[papajoke]

bonjour,

Notre hébergeur bloque tout appel système venant de php.
Hier il nous a coupé violemment notre site suite à ces appels [ps: nous sommes encore avec phpbb3.0]
C'est la première fois depuis 2012 que cela arrive.

Cher(e) client(e)
Nous vous avertissons avoir procédé à la suspension de votre domaine.
Nous avons détecté des appelles “bash” via des scripts php comme des bourrins et c’est totalement interdits.

Après partages de messages, il est resté énormément flou et ne m'a donné que 2 fichiers :

/forum/download/file.php?avatar=60_1459145438.png et /forum/cron.php?cron_type=queue

Nous avons un vieux site (ce sont les mêmes fichiers depuis des années) et la mise à jour va venir prochainement donc dur a comprendre pourquoi hier qui était une journée calme d'apres les logs. Je sais que le support 3.0 est fermé mais je me pose la question, ces scripts font bien des appels système ?

Et surtout, avec la version 3.2 nous ne risquons pas encore plus de problème ?

Nous sommes hébergé gratuitement donc pour nous un changement de serveur n'est pas à l'ordre du jour

[galixte]

Salut,

est-ce que les annonces de la publication de phpBB 3.1.11 et 3.2.1 te suffiraient ? https://www.phpbb.com/community/viewtop ... &t=2430891 & https://www.phpbb.com/community/viewtop ... &t=2430926 :

A server-side request forgery (SSRF) exploit was discovered in the remote avatar functionality which could be used to perform service discovery on internal and external networks as well as retrieve images which are usually restricted to local access (thanks to SEC Consult for the report)

À chaque mise à jour son lot de corrections, et parfois c’est du sérieux, en l’occurrence, cela me semble assez clair, il y a un exploit possible sur les deux branches qui concerne les avatars. Je ne saurais te dire si cela est lié à ton problème mais tu comprendras que mettre à jour son forum en 2017 apporte d’avantage de sécurité que d’utiliser une version non mise à jour depuis 2013.

Donc, oui il est évident que tu dois mettre à niveau ton forum. Des risques il y en a toujours si tu n’est pas précautionneux durant les étapes du processus de mise à jour, des risques il y en aura toujours dès lors que l’homme modifie dans le but d’améliorer son outil il ouvre des portes à de potentielles nouvelles failles, mais que faire ? Il faut bien corriger celles dont il est au courant.

Aussi, je te souhaite une bonne mise à niveau, à en lire ta participation depuis quelques temps cela ne devrait pas te poser trop de soucis.

[papajoke]

oh que oui je suis conscient qu'avoir des fichiers fin 2012 est une faute !

Une version 3.2 vient d'être installée il y a une semaine en sous domaine pour tester si l'hébergement le supporte. Un bon point, il ne reste justement à savoir si cette nouvelle version ne risque pas d'aggraver nos relations avec notre hébergeur ... d'ou ma question.

Apparemment le "mode bourrin" vu par l'hébergeur n'est pas suite à une attaque il m'avait donné l'heures exacte des 2 fichiers et rien de suspect dans les logs, la personne éditait un MP donc pas l'oeuvre d'un zombie.script

Code: Tout sélectionner

[30/Aug/2017:13:02:33 +0200] "POST /forum/ucp.php?i=pm&mode=compose&action=reply&sid=67a461c3e5546d4d1ada2eed91b391ab&p=3684 HTTP/1.1" 200 3022 "/ucp.php?i=pm&mode=compose&action=reply&f=0&p=3684"
...
[30/Aug/2017:13:02:37 +0200] "GET /forum/download/file.php?avatar=60_1459145438.png HTTP/1.1" 200 7013 "/ucp.php?i=pm&mode=view&p=3685"
[30/Aug/2017:13:02:37 +0200] "GET /forum/cron.php?cron_type=queue HTTP/1.1" 200 43 "/ucp.php?i=pm&mode=view&p=3685"

----------------------------------------
pour revenir au sujet j'ai fait une recherche de "passthru", 1 seul appel pour créer des miniatures
1 seul appel exec() mais uniquement sous windows
0 system()
? comprend rien, mais bon phpbb est clean c'est le principal