Santy-makers niet voor één gat te vangen

Waarschijnlijk is die database overbelast omdat iedereen die wat info over de worm wil, probeert te verbinden met phpbb.com. En dat trekt die DB waarschijnlijk niet helemaal .

Overigens werkt de link bij mij (nu) wel, 't is alleen wat traag.

gehackt ?

In viewtopic.php:

(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

Het vette gedeelte weghalen.


edit:
XiQ: de $ is ook niet vet, die moet je dan ook niet weghalen

Lol, op MSN kom je ZOOOOVEEL hits tegen maar als je naar pagina 11 gaat of zo dan ben je al aan het einde. Zoek eens op een deftige zoekmachine zoals Google of Yahoo of Altavista.

Ja, maar wederom wordt weer eens bewezen dat mensen dat dus niet doen.
Volgens mij helaas ook niet zo vreemd. Mensen updaten software op hun eigen pc vaak niet eens, laat staan dat ze belangstelling hebben om goed beheer te plegen op de website wat updaten van software betreft. Vaak wordt de thirdparty software er een keer opgezet, en zolang het werkt wordt er niet meer naar omgekeken. Daarbij is het bij websites ook geregeld zo dat het beheer niet eens goed geregeld is. Vaak wel wat informatie beheer betreft, maar de techniek staat in veel gevallen in een hoekje. Neem bijvoorbeeld de duizenden sites die door ingehuurde webbouwers in elkaar worden gezet, al dan niet met backsite voor het informatieve beheer. De gebruiker maakt er lekker verder gebruik van en denkt dat het allemaal in orde is. Pas bij een technisch probleem wordt eens gekeken wie er wat aan gaat doen en wanneer.

Het schijnt dat het een combinatieprobleem is van in elk geval phpBB, met php <4.3.10 Alleen updaten van phpBB schijnt dus niet voldoende te zijn.
Mogelijk dat dus veel meer sites/fora er last van kunnen hebben, maar phpBB is zeg maar de Windows onder de fora. Het meest gebruikt dus het meest interesant voor virusschrijvers.

Het nadeel is alleen dat hostingproviders die bijv. Plesk gebruiken niet zomaar hun PHP willen/kunnen gaan upgraden en dan hebben we het nog niet over de fora die draaien op servers van verenigingen en andere hobbyisten.

In mijn ogen kun je phpBB wat betreft de gemiddelde gebruiker vergelijken met het upgraden van je firmware van je GSM. Dat zou vrijwel geen enkele gebruiker doen, of ook maar weten hoe ze dat moeten doen, of dat ze bijhouden of het nodig is.

aangezien iedereen met een oude versie het opnieuw moet installeren.
Opnieuw installeren is ruim gezegd: het heruploaden van de forum bestanden lost het probleem al op. De database kan fijn blijven zoals hij is.

is phpBB niet gratis?!

Maar wil je dat wel? Als ik een probleem heb en ik zoek via google ben ik vaak heel blij dat ik dan op een forum met een oplossing kom.

De makkelijkste manier om te voorkomen dat je forum gevoelig is voor deze zaken

En de beste manier is om alle software up-to-date te houden.

Forums zijn helaas in de meeste gevallen wel dingen met veel content ... en veel verschillend content waardoor je juist door die dingen hoger komt te staan in google

Ten eerste: was jij ruim een maand het land uit? Zo niet, dan was je zelf in de gelegenheid te patchen. Bovendien voert deze worm geen truucs uit op je database, hij speelt alleen een beetje met je bestanden. Normaal gesproken sla je deze zoiezo al offline op, dus echte backups hebben hier weinig mee te maken.

Feit blijft wel dat het inderdaad een nette actie is geweest van Digitalus; deden meer hosting providers dat maar. Normaal gesproken is het de verantwoordelijkheid van de gebruiker zelf, maar in dit geval is de hack in staat andere shared hosts aan te tasten en dan is ingrijpen van de host dus volledig terecht.

Ik postte het in het nieuwsbericht van woensdag ook al, men blijft deze fout maken;

Je haalt twee dingen door elkaar. De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11. Hoewel er voor beiden phpBB exploits circuleren maakt dit virus gebruik van de phpBB bug. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen.

In principe heb je dus gelijk dat veel software gevoelig is voor de PHP unserialze bug (phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds en meer), maar dat staat los van deze worm.