ...
htaccess suivantes dans le Inclure dans le root!
<filesmatch "(.*)">
Order Allow, Deny
Deny from bestgreenstreet.com
Deny from rezmas.com
Allow from all
</ files match>
ps: / / pn ne avez ..."
J'ai essayé cette solution en modifiant tous les .htacces dans le répértoire du forum Yabb, mais il semble que ca ne change rien dutout lors du chargement des messages du forum.
Voici à quoi raissemble mon .htacces maintenant :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName DenyViaWeb
AuthType Basic
<filesmatch "(.*)">
Order Allow, Deny
Deny from bestgreenstreet.com
Deny from rezmas.com
Allow from all
</ files match>
Ensuite, en parcourant cette page d'un forum allemand, je suis tombé là dessus : "Naja ...
als den Ersten Weg würde ich das nicht gerade bezeichnen - eher als Krücke.
Was soll es bringen, in der .htaccess die zwei im angreifenden Script erkannten Domains zu sperren?
Angreifer bedienen sich i.d.R. eines umfangreichen Netzes von Zombie-Rechnern; der nächste Angriff kommt also ganz bestimmt (und auch trotz des Eintrags dieser zwei Domains in die .htaccess).
Daneben bilden diese beiden Domains lediglich das Empfängerziel für die ausgespähten Daten (oder eher noch als Adresse für das Nachladen des tatsächlichen Exploids).
Der Verursacher des Angriffs ist also gänzlich unbekannt.
Das YaBB-Forum zum Beispiel, hat sich im Laufe der vergangenen drei Monate, zweimal einen Code (ähnlich dem w.o.) eingefangen - allerdings nicht über das Script des Forums sondern über die (in PHP geschriebene) Startseite.
Ich hatte den Betreiber der Domain seinerzeit darauf aufmerksam gemacht und er teilte mir mit, dass die Virenwarnung erst dann bei ihm angezeigt wurde, als er von seinem Firmenrechner (also von einer anderen IP aus) auf den Foren-Server zugegriffen hat.
Ganz schön clever gemacht - oder?"
TRADUCTION ...
"Bon ...
de la première voie, je le désignent pas simplement - plus de béquille.
Que doit-il mettre dans le fichier. Htaccess les deux attaquants dans le script de bloquer des domaines reconnus?
Attaquant de se i.d.R. d'un vaste réseau d'ordinateurs zombies, de la prochaine attaque donc très certainement (et aussi, en dépit de l'entrée de ces deux domaines de l'. htaccess).
En outre, ces deux domaines uniquement le bénéficiaire de l'objectif ausgespähten de données (ou plutôt comme adresse pour la recharge complète de l'Exploids).
L'auteur de l'attaque est donc totalement inconnu.
YaBB le forum par exemple, a évolué au cours des trois derniers mois, deux fois un code (semblable à celui où) repris - mais pas sur le script du forum mais aussi sur la (écrites en PHP) page d'accueil.
J'ai eu l'exploitant de l'époque de domaine d'attirer l'attention et il a partagé avec moi, que le virus ne lui a été affichée, comme il les entreprises de son ordinateur (c'est-à-dire d'une autre IP) sur le serveur de forums a accédé.
Très bien fait intelligent - ou?"
Là on parle carrement de Yabb ... Je me dis donc que c'est un probleme propre à Yabb qui est connu et qui donc peut être résolu. Enfin j'espere ...
La question c'est comment faire ... ?
D'avance merci pour votre aide. |
Auteur 
Connecté 
