[Réglé] appels systeme de php interdits viable pour phpbb ?

Forum de support pour les questions concernant l'utilisation de phpBB 3.2, les problèmes rencontrés lors de manipulations, de configuration du forum ou de personnalisation autres que les Styles ou les Extensions

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Pensez à effectuer une recherche, la réponse à votre question a de grandes chances d'avoir déjà été donnée.
Partager sur FacebookPartager sur TwitterPartager sur Google+

[Réglé] appels systeme de php interdits viable pour phpbb ?

Messagepar papajoke » 31 Aoû 2017 à 17:29

bonjour,

Notre hébergeur bloque tout appel système venant de php.
Hier il nous a coupé violemment notre site suite à ces appels [ps: nous sommes encore avec phpbb3.0]
C'est la première fois depuis 2012 que cela arrive.

Cher(e) client(e)
Nous vous avertissons avoir procédé à la suspension de votre domaine.
Nous avons détecté des appelles “bash” via des scripts php comme des bourrins et c’est totalement interdits.


Après partages de messages, il est resté énormément flou et ne m'a donné que 2 fichiers :
/forum/download/file.php?avatar=60_1459145438.png et /forum/cron.php?cron_type=queue

Nous avons un vieux site (ce sont les mêmes fichiers depuis des années) et la mise à jour va venir prochainement donc dur a comprendre pourquoi hier qui était une journée calme d'apres les logs. Je sais que le support 3.0 est fermé mais je me pose la question, ces scripts font bien des appels système ?

Et surtout, avec la version 3.2 nous ne risquons pas encore plus de problème ?

Nous sommes hébergé gratuitement donc pour nous un changement de serveur n'est pas à l'ordre du jour :wink:
Modifié en dernier par papajoke le 01 Sep 2017 à 11:47, modifié 1 fois.
modérateur forum manjaro.fr
Avatar de l’utilisateur
papajoke
Posteur néophyte
Posteur néophyte
 
Messages: 63
Enregistré le: 23 Juil 2017 à 13:45

Re: appels systeme de php interdits viable pour phpbb ?

Messagepar galixte » 31 Aoû 2017 à 17:54

Salut,

est-ce que les annonces de la publication de phpBB 3.1.11 et 3.2.1 te suffiraient ? https://www.phpbb.com/community/viewtop ... &t=2430891 & https://www.phpbb.com/community/viewtop ... &t=2430926 :
Marc a écrit:A server-side request forgery (SSRF) exploit was discovered in the remote avatar functionality which could be used to perform service discovery on internal and external networks as well as retrieve images which are usually restricted to local access (thanks to SEC Consult for the report)

À chaque mise à jour son lot de corrections, et parfois c’est du sérieux, en l’occurrence, cela me semble assez clair, il y a un exploit possible sur les deux branches qui concerne les avatars. Je ne saurais te dire si cela est lié à ton problème mais tu comprendras que mettre à jour son forum en 2017 apporte d’avantage de sécurité que d’utiliser une version non mise à jour depuis 2013.

Donc, oui il est évident que tu dois mettre à niveau ton forum. Des risques il y en a toujours si tu n’est pas précautionneux durant les étapes du processus de mise à jour, des risques il y en aura toujours dès lors que l’homme modifie dans le but d’améliorer son outil il ouvre des portes à de potentielles nouvelles failles, mais que faire ? Il faut bien corriger celles dont il est au courant.

Aussi, je te souhaite une bonne mise à niveau, à en lire ta participation depuis quelques temps cela ne devrait pas te poser trop de soucis. ;)
Communau EzCom
Image
« Traductions d’extensions & styles pour phpBB 3.1.x & 3.2.x ».
ImageListes de toutes les extensions recensées pour phpBB 3.1.x & 3.2.x.
ImageListes de tous les styles recensés pour phpBB 3.1.x & 3.2.x.
Avatar de l’utilisateur
galixte
Floodeur universel
Floodeur universel
 
Messages: 9538
Enregistré le: 08 Mar 2004 à 02:40
Localisation: Sud de la France.

Re: appels systeme de php interdits viable pour phpbb ?

Messagepar papajoke » 31 Aoû 2017 à 18:36

oh que oui je suis conscient qu'avoir des fichiers fin 2012 est une faute !

Une version 3.2 vient d'être installée il y a une semaine en sous domaine pour tester si l'hébergement le supporte. Un bon point, il ne reste justement à savoir si cette nouvelle version ne risque pas d'aggraver nos relations avec notre hébergeur ... d'ou ma question.

Apparemment le "mode bourrin" vu par l'hébergeur n'est pas suite à une attaque il m'avait donné l'heures exacte des 2 fichiers et rien de suspect dans les logs, la personne éditait un MP donc pas l'oeuvre d'un zombie.script
Code: Tout sélectionner
[30/Aug/2017:13:02:33 +0200] "POST /forum/ucp.php?i=pm&mode=compose&action=reply&sid=67a461c3e5546d4d1ada2eed91b391ab&p=3684 HTTP/1.1" 200 3022 "/ucp.php?i=pm&mode=compose&action=reply&f=0&p=3684"
...
[30/Aug/2017:13:02:37 +0200] "GET /forum/download/file.php?avatar=60_1459145438.png HTTP/1.1" 200 7013 "/ucp.php?i=pm&mode=view&p=3685"
[30/Aug/2017:13:02:37 +0200] "GET /forum/cron.php?cron_type=queue HTTP/1.1" 200 43 "/ucp.php?i=pm&mode=view&p=3685"


----------------------------------------
pour revenir au sujet j'ai fait une recherche de "passthru", 1 seul appel pour créer des miniatures
1 seul appel exec() mais uniquement sous windows
0 system()
? comprend rien, mais bon phpbb est clean c'est le principal :D
modérateur forum manjaro.fr
Avatar de l’utilisateur
papajoke
Posteur néophyte
Posteur néophyte
 
Messages: 63
Enregistré le: 23 Juil 2017 à 13:45


Retourner vers Utilisation

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités