Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Bron: Heise Online

Een nieuwe versie van de Santy-worm heeft er geen problemen mee dat Google de zoekacties om phpBB-fora te vinden blokkeert, zo schrijft Heise Online. Er is namelijk een nieuwe worm in omloop gebracht die gebruik maakt van Yahoo om kwetsbare fora te vinden en te infecteren. Natuurlijk zal het slechts een kwestie van tijd zijn voordat ook Yahoo deze nieuwe Santy het werk onmogelijk maakt, maar veel veiligheid zal dat niet bieden. Een nieuw virus dat gebruik maakt van een andere zoekmachine zal het werk dan waarschijnlijk weer overnemen. Vooralsnog blijft de enige optie te upgraden naar de nieuwste versie of het tijdelijk toepassen van de workaround.

phpBB Creating Communities
Moderatie-faq Wijzig weergave

Reacties (35)

Lol, op MSN kom je ZOOOOVEEL hits tegen maar als je naar pagina 11 gaat of zo dan ben je al aan het einde. Zoek eens op een deftige zoekmachine zoals Google of Yahoo of Altavista.
phpBB : Critical Error

Could not connect to the database

als ik op die workaround click
In viewtopic.php:

(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

Het vette gedeelte weghalen. :)


edit:
XiQ: de $ is ook niet vet, die moet je dan ook niet weghalen ;)
Het dollarteken niet weghalen, kan geen gecorrigeerde versie laten zien, lijkt een bug in T.net?
$HTTP_GET_VARS ??
Hebben ze geen nieuwere code? :?
Nee, dit is zeer bewust gedaan.

phpBB heeft er gekozen om 100% compatible te zijn met PHP3, PHP4 en PHP5. Vanwege de jongste telg gebruiken ze nog de $HTTP_*_VARS arrays. In phpBB 2.0.10 hebben ze, vanwege de PHP5 release, zelfs geforceerde controle van $_* superglobals toegevoegd, waar deze worden omgezet naar de oudere benamingen. Hier zorgt men er gelijk voor dat register_globals praktisch wordt uitgeschakeld binnen phpBB.

Een weloverwogen beslissing, dus!
Waarschijnlijk is die database overbelast omdat iedereen die wat info over de worm wil, probeert te verbinden met phpbb.com. En dat trekt die DB waarschijnlijk niet helemaal :).

Overigens werkt de link bij mij (nu) wel, 't is alleen wat traag.
De makkelijkste manier om te voorkomen dat je forum gevoelig is voor deze zaken via een zoek machine is het maken van een robots.txt in de root van je pagina en de forum dir te excluden. Daarmee voorkom je dat zoek machines deze uberhaupt zullen mee nemen in hun harvest resultaten.

Voor meer info over robots.txt zie:
http://www.google.com/search?hl=en&q=robots.txt

[edit]
Mijn onderburen hebben natuurlijk wel gelijk, het is onhandig, en het beste is om je forum software up-to-date te houden!

Een manier om dat te doen is om je in te schrijven op de opt-in mailing list van phpbb!

Zie ook:
http://www.phpbb.com/phpBB/viewtopic.php?t=249416
Maar wil je dat wel? Als ik een probleem heb en ik zoek via google ben ik vaak heel blij dat ik dan op een forum met een oplossing kom.
De makkelijkste manier om te voorkomen dat je forum gevoelig is voor deze zaken
En de beste manier is om alle software up-to-date te houden.
Forums zijn helaas in de meeste gevallen wel dingen met veel content ... en veel verschillend content waardoor je juist door die dingen hoger komt te staan in google ;)
Als je je phpBB up to date houdt is er niets aan de hand, versie 2.0.10 en lager is vulnerable, versie 2.0.11 is al ruim een maand uit.

De Santy-schrijvers kunnen wel door blijven coden en alle zoekmachines afgaan, echter hebben de zoekmachines zo een foute 'searchstring' geblokkeerd lijkt me.

Overigens ligt nu heel de phpBB site plat :?
Het schijnt dat het een combinatieprobleem is van in elk geval phpBB, met php <4.3.10 Alleen updaten van phpBB schijnt dus niet voldoende te zijn.
Mogelijk dat dus veel meer sites/fora er last van kunnen hebben, maar phpBB is zeg maar de Windows onder de fora. Het meest gebruikt dus het meest interesant voor virusschrijvers.

Het nadeel is alleen dat hostingproviders die bijv. Plesk gebruiken niet zomaar hun PHP willen/kunnen gaan upgraden en dan hebben we het nog niet over de fora die draaien op servers van verenigingen en andere hobbyisten.

In mijn ogen kun je phpBB wat betreft de gemiddelde gebruiker vergelijken met het upgraden van je firmware van je GSM. Dat zou vrijwel geen enkele gebruiker doen, of ook maar weten hoe ze dat moeten doen, of dat ze bijhouden of het nodig is.
Het schijnt dat het een combinatieprobleem is van in elk geval phpBB, met php <4.3.10 Alleen updaten van phpBB schijnt dus niet voldoende te zijn.
Niets van waar. Zie ook mijn reactie hieronder, phpbb.com en phpbb.nl.
Ja, maar wederom wordt weer eens bewezen dat mensen dat dus niet doen.
Volgens mij helaas ook niet zo vreemd. Mensen updaten software op hun eigen pc vaak niet eens, laat staan dat ze belangstelling hebben om goed beheer te plegen op de website wat updaten van software betreft. Vaak wordt de thirdparty software er een keer opgezet, en zolang het werkt wordt er niet meer naar omgekeken. Daarbij is het bij websites ook geregeld zo dat het beheer niet eens goed geregeld is. Vaak wel wat informatie beheer betreft, maar de techniek staat in veel gevallen in een hoekje. Neem bijvoorbeeld de duizenden sites die door ingehuurde webbouwers in elkaar worden gezet, al dan niet met backsite voor het informatieve beheer. De gebruiker maakt er lekker verder gebruik van en denkt dat het allemaal in orde is. Pas bij een technisch probleem wordt eens gekeken wie er wat aan gaat doen en wanneer.
ook al is het niet goed om safe_mode te gebruiken vanwege wat andere dingen, is het in dit geval wel veilig?
Ja, het gebruikte commando om je server over te nemen (exec of system) is in safe mode niet mogelijk.

je kunt ook die twee functies in je php disabled functies zetten :)
Met popen() en shell_exec() kan je ook bestanden uitvoeren. En dan vergeet ik er wellicht nog wat.
Phpbb is alweer online :-). En tja, zo'n variant was dus wel te verwachtenl Het positieve is volgens mij wel dat als het zo doorgaat over een weekje er alleen nog maar up-to-date versies van phpbb op internet staan aangezien iedereen met een oude versie het opnieuw moet installeren.
aangezien iedereen met een oude versie het opnieuw moet installeren.
Opnieuw installeren is ruim gezegd: het heruploaden van de forum bestanden lost het probleem al op. De database kan fijn blijven zoals hij is.
Ik ben HEEL erg blij dat mijn ISP (Digitalus) mijn forum zelfstandig gepatched heeft want op het moment van uitbraak zat ik in het buitenland.. Anders was waarschijnlijk de database van 60 meg verloren gegaan (heb wel backups maar niet recent...) Na het uitkomen van dit nieuws heb ik gelijk een grote backup gedraaid die ik nu iedere 3 dagen herhaal :X

Kan niet uitstaan dat andere mensen het zo leuk vinden om het plezier van onschuldigen te bederven :(
Ten eerste: was jij ruim een maand het land uit? Zo niet, dan was je zelf in de gelegenheid te patchen. Bovendien voert deze worm geen truucs uit op je database, hij speelt alleen een beetje met je bestanden. Normaal gesproken sla je deze zoiezo al offline op, dus echte backups hebben hier weinig mee te maken.

Feit blijft wel dat het inderdaad een nette actie is geweest van Digitalus; deden meer hosting providers dat maar. Normaal gesproken is het de verantwoordelijkheid van de gebruiker zelf, maar in dit geval is de hack in staat andere shared hosts aan te tasten en dan is ingrijpen van de host dus volledig terecht.
Snap de hele ophef niet zo met phpBB
Iedere invoer in een php script waar her urldecode commando word gebruikt is vurnable

Zo ook phpGB en anderen

De fout zit in PHP versie 4.3.9 en lager

Als die hostingproviders hun PHP zouden updaten naar versie 4.3.10 dan was het probleem verholpen.
Ik postte het in het nieuwsbericht van woensdag ook al, men blijft deze fout maken;

Je haalt twee dingen door elkaar. De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11. Hoewel er voor beiden phpBB exploits circuleren maakt dit virus gebruik van de phpBB bug. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen.

In principe heb je dus gelijk dat veel software gevoelig is voor de PHP unserialze bug (phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds en meer), maar dat staat los van deze worm.
Ik heb vandaag alle phpBB's op al onze servers voor onze klanten ook maar even gepatched..

Voor degenen die niet zo onderlegd zijn met php of een server hebben met meerdere phpBB installs:

http://213.247.47.120/fixphpBB.sh

Voorwaarde, er moet wel slocate geinstalleerd zijn (werkt sowieso met redhat en fedora), anders moet je het script even aanpassen en locate door find oid vervangen..

Voor je 't script start even updatedb doen :)

Dit script zoekt op de server naar viewtopic.php bestanden en past ze aan met sed zodat de exploit er niet meer in zit..

<verstandige disclaimer>
Ik draag geen enkele verantwoordelijkheid voor dit script, als je iets sloopt, pech, je moet ALTIJD kijken wat er in een script staat, vooral als je 't als root uitvoert, en 't is op eigen risico enzo :P
</verstandige disclaimer>
Ik geloof dat de nieuwe worm ook een ddos naar phpbb heeft ingebouwd ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True