Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !

  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !

  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » [Résolu] - NPDS hacké
5 pages [ 1 | 2 | 3 | 4 | 5 ]
Auteur[Résolu] - NPDS hacké
GiamDoc
7063       
 

GiamDoc
  Posté : 22-04-2004 05:05

-------------------[] par la porte!
  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 09:01

ce n'est certainement pas une injection SQL / grab_globlas.php interdit ce genre de chose.

A suivre
  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 11:07

ce matin :

04/22/2004 07:31:38 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:31:46 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:53:06 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:53:33 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 07:57:54 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:25:20 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:25:28 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:46:18 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:46:44 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos
04/22/2004 08:50:57 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127 Infos

200.177.162.127 étant : cm-tvc-mii-C8B1A27F.brdterra.com.br fournisseur : com.br

Il essaie donc de forger un cookie ou AID (dans auth.inc.php) est une injection SQL.

Je regarde comment il fait mais on vas pas tarder à trouver !
  Profil  E-mail  www  
cheevass
65    

cheevass
  Posté : 22-04-2004 11:18

Va-t'il reussire a passer a travers a ton avis ???

Si franchement il arrive a passer atravers ca va etre un vrais carnage, car ont a mis de tres grosses securitées actuellement,, mais maintenant faudrais savoir comment il peut passer

Nico
  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 11:35

cette log c'est sur NPDS.ORG pas sur ton site / je viens d'installer une évolution de auth.inc.php qui piste les textes chargés dans les cookies ...

En plus elle fait une requête SQL de moins (mais là rien à voir avec la secu ... c'est juste de l'optimisation)
  Profil  E-mail  www  
axel
10065       
 

axel
  Posté : 22-04-2004 11:55

c cool, ca...
non seulement on securise encore plus, mais en plus, tu optimise

PS : pas compris : c la 1° faille reelle de NPDS ou pas encore ?
  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 12:07

j'ai pas encore trouver comment / donc c'est une faille "potentielle" ...
  Profil  E-mail  www  
zoheir
1637       
 

zoheir
  Posté : 22-04-2004 12:22

Citation : developpeur


200.177.162.127 étant : cm-tvc-mii-C8B1A27F.brdterra.com.br fournisseur : com.br

__________________

un brésilien à la solde de Francisco Burzi pour nuire à la réputation de NPDS?

Now Phil Déambulera Syrracuse: j'ai trouvé, j'ai trouvé! (Eurêka, eurêka !)

  Profil  E-mail  www  
snake94400
271     

snake94400
  Posté : 22-04-2004 13:45

lut,dsl du retard des poste,j'ete o taf,
en faite,sur clanldr,c pratiquement rien le hacké desu,le plus touché c www.interclans.com
j'ai effacer tous le ftp,avant,dien sur telecharger le contenue pour voir si il a mi un script a lui sur une des page.
re up tous le site et paf,sa reviens 5 minute apres et mon hebergeur ma dit,qu'il y a eu des injection de sql dedasn
voila,snif
  Profil  www  
axel
10065       
 

axel
  Posté : 22-04-2004 14:01

http://www.gtaneo.com aussi... parait il...
  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 14:23

snake :

remplace auth.inc.php par cette version SVP



<?PHP
/************************************************************** **********/
/* NPDS V : Net Portal Dynamic System .                           & nbsp;      */
/* ===========================        &nbs p;              ;                     */
/*            &nb sp;            &nbs p;              ;                           & nbsp;    */
/* Original Copyright (c) 2001 by Francisco Burzi (fburzi@ncc.org.ve)   */
/* http://phpnuke.org                                                   */
/*            &nb sp;            &nbs p;              ;                           & nbsp;    */
/* This version name NPDS Copyright (c) 2001-2004   */
/*            &nb sp;            &nbs p;              ;                           & nbsp;    */
/* This program is free software. You can redistribute it and/or modify */
/* it under the terms of the GNU General Public License as published by */
/* the Free Software Foundation; either version 2 of the License.       */
/************************************************************************/ br />function Admin_alert($motif) {
    global $admin;
    setcookie("admin","",0);
    unset($admin);

    Ecr_Log("security""auth.inc.php/Admin_alert : ".$motif, "");
    echo "<html>\n";
    echo "<body bgcolor=\"#FFFFFF\" text=\"#000000\">\n<br /><br /><br />";
    echo "<center><img src=\"images/eyes.gif\" border=0><br /><br />\n";
    echo "<font face=\"Verdana\" size=\"3\"><b>.: IP recorded :.</b></fon t></center>\n";
    echo "</body>\n";
    echo "</html>\n";

    redirect_!url(!"admin.php");
    die();
}

if ((isset($aid)) and (isset($pwd)) and ($op ==  "login")) {
    if ($aid!="" and $pwd!=""{
        $result=mysql_query("select pwd from authors where aid='$ai d'");
        if (!$result) {
           Admin_Alert ("DB not ready #1 : $aid");
        } else {
           list($pass) =mysql_fetch_row($result);
           if ($s ystem_md5) {
              ; $passwd=crypt($pwd,$pass);
           } else {
              ; $passwd=$pwd;
           }

           if ((s trcmp($passwd,$pass)==0) and ($pass != "")) {
              ; $admin = base_64_encode("$aid:".md5($passwd));
              ; if ($admin_cook_duration<=0) {$admin_cook_duration=1;}
              ; $timeX=time()+(3600*$admin_cook_duration);
              ; setcookie("admin","$admin",$timeX);
           } else {
              ; Admin_Alert("Passwd not in DB#1 : $passwd");
           }
        }
    }
}

#autodoc $admintest - $super_admintest : permet  ;de savoir si un admin est connecté ($admint est=true) et s'il est SuperAdmin ($super_admintest=tru e)
$admintest = false;
$super_admintest = false;

if ($admin!=""{
  $Xadmin = base_64_decode($admin);
  $Xadmin = explode(":", $Xadmin);
  $aid = htmlspecialchars($Xadmin[0], ENT_QUOTES);
  $AIpwd = $Xadmin[1];
  if ($aid=="" or $AIpwd==""{
     Admin_Alert("Null Aid or Passwd");
  }
  $result=mysql_query("select pwd, radminsuper from authors w here aid='$aid'");
  if (!$result) {
     Admin_Alert("DB not ready #2 : $aid");
  } else {
    list($AIpass, $Xsuper_admintest)=mysql_fetch_row ($result);
    if (md5($AIpass) == $AIpwd and $AIpass != ""{
       $admintest = true;
       $super_admintest = $Xsupe r_admintest;
    } else {
       Admin_Alert("Password in Cookies not Good #1 :  $AIpwd");
    }
  }
  unset ($AIpass);
  unset ($AIpwd);
  unset ($Xadmin);
  unset ($Xsuper_admintest);
}
?>


  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 14:38

il faut ENLEVER les 2 ! autour de redirect_url (ligne 28) AINSI que
les _ entre base, 64 et decode

Message édité par : developpeur

  Profil  E-mail  www  
[-Jarod-]
1732       
 

[-Jarod-]
  Posté : 22-04-2004 14:44

Sur LeCyb.org, ce matin aussi:

04/22/2004 07:34:48 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127
04/22/2004 08:28:24 admin.php=>auth.inc.php/Admin_alert : DB not ready #2 IP=>200.177.162.127

c la meme personne.... c t pour l'info
  Profil  E-mail  www  
snake94400
271     

snake94400
  Posté : 22-04-2004 14:48

voici la reponse de hosteur a ces client:

Bonjour

Pour les Utilisateurs de NDPS uniquement (un portail a intégrer sur les sites),
faites attention en ce moment, il y a une faille de sécurité dans ce script.

3 sites ont déja été touchés, cette faille doit etre une faille de SQL Injection
(possibilité de rajouter du code dans la base de données a partir d un module de
NDPS).

J ai été voir sur le site ndps.org il y a un patch a appliquer surtout n oubliez
pas.

si votre site a déja été touché (normalement 3 sites) il est conseillez de
reinstaller NDPS avec le patch.

Amicalement.
Jean-Daniel

  Profil  www  
developpeur
24581       
 

developpeur
  Posté : 22-04-2004 16:08

les sites touchés utilisent tous le module PHPBB ?

Parceque il y a ce type de vulnérabilité dans auth.inc.php DE PHPBB ! (octobre 2003)
  Profil  E-mail  www  
Aller à la page : [ 1 | 2 | 3 | 4 | 5 ]
Sauter à :

Temps : 0.0223 seconde(s)