Exploitation d’une faille dans phpBB

dimanche 26 décembre 2004

Ipsyn n’aura pas ete epargne par la failel sur le forum phpBB (j’imae pas le forums .. et ils me le rendent bien :-/)

Le soir du reveillon de noel (le 24 decembre vers 23h30), une mec qui ne doit pas avoir de vie en dehors du net, n’a rien trouver de mieux que d’exploiter cette faille sur un phpBB qui trainait sur une site que nous hebergions.

Resultat : il a obtenu les droit equivalent a www-data sur le serveur web principal, et a remplace tous les fichiers php et html, accessible par l’utilisateur www-data, par son petit message perso.

Les sites les plus touches sont ceux qui faisaient tourne spip, car du fait de son installation, il y a plein de fichier html et php qui appartiennent a www-data.

Paliatif : j’ai redemarre le serveur web le samedi 25 decembre, en passant le php en cgi et en utilisant suexec. Cela aura le merite de cantonner, dans le futur, ce genre de probleme au site concerne. J’ai renonce a passer le php en safe_mode, car il y a vraiment trop de soft qui ne passent pas en safe_mode.

Conclusion : si vous avez toujours des problemes pour faire tourner votre site, contactez-moi



Toutes les brèves du site

Navigation

Brèves de la rubrique